Avocate associée
Après un déploiement réussi dans le département pilote d’Indre et Loire, le DMP (pour Dossier Médical Partagé) sera déployé au niveau national à compter de septembre 2018.
A ce jour, plus d’un million de DMP ont déjà été créés sur tout le territoire national et le déploiement prévu en septembre va le rendre incontournable.
Mais le DMP est-il RGPD compatible ?
A la création :
Actuellement le DMP est facultatif et gratuit. Le patient peut créer lui-même son DMP via le site internet de la CPAM dont il dépend ou le faire créer par un agent de cette CPAM en s’y déplaçant. A l’ouverture, le DMP contient déjà des données personnelles du patient (identité, adresse, coordonnées téléphoniques, état civil, remboursements de frais de santé, etc.).
Donc dès ce stade, le patient devra être informé des traitements qui seront opérés sur ses données personnelles figurant dans son DMP et leurs finalités. Le consentement du patient à chaque traitement devra être une manifestation de volonté libre, spécifique, éclairée et univoque.
Pour la création de ce carnet de santé numérique, les CPAM et les professionnels et établissements de santé s’appuient sur des éditeurs de logiciels qui s’appuient, eux-mêmes, pour le traitement des données, sur des fournisseurs d’infrastructure cloud.
Toute cette chaîne de sous-traitance devra être en conformité avec le RGPD dès la conception du logiciel DMP et de l’infrastructure cloud selon les principes essentiels de :
. Finalité des traitements
. Transparence
. Pertinence des traitements
. Limitation de la conservation des données
. Sécurité et confidentialité des données
Le lieu de stockage des données a également son importance puisque le RGPD interdit, sauf dérogations spécifiques, le transfert et le stockage de données personnelles de citoyens européens en dehors de l’Union Européenne.
Les CPAM et les professionnels et établissements de santé devront conclure des contrats de sous-traitances spécifiques avec leurs fournisseurs de DMP. Ces contrats devront être précis et notamment prévoir une clause d’audit de ces fournisseurs.
Ceux-ci devront également avoir réalisé une analyse d’impact (PIA – Privacy Impact Assessment), le déploiement du DMP impliquant un traitement à grande échelle de données de santé.
A l’usage :
Le DMP est enrichi par les informations essentielles du parcours de soins du patient. Ces informations proviennent des praticiens (médecins, pharmaciens, etc.) et établissements que le patient a consultés et c’est le patient qui choisit quel médecin ou quel établissement pourra avoir accès à son DMP pour le consulter ou l’alimenter.
En vertu du RGPD, le patient devra donc être mis en mesure d’effectuer ce choix pour chaque demande de consultation ou d’alimentation de son DMP. Il devra, en outre, être mis en mesure d’exercer l’ensemble des droits tirés du RGPD : droit de rectification, droit à l’oubli, droit à la limitation du traitement, droit d’opposition, droit à la portabilité de ses données.
Parallèlement, il appartiendra à tout praticien ou établissement de santé d’être en mesure de prouver qu’il a obtenu le consentement du patient avant de consulter ou d’alimenter son DMP. L’obtention du consentement du patient sera également essentielle pour tout ce qui concerne la collecte ou la transmission de données de santé figurant sur le DMP du patient entre acteurs de santé.
Chacun des intervenants sur le DMP, qu’il soit responsable de traitement ou sous-traitant devra garantir l’exactitude, la fiabilité, la sécurité et la confidentialité des données de santé qui y figurent à tout moment. Chacun devra être en mesure d’y répondre à première demande de la CNIL, en sa qualité d’autorité de contrôle.
Les actions de maintenance, de supports, de mises à jour et de développements du DMP par l’éditeur de logiciel devront garantir l’intégrité des données existantes.
Les cliniques et établissements de santé accueillant des personnes de renom devront se préoccuper des risques de cyberattaque.
En cas de violation :
Toute violation devra être notifiée à la CNIL dans les 72 heures de sa constatation, ainsi qu’au patient.
Si la violation concerne plusieurs patients, ceux-ci pourront intenter une action de groupe contre l’établissement ou le professionnel de santé.
A cela s’ajoute le droit pour la CNIL d’infliger des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé pour l’entreprise étant retenu.
————————
Article rédigé par Me Félicie Debackere-Keignan
http://www.novaejuris.com
Société d’avocat au Barreau de Paris
