Le 25 mai, le RGPD sera applicable dans toute l’Union européenne. Les kinés libéraux sont eux-aussi concernés par cette législation visant à protéger les usagers européens et donc les patients et les patientes.

L’entrée en vigueur du RGPD, le moment pour se mettre à jour dans votre cabinet de kinésithérapie

Voté en 2016, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur, dans toute l’Union Européenne, le 25 mai 2018. Si toutes les entreprises sont concernées dès lors qu’elles recueillent et traitent des données personnelles, les professionnels de santé sont eux-aussi soumis aux nouvelles règles imposées par le RGPD. En effet, en voulant organiser et sécuriser le traitement des données personnelles, les autorités européennes souhaitaient principalement encadrer les nouvelles pratiques marketing. Mais cette volonté de protéger les consommateurs et consommatrices s’est étendue à tous les actes du quotidien, dont la santé. Un cabinet de kinésithérapie devra donc pouvoir attester du respect de ces nouvelles règles. C’est donc le moment de faire le point sur ce sujet, bien souvent délaissé voir ignoré par un grand nombre de kinés libéraux.

Cette législation concerne toutes les données personnelles, que leur traitement soit automatisé (par un logiciel notamment) ou non, que la conservation soit numérique ou sur papier. Le cabinet d’un kiné libéral doit donc se plier à ces obligations, puisque les données recueillies représentent non seulement des données personnelles mais aussi des données de santé, encore plus sensibles que les premières. Les dossiers des patients d’un kiné libéral contiennent, en effet, des éléments permettant d’identifier directement ou indirectement la personne concernée.

Comment rendre les données personnelles recueillies par le cabinet de kinés libéraux conformes à la RGPD ?

Puisque le RGPD ambitionne de mieux protéger les patients et les patientes, la législation prévoit aussi des sanctions plus lourdes pour les professionnels, ne respectant pas les nouvelles contraintes. La règle de base est simple : les données personnelles et les données de santé doivent être protégées à chaque étape de leur traitement (collecte, enregistrement, stockage, consultation, utilisation, transmission).

De manière pratique, dans un cabinet de kiné libéral au quotidien, il faudra donc veiller à verrouiller le clavier des ordinateurs, dès lors que le kiné et/ou l’assistante médicale s’absente ne serait-ce qu’une minute. De même, la règlementation préconise que le cabinet de kinésithérapie devra sécuriser les différents mots de passe et que ces derniers devront être changés au moins deux fois par an.

Si le cabinet du kiné libéral conserve les données de ses patients sous une forme papier, l’armoire d’archivage devra obligatoirement être fermée à clé. Mais le cabinet du kiné libéral devra aussi penser à protéger ces données recueillies, en incluant des clauses de confidentialité dans les éventuels contrats signés entre le cabinet et une (ou plusieurs) assistante(s) médicale(s).

Le kiné libéral devra pouvoir prouver des actions engagées !

Comme on peut le constater, le RGPD n’introduit pas une révolution en matière de collecte et de traitement des données personnelles, mais impose l’optimisation de la sécurité à chacune des étapes de la vie de ces données. Cette nouvelle exigence ne dispense pas le kiné libéral du respect des règles déjà édictées en matière de données de santé. Ces dernières ne devront donc jamais être envoyées à partir d’une messagerie électronique traditionnelle mais toujours à partir d’une messagerie de santé sécurisée.

Enfin, le RGPD introduit, dans le droit français, le principe d’Accountability, un principe de responsabilité. De manière très concrète, il appartiendra au cabinet libéral de prouver le respect des règles. Un registre devra ainsi être créé dans le cabinet du kiné libéral, afin de recenser précisément toutes les procédures mises en places et les actions entreprises comme par exemple :

  • De quelle manière, le kiné libéral verrouille-t-il son clavier d’ordinateur lorsqu’il s’absente ?
  • Quelles sont les règles pour créer un mot de passe ? Combien de fois sont-ils changés chaque année ?
  • Quelle est la procédure en cas d’envois de messages électroniques ?
  • ….

Si de nombreuses entreprises ont déjà fait savoir qu’elles ne seraient pas prêtes le 25 mai prochain, on peut penser, que certains cabinets de kinés libéraux n’auront pas eux non plus adapté leurs pratiques au RGPD. On peut naturellement imaginer que les autorités publiques seront bienveillantes dans un premier temps, ce qui n’empêche que le RGPD devra bien, à court terme, être opérationnel partout en Europe.

Et vous, avez-vous déjà pensé aux pratiques à modifier ou aux procédures à mettre en place dans votre cabinet ? Etes-vous déjà prêt ?