Le RGPD prévoit un cadre spécifique pour la collecte et la protection des données. Tout patient pris en charge par un professionnel de santé, un réseau ou un établissement de santé a le droit au respect de sa vie privée et à la confidentialité des informations le concernant. Sauf dérogations expressément prévues par la loi, cette confidentialité porte sur toutes les informations dont un professionnel de santé a connaissance sur la personne. Ce secret s’adresse à tous les professionnels impliqués dans le système de santé.
Qu’est-ce qu’on entend par données de santé ?
Tout médecin est amené à recevoir ou à diffuser des informations sur ses patients et collecte des informations pour gérer son activité (par exemple, gestion de personnel, de fournisseurs, etc.). Les informations qu’il reçoit et/ou transmet dans le cadre de son exercice professionnel sont considérées comme des données personnelles. En pratique, cela peut être :
- des données d’identification, telles que nom, prénom, adresse ou numéro de téléphone ;
- des informations personnelles du patient (telles que le nombre d’enfants), sa couverture sociale (telles que l’assurance médicale obligatoire, l’assurance de santé complémentaire, etc.) ;
- et notamment les informations liées à sa santé (pathologie, diagnostic, prescriptions, soins infirmiers, etc.), tout professionnel intervenant dans sa prise en charge.
Dans le cadre de son exercice, un professionnel de santé détient également le numéro de sécurité sociale (numéro d’enregistrement dans le répertoire personnel – NIR) du patient afin de facturer les actes effectués.
Quels sont vos droits et comment les exercer ?
En vertu du Règlement général sur la protection des données et de la Loi informatique et libertés, vous avez des droits pour contrôler vos données personnelles. Vous pouvez également lire cet article pour en savoir plus.
Le droit à l’information
Vous avez le droit d’être informé du traitement de vos données personnelles. Ces informations doivent être concises, transparentes, compréhensibles et accessibles via le site internet et affichées dans le local du professionnel de santé.
Le droit d’accès
Vous disposez d’un droit d’accès et de demande de copie des informations personnelles vous concernant traitées par l’établissement ou le médecin. La demande d’accès et une copie de votre dossier médical doivent respecter les modalités spécifiques à cette demande.
Le droit de rectification
Si vous constatez des informations erronées ou incomplètes vous concernant, vous pouvez demander qu’elles soient corrigées, complétées ou mises à jour.
Le droit à l’effacement ou « droit à l’oubli »
Vous pouvez demander la suppression de vos informations personnelles. Cependant, les informations médicales contenues dans votre dossier médical ne peuvent pas être supprimées, car il s’agit d’une obligation légale et les frais sont à la charge de l’établissement médical.
Le droit d’opposition
Vous avez le droit de vous opposer au traitement de vos données personnelles à des fins médicales. Toutefois, vous opposer au traitement des données nécessaires à votre prise en charge médicale pourra vous empêcher de prodiguer des soins au sein de l’établissement.
Le droit de restreindre le traitement
Si vos informations personnelles font l’objet d’une demande de correction, de suppression ou d’opposition, vous pouvez demander un gel temporaire de l’utilisation de certaines de vos données durant la vérification ou l’examen de votre demande.
Le droit d’accès aux dossiers médicaux
Vous pouvez vous adresser directement à votre médecin si vous avez des questions sur la protection de vos données ou à l’exercice de vos droits. Si vous avez des difficultés, vous pouvez également déposer une réclamation auprès de la CNIL. Bien entendu, cette notice d’information doit être adaptée à votre situation spécifique. Elle s’applique uniquement à la gestion des dossiers médicaux. Si d’autres traitements ont lieu (exemple : recherche, utilisation de plateformes sécurisées de gestion de rendez-vous), vous devez fournir des informations précises sur ce traitement, notamment sur le fondement légal, la finalité de ce traitement, la durée de conservation des données.