Télémédecine et responsabilité de la protection des données du patient

Publié le 19 juin 2020

L’épidémie de Covid19 a dopé la pratique de la télémédecine en France afin de continuer à assurer les rendez-vous et la continuité des soins pour les patients. Cette pratique médicale à distance oblige le patient à émettre un certain nombre de données personnelles relatives à son dossier médical. Quid de la répartition des responsabilités en terme de RGPD ? Quelles sont les obligations relatives à chaque partie ?

Professionnels de santé et télémédecine

En tant que professionnels de santé réalisant des actes de télémédecine (téléconsultation médicale, téléexpertise, télésurveillance médicale, téléassistance médicale), vous êtes responsable du traitement des données de vos patients. La plateforme que vous aurez choisie doit très clairement énoncer l’utilisation qu’elle fera des données afin que vos patients puissent exercer leurs droits.

Assurez-vous donc que votre prestataire est en accord avec les exigences RGPD. En effet, un contrat en bonne et due forme doit contenir l’obligation de confidentialité des données, un traitement de données seulement en cas d’instruction écrite, pas de détournement de finalité, un devoir de conseil …

En tant que responsable du traitement des données, vous devez pouvoir répondre de façon transparente aux questions de vos patients et leur communiquer leurs droits d’accès, de rectification ou encore d’opposition.

Vous devez également vous assurer de tenir un registre à jour des traitements de données à caractère personnel. Aussi, assurez-vous que les données que vous collectez sur vos patients soient conservées pour une durée qui ne va pas au-delà de la durée nécessaire à l’utilisation que vous en faites.

Patients et télémédecine

Vos patients, quant à eux, doivent tout d’abord donner expressément son autorisation à l’utilisation du dispositif de télémédecine (articles L. 1111-2 et L. 1111-4 du Code de la Santé Publique).

Ils sont également tenus d’être informés de manière claire et précise sur la façon dont leurs données seront utilisées et les démarches de réclamation auprès des autorités compétentes (CNIL notamment).

Enfin, ils doivent bénéficier d’un droit d’accès à leurs dossiers médicaux et ont la possibilité de s’opposer à l’utilisation de leurs données par des tiers.

Le prestataire de service de téléconsultation

Les plateformes de téléconsultation se doivent de garantir l’entière confidentialité de la téléconsultation mais également des données échangées entre vous et vos patients. Les données cliniques échangées indispensables à la réalisation de l’acte de télémédecine ou encore les données de santé apparaissant lors de la prise de rendez-vous comme les motifs de consultation, la récurrence et l’historique des rendez-vous doivent avoir comme unique destinataire le professionnel de santé téléconsultant.

La CNIL  et le CNOM recommandent aux professionnels de santé de vérifier au préalable que dans le contrat de sous-traitance soient spécifiées les obligations suivantes qui lui incombent :

• Le sous-traitant n’a pas le droit de traiter les données personnelles de vos patients sauf sur votre instruction
• Il se doit de supprimer ou de vous renvoyer la totalité des données personnelles à la fin de la prestation
• Il doit faire appel à un hébergeur de santé certifié
• Il collabore avec vous dans le respect de ses obligations, en particulier quand vos patients les questionnent ou souhaitent modifier les modalités concernant leurs données personnelles. 

Pour tout complément d’information, voici le guide complet sur la protection des données personnelles réalisé par la CNIL et le CNOM : https://www.conseil-national.medecin.fr/sites/default/files/external-package/edition/17ss6et/guide_cnom_cnil_rgpd.pdf