L’infirmière manipule au quotidien des données concernant la santé des patients. À ce titre, certaines règles s’imposent à elle, et s’étofferont à compter du 25 mai, date d’entrée en vigueur du règlement européen sur la protection des données.
Le 25 mai, le règlement européen n° 2016/679 sur la protection des données (RGPD) devra s’appliquer. Un raz-de-marée dans la gestion des fichiers patients. Traitant au quotidien des données personnelles sensibles (concernant la santé de ses patients), l’infirmière libérale devra respecter de nouvelles obligations, non sans conséquences sur ses frais et son organisation : tenue d’un registre, nomination d’un délégué à la protection des données, procédures à prévoir, contrats à revoir…
Le traitement des données personnelles englobe toute opération portant sur des informations qui concernent une personne physique identifiée ou identifiable (par un nom, un numéro d’identification, des données de localisation, des caractéristiques personnelles…). Ce traitement peut être informatisé ou non. Il comprend la collecte, l’enregistrement, la structuration, la conservation, l’adaptation ou la modification de données personnelles, mais aussi leur extraction (par exemple, depuis Internet), leur consultation, leur communication, leur diffusion ou leur destruction.
Dans le cadre de son activité, l’infirmière libérale est responsable du traitement de ces données via les télétransmissions, le remplissage du dossier médical partagé (DMP), les fiches patients…
Le règlement européen impose aux personnes qui traitent des données personnelles de tenir un registre. « Il s’agit d’un fichier Excel décrivant les traitements réalisés (les transmissions, par exemple), leur finalité (les remboursements…), la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) et les mesures de sécurité techniques et organisationnelles mises en place pour protéger la confidentialité des données, en fonction notamment du support de traitement : rangement des fiches patients dans une armoire qui ferme à clé, octroi d’un mot de passe différent pour chaque infirmière, lui permettant de n’accéder qu’aux dossiers informatiques de ses propres patients, audits de contrôle, procédures… », énumère Nesrine Benyahia, docteur en droit, spécialiste du droit de la protection des données. Ces mesures ont pour objectif d’éviter la violation (perte, vol, destruction, altération…) des données personnelles.
Le registre cartographie les traitements de données et permet de faire le point sur les mesures à mettre en place. C’est aussi le dossier de conformité à fournir en cas de contrôle de la CNIL. « Il n’est obligatoire que dans les entreprises d’au moins 250 employés, lorsque le traitement fait courir un risque important pour les droits et libertés des patients, lorsqu’il n’est pas occasionnel, ou encore qu’il concerne des données de santé, considérées comme sensibles », précise Nesrine Benyahia.
Les procédures en place doivent garantir le respect du règlement. En cas de problème, elles permettront de justifier que tout avait été mis en œuvre pour éviter la violation des données, et pour y remédier rapidement, le cas échéant.
Un exemple ? « La CNIL doit être informée de toute violation par le responsable du traitement des données, au plus tard soixante-douze heures après qu’il en a eu connaissance, indique Nesrine Benyahia. Cette procédure d’information doit être formalisée. Il conviendra aussi de revoir les termes de certains contrats, comme celui passé avec l’hébergeur de données numériques, pour qu’il prévoit d’informer l’infirmière d’une éventuelle atteinte au serveur dans les plus brefs délais. » À défaut d’avoir anticipé cette réactivité, une violation de données chez le sous-traitant pourrait entraîner la responsabilité solidaire du cabinet.
Autre exemple, la procédure requérant le consentement du patient devra désormais se faire par écrit. À compter du 25 mai, il devra signer un document détaillant le contenu et les finalités du traitement de ses données personnelles, et l’informant notamment de son droit d’accès, de modification et de portabilité, avec mention du référent à contacter et de ses coordonnées.
L’opposition du patient et son droit à l’oubli – reconnu par le règlement européen –, qui consistent à faire effacer ses données personnelles sur demande, seront en revanche tout relatifs lorsqu’ils concerneront les données de santé : « Ils devront être motivés par un motif légitime et conciliés avec l’obligation légale de conservation de ces données », précise Nesrine Benyahia.
Formaliser le registre, connaître le droit et savoir les concilier les règles ne s’improvise pas. Ainsi, le règlement impose au responsable du traitement des données de nommer, auprès de la CNIL, un délégué à la protection des données (DPD). Ce professionnel sera chargé de réaliser les déclarations à la CNIL, de vérifier les conformités, de gérer les demandes d’accès aux données personnelles formulées par les patients, de correspondre avec les sous-traitants, d’effectuer une veille juridique et d’endosser un rôle de conseil.
Il devra aussi réaliser une analyse d’impact sur la vie privée des personnes, lorsque le traitement de leurs données personnelles sera susceptible d’entraîner des risques importants pour leurs droits et libertés. Cette étude décrira la nature et les finalités du traitement pour en évaluer l’opportunité et le limiter au strict nécessaire.
« Le délégué à la protection des données doit obligatoirement avoir des connaissances en droit et en pratique de protection des données, prévient Nesrine Benyahia. En l’absence d’un tel profil dans l’entreprise, il s’agira d’un prestataire externe compétent : avocat, consultant… »
Au 25 mai, la désignation d’un délégué et l’analyse d’impact ne seront obligatoires que dans certains cas, notamment « lorsque l’activité de base traite à grande échelle des données de santé, ajoute la juriste. Cette notion n’est pas explicitée. Les lignes directrices du règlement précisent toutefois qu’elle exclut les médecins exerçant à titre individuel… et, par extension, tous les professionnels libéraux exerçant sous cette forme. A contrario, les infirmières exerçant en société (SEL, etc.) devraient s’y conformer ».
Un projet de loi est à l’étude pour adapter la législation française à la nouvelle réglementation européenne. Il pourrait renforcer ou préciser ces obligations.
Alertée par un rapport de la Cour des comptes en 2016 et après une série de contrôles menés auprès de la Caisse nationale d’Assurance maladie des travailleurs salariés (Cnamts), de prestataires techniques et de caisses primaires d’assurance maladie (CPAM), la CNIL a conclu à plusieurs insuffisances de sécurité pouvant fragiliser le dispositif Sniiram (Système national d’information inter-régimes de l’Assurance maladie). Cette base de traitement « contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.) », précise la CNIL, qui a mis fin février la Cnamts en demeure de prendre les mesures de sécurité qui s’imposent, dans un délai de trois mois, sous peine de sanction.