Le RGPD qu’est-ce que c’est ?

Le RGPD est une loi européenne de protection des données à caractère personnel entrée en application le 25 mai 2018. Nous manipulons tous les jours des données personnelles que ce soit avec nos patients (données médicales) ou même avec nos assistantes et fournisseurs (fiches de paies, fiche prothèses, sous traitants, etc). Nous sommes soumis à l’obligation de mettre en place un registre des activités de traitement, ainsi qu’aux respects des règles dites RGPD. Pour cela, il faut se poser plusieurs questions : Quelles sont les données que je récupère, comment je les traite, comment je les conserve ou encore quelles sont les personnes ayant des accès vers ces données.

Mise en place du RGPD au cabinet dentaire

Le Conseil National de l’Ordre des Chirurgiens-Dentiste a mis en place une page dédiée sur son site internet.

Cette page dispose de documents expliquant les conséquences du RGPD pour le chirurgien-dentiste. En plus de ces documents, un registre pré-rempli est accessible directement ici. Comment le remplir ?

  • Il faut un registre par praticien, car les traitements peuvent changer selon votre pratique.
  • Si vous avez un collaborateur ou un étudiant salarié, 1 seul registre pour le titulaire est nécessaire. Il faudra cependant inclure les données concernant votre étudiant salarié ou votre collaborateur dans ce même registre.

Fiche de registre de l’activité de suivi des patients

Le document étant pré-rempli il suffit de remplir les cases en étant précis.

Attention, il faut vraiment penser à toutes les données, ici on parle non seulement de votre logiciel métier, mais aussi de l’envoie des FSE via le système SESAM-VITALE.

fiche RGPD patients

  • Catégories de personnes concernées : patients, tuteurs, autres professionnels de santé.
  • Catégories de données collectées : Il faut pouvoir justifier de toutes données collectées, ainsi, il ne faut lister que ce qui est nécessaire au traitement et à la prise en charge de votre patient (oui, c’est large dans notre activité). Les données de connexion et de localisation n’interviennent qu’en cas de site internet, de prise de RDV en ligne par exemple. N’hésitez pas à rentrer en contact avec votre webmaster ou prestataire de services de RDV en ligne pour ces précisions. Ils devront nécessairement vous aider à répondre à ces questions.
  • Sous-traitants : votre prestataire informatique, votre hébergeurs de site internet, votre prestataire de prise de RDV en ligne, etc. Soyez exhaustif.
  • Mesures de sécurité : CPS, CPE si besoin, décrire selon votre personnel. Concernant les mesures de protection, n’hésitez pas à noter votre système d’exploitation (ex : Windows 10 pro), vos antivirus, etc. De même indiquez les sauvegardes, le rythme, le chiffrement et le logiciel utilisé, et indiquez le nom de votre prestataire informatique en charge de la mise en place si besoin.

Fiche de Registre de l’activité de gestion du personnel

On suivra dans cette fiche la même procédure que précédemment, sauf que cette fois cela concerne le personnel. Il faudrait normalement faire une fiche par poste.

Cette fois, ce sont essentiellement les données qui sont récupérées en tant qu’employeur, comme par exemple le RIB de votre employé pour pouvoir le payer à chaque fin de mois.

fiche RGPD personnels

Si le personnel a accès aux ordinateurs, il faudrait leur allouer un compte spécifique sur le PC pour bien différencier les sessions, avec un mot de passe. Si tel est le cas, de même il faudra renseigner les données enregistrées par le système lors de sa navigation web et son utilisation.

Les prestataires ici sont les comptables ou encore la médecine du travail.

Fiche de Registre de l’activité de gestion des fournisseurs

Cette fiche comprend le même traitement que les précédentes, mais concernent vos fournisseurs, cela inclus les prothésistes, mais aussi vos fournisseurs de matériel pour le cabinet. De même, une fiche par fournisseur est normalement requise. Les éléments à remplir sont du même ordre que les précédentes fiches, je ne re-détaille pas tous les éléments.

fiche Rgpd fournisseurs

Obligations

Vos obligations sont la tenue du registre que nous venons de voir, ainsi que l’affichage pour vos patients du traitement de vos données. Le Conseil National de l’Ordre des Chirurgiens-Dentistes a mis à disposition sur son site un modèle en format PDF. A vous de l’adapter si besoin.

Depuis la mise en place du RGPD, il n’est plus nécessaire de déclarer à la CNIL vos fichiers et traitement de données.

Que faire si on constate une violation? Une violation peut-être tout simplement le vol d’un disque dur contenant des informations, la perte de données ou toutes constations de brèches dans le système. Vous avez alors 72h pour déclarer le sinistre directement sur le site de la CNIL. Vous pouvez avoir plus d’informations sur la procédure sur cette page.

Comment se tenir informer, qui peut aider ?

Votre registre est fait, l’affichage pour vos patients est en place, vous avez vu avec vos différents prestataires vos solutions. C’est bien, tout est ordre. Cependant, il faut rester informé. Pour cela, la plupart des sites traitant de l’actualité informatique parlent du RGPD et de son évolution.

Bien évidemment le site de la CNIL, ou encore du Conseil National de l’Ordre vous tiendrons informés des dispositions en vigueurs. Si toutefois il vous reste des questions, le Conseil Départemental de l’Ordre doit pouvoir vous renseigner sur le RGPD, avec notamment son référent numérique. Il suffit de contacter votre cellule départementale pour avoir une aide sur ce sujet.

Conclusion

La mise en place n’est pas évidente de prime abord, car il faut vraiment se mettre à la place de “données” qui circulent au sein de votre cabinet, et comme vous avez pu le voir, elles sont relativement nombreuses.

Mais finalement, il s’agit essentiellement de se poser les bonnes questions concernant les données : Quelles sont les données dont j’ai besoin, comment sont elles utilisées, stockées, traitées, puis sauvegardées ou archivées. Si ces questions ont été posées en amont, la tenue du registre ne devrait pas vous poser de soucis particuliers. Il faudra veiller à mettre à jour ce registre à chaque changement de traitement des données, y compris de personnel, d’ordinateurs, de logiciels, de sous traitants, etc.