Les infirmières libérales et le RGPD, un an déjà

Depuis un an, le RGPD représente la nouvelle règle s’appliquant pour le traitement des données. Les infirmières libérales ont, elles-aussi, du se soumettre à ces nouvelles obligations. Quelles sont ces nouvelles contraintes et comment les appliquer au quotidien ?

Le RGPD et l’activité des infirmières libérales, de nouvelles contraintes à prendre en compte

Depuis un an, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. C’est le 25 mai 2018, que cette nouvelle réglementation européenne est opposable à toutes les entreprises et à tous les professionnels exerçant sur le vieux continent. Il concerne les infirmières libérales comme tous les professionnels de santé, mais aussi les administrations et les entreprises commerciales. L’objectif affiché consiste à mieux protéger les données des citoyens et à donner à ces derniers un pouvoir de contrôle élargi sur l’utilisation qui peut être faite de ces données.

Le sujet est vaste et doit mobiliser l’attention des infirmières libérales en France. En effet, le RGPD remplace ainsi un ancien cadre juridique, qui datait de 1978. Concrètement, lorsque l’on parle de traitement de données, on doit comprendre :

• Le recueil de ces données
• La manipulation de ces dernières
• Le stockage de celles-ci
• L’utilisation
• La communication à autrui

Au quotidien, les infirmières libérales sont amenées à recueillir les données de leurs patients, qu’il s’agisse d’informations générales et d’informations de santé, définies comme données sensibles par le RGPD. Et les obligations en la matière engagent la responsabilité des personnes en charge de ce traitement des données. En d’autres termes, en cas de non-respect du RGPD, une infirmière libérale peut être poursuivie et condamnée.

Les données recueillies par l’infirmière libérale, des données personnelles aux données sensibles

Toutes les données collectées par l’infirmière libérale ne sont pas des données de santé, dites sensibles. Ainsi, les coordonnées des patients sont considérées comme des données personnelles. En revanche, en scannant une ordonnance, ou en prenant une photo de plaie, l’infirmière libérale recueille alors des données qualifiées de sensibles, puisque touchant l’état de santé de son patient ou de sa patiente. Il en ira de même avec les dossiers de soins, les observations ou même les constantes relevées par l’infirmière libérale. Aux termes de cette nouvelle législation du RGPD, chaque professionnelle de santé doit en garantir :

• La confidentialité
• La sécurité
• L’accessibilité

Il est déjà essentiel de souligner que les dispositions du RGPD s’utilisent à tout traitement de ces données sensibles, que ce soit sous une forme digitale (logiciel infirmier, application, …) mais aussi sous une forme papier.

Quelles sont les données concernées pour les infirmières libérales ?

Aux termes de la loi, les données doivent être « adéquates, pertinentes et limitées ». Vous pouvez donc conserver les données nécessaires à votre prise en charge du patient. Vous devez informer vos patients de cette collecte d’informations. Contrairement aux données personnelles, les données sensibles recueillies par une infirmière libérale pour l’exercice de sa mission ne nécessitent pas de demande d’autorisation, dans la mesure où ces données sont nécessaires aux soins prodigués. Depuis l’entrée en vigueur du RGPD, et si vous vous conformez à la loi, vous n’avez plus besoin de déclarer cette collecte d’informations auprès de la CNIL.

Quelles sont les nouvelles obligations nées avec le RGPD ?

Comme tous les responsables du traitement et de l’utilisation de données, l’infirmière libérale doit être en mesure de justifier des actions entreprises pour se conformer à la législation européenne. Aussi, un registre des activités de traitement doit être créé sous format numérique ou traditionnel. Ce registre doit contenir toutes les décisions prises quant aux données, que vous recueillez et que vous utilisez. Pour vous faciliter la tâche, la CNIL propose un modèle de base sous format Word ou PDF de ce registre . En revanche, si le RGPD a créé aussi une nouvelle fonction avec le délégué à la protection des données (DPO), les infirmières libérales ne sont pas tenues de désigner un tel DPO , dès lors qu’elles exercent à titre individuel. La question peut se poser pour des traitements à grande échelle, comme pour des maisons de santé par exemple.

La sécurité des données sensibles, une mission clé pour les infirmières libérales

Tout doit être fait pour protéger et sécuriser la collecte mais aussi la sauvegarde de ces données, et ce devoir de sécurité et de confidentialité engage la responsabilité des infirmières libérales qui sont concernées. Cela concerne aussi bien la sauvegarde de ces données pour les dossiers patient notamment mais aussi la collecte de ces dernières lorsque l’infirmière est au domicile de sa patientèle avec son Smartphone ou une tablette tactile.

Tout commence donc dès la collecte avec un principe, celui de la minimisation. L’infirmière libérale ne doit collecter et surtout conserver que les données dont elle a besoin, sans intégrer celles qui s’avèrent inutiles. Que cette collecte de données se fasse au domicile des patients ou au cabinet de l’infirmière médicale, la professionnelle de santé mettra tout en œuvre pour sécuriser ses données. Un Smartphone comme un ordinateur peuvent être facilement piratés, perdus ou même volés. Il faut donc que la professionnelle de santé utilise un logiciel infirmier sécurisé ou une application sécurisée sur son Smartphone. C’est une recommandation essentielle et « obligatoire » aux termes du RGPD. Il en ira de même avec la conservation de ces données, qui ne peut pas être, pour ces données sensibles, faite sans protections supplémentaires. Cette sauvegarde ne peut donc se faire sur un support (clé USB, ordinateur, …) sans prendre de risques et devra donc être faite sur des serveurs sécurisés et agréés pour l’hébergement des données de santé. Albus Air vous garantit ainsi un hébergement agréé par l’ASIP, l’Agence Française de la Santé Numérique.

Accessibilité et confidentialité des données, une autre mission dévolue aux infirmières libérales

Comme chaque acteur de l’utilisation de données, l’infirmière libérale doit veiller à limiter, dans la durée, la conservation des données sensibles. Si les infirmières libérales doivent se soumettre aux obligations légales en la matière, elles doivent s’assurer d’effacer ces données, une fois le délai écoulé.

Enfin, il appartient à l’infirmière libérale de veiller à la confidentialité des données recueillies tout en les communiquant aux destinataires autorisés (patient, médecins, secrétaire, …). Seules ces personnes autorisées doivent pouvoir accéder à ces données, et les infirmières libérales doivent limiter cet accès aux seules données, dont ces destinataires ont besoin. Cette obligation souligne, une fois de plus, l’importance d’utiliser une messagerie sécurisée, afin de se protéger de tout piratage ou de vol de données.

Voilà donc les nouvelles obligations faites aux infirmières libérales comme à tous les professionnels de santé depuis l’entrée en vigueur du RGPD.

Les 6 points essentiels du RGPD pour les infirmières libérales

1. Le RGPD s’applique aussi bien aux supports papier qu’aux traitements informatiques des données.
2. La collecte et la sauvegarde des données sensibles doivent être sécurisées (Application, logiciel infirmier, serveur labelisée Hébergement Données de Santé, …)
3. Communication des données de santé aux personnes autorisées uniquement
4. Information des patients obligatoire sans avoir à obtenir leur consentement
5. La durée de conservation des données n’est pas illimitée
6. Tenue d’un registre des traitements de données et disparition de la déclaration obligatoire à la CNIL

Et vous, êtes-vous à jour en matière de respect du RGPD ? Comment avez-vous procédé pour vous conformer à cette nouvelle législation ? Quelles ont été les principales difficultés en la matière ?