RGPD : spécification et explications

Le Règlement européen sur la protection des données personnelles entré en application le 25 mai 2018 s’impose à toutes celles et ceux qui gèrent des données personnelles. Ils doivent en assurer une protection optimale et être en mesure de le démontrer. Parce qu’ils gèrent les fiches de leurs patients, les kinésithérapeutes sont concernés. Nos explications pour vous y conformer.

Catégories

Définitions et grands principes de protection des données personnelles

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Exemple : nom, prénom, date de naissance, numéro de téléphone, numéro RPPS ou numéro de sécurité sociale.

Qu’est-ce qu’une donnée personnelle de santé ?

C’est une donnée se rapportant à l’état de santé d’une personne concernée qui révèle des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple).

Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin ou le dispositif utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique).

Les données de santé font partie des données sensibles qui représentent des catégories particulières de données.

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement désigne toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé ou support utilisé, et notamment la collecte, l’enregistrement, l’utilisation de toute donnée personnelle.

Exemple : la gestion de votre fichier de patients est un traitement de données personnelles.

Qui est responsable de traitement ?

Le responsable de traitement désigne la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement, sauf désignation expresse par un texte de nature législative ou règlementaire.

Exemple : le masseur-kinésithérapeute libéral est responsable des traitements qu’il met en œuvre et gère. L’employeur du masseur-kinésithérapeute salarié est responsable des applications nécessaires à la gestion de son activité.

Qui est sous-traitant ?

Le sous-traitant désigne toute personne traitant des données personnelles pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur ses instructions.

Exemple : la société prestataire de service qui vous a vendu votre logiciel et qui s’occupe de sa maintenance par exemple ou encore la société qui héberge les données des services en ligne pour le compte du Conseil national de l’Ordre des masseurs-kinésithérapeutes.

Quand vous traitez des données personnelles, vous devez respecter les principes de protection des données suivants

Quel est le rôle de la CNIL ?

Les nouvelles sanctions administratives du RGPD

Quelles sont les obligations des kinésithérapeutes libéraux ?

Qui est responsable de traitement ?

Le masseur-kinésithérapeute est responsable de l’ensemble des traitements mis en œuvre dans le cadre de l’exercice de sa profession.

Qui peut être sous-traitant dans le cadre des traitements de données que je mets en œuvre ?

Par exemple pour les logiciels utilisés pour le suivi des patients, les éditeurs agissent en qualité de sous-traitants auprès des masseurs kinésithérapeutes libéraux.

Attention : revoir vos contrats pour les adapter aux exigences du RGPD (article 28).

Dois-je désigner un DPO ?

Non, le Conseil national de l’Ordre des masseurs-kinésithérapeutes rappelle que les cas de désignation de DPO sont limitativement énumérés par le RGPD et que les masseurs-kinésithérapeutes libéraux ne sont pas concernées du seul fait qu’ils traitent des données.

Le DPO doit, en outre, être distingué du responsable de traitement, notamment au regard du critère d’indépendance prévu par le RGPD.

Dois-je tenir un registre ?

Si le traitement présente un risque élevé, n’est pas occasionnel ou comprend des catégories particulières de données (exemple : les données de santé), alors le responsable de traitement doit tenir un registre.

Dans tous les cas, les masseurs-kinésithérapeutes en libéral doivent tenir un registre car la gestion des données de leurs patients n’est pas occasionnelle et ils gèrent des données de santé.

Le registre doit comporter pour chaque traitement les informations suivantes

Noms et coordonnées du responsable du traitement Catégories de destinataires auxquels les données seront communiquées
Finalités du traitement Transferts de données à caractère personnel mis en œuvre
Catégories de personnes concernées Délais prévus pour l’effacement des différentes catégories de données
Catégories de données à caractère personnel Mesures de sécurité techniques et organisationnelles

Vous trouverez en téléchargement ci-dessous un modèle de registre que vous pouvez adopter.

Registre RGPD – Format Word
Registre RGPD – Format Open Office

Dois-je réaliser une étude d'impact pour les traitements mis en œuvre ?

Non, à partir du moment où le masseur-kinésithérapeute exerce à titre individuel, il n’est pas soumis à l’obligation de mener une analyse d’impact pour les traitements mis en œuvre dans le cadre de son activité.

Attention aux arnaques au RGPD !

La Commission nationale Informatique et Libertés (CNIL) dénonce les démarchages trompeurs qui lui ont été signalés, notamment les organismes qui proposent un formulaire « Déclaration normale RGPD » reproduisant frauduleusement le logo de la CNIL ou encore ceux qui adressent des courriers « Mise en conformité – dernier rappel » avec le logo usurpé de la CNIL ou des fax « RGPD – Mise en conformité » invitant à appeler un numéro de téléphone pour ensuite facturer la fausse mise en conformité au RGPD.

Vous devez donc rester vigilants face à de telles sollicitations et en cas de doute sur la probité d’un démarchage, l’Ordre vous invite à prendre contact au plus tôt avec lui, le DPO ou la CNIL.