le blog

Le règlement général sur la protection des données au sein des cabinets dentaires

Rédigé par Oliver Weber | Nov 28, 2024 5:31:55 PM

Olivier Weber accompagne PrimoPlan dans le décryptage des risques auxquels sont confrontés les cabinets dentaires dans le cadre du Règlement Général sur la Protection des Données (RGPD). Olivier Weber met en lumière la valeur des données médicales, dont la valeur sur le dark web est estimée 50 fois supérieure à celle des données bancaires, qui en fait une cible de choix pour les cybercriminels.

Ainsi la gestion de ces données sensibles impose aux professionnels de santé une vigilance accrue, notamment en mettant en place des solutions protégeant les données de santé de leur patient et aussi prévenant et gérant au mieux les violations de données. En cas d’incident, une notification à la CNIL sous 72 heures est impérative, accompagnée d'une documentation rigoureuse pour atténuer les conséquences potentielles. Ne pas respecter ces obligations peut entraîner des sanctions administratives sévères, voire des poursuites pénales.

Ainsi, la mise en place de mesures de cybersécurité renforcées et d'une gouvernance claire du RGPD est indispensable pour protéger les droits des patients et la pérennité des cabinets dentaires. PrimoPlan accompagne les cabinets dentaires dans cette démarche de sécurisation des échanges de données de santé via un portail patient sécurisé et certifié hébergement donnée de santé (HDS).

Quels sont les risques pour le cabinet dentaire ?

Sur le dark web, une donnée médicale vaut 50 fois plus qu'une donnée bancaire

Contrairement aux cartes de crédit ou aux identifiants de connexion, les dossiers médicaux ont une longue durée de vie et ne peuvent pas être facilement modifiés, ce qui les rend précieux pour les cybercriminels.

Les dossiers médicaux volés sont difficiles à identifier et permettent aux cybercriminels de les utiliser à mauvais escient pendant de longues périodes sans être détectés.

·       Vol d’identité (usurpation d’identité renforcée)

·       Ransomware (chantage et rançonnage)

·       Dark Web (ex : revente aux assurances, etc… )

Un dossier médical se monnaye 350 euros environ

Les informations personnelles figurant dans les dossiers médicaux d’un patient et qui peuvent intéresser les hackers incluent autant d’éléments permettant de crédibiliser une usurpation d’identité ou de paramétrer un ransomware :

·       Nom

·       Adresse

·       Dates importantes (date de naissance, date de décès, date d’admission/de sortie)

·       Adresses e-mail

·       Numéro de téléphone

·       Numéro de sécurité sociale

·       Antécédents médicaux

·       Informations sur l’assurance maladie

·       Informations financières

·       Numéro de dossier médical

·       Informations sur les prescriptions

·       Numéro Medicaid

·       Carte de mutuelle

·       Prise en charge du devis de la mutuelle

Toute violation de données doit être déclaré sous 72 heures à la CNIL et peut donner lieu à enquête.

Le fait que le dossier médical soit constitué des données personnelles des patients implique une responsabilité pleine et entière du chirurgien-dentiste vis-à-vis de la Commission Nationale Informatique et Liberté au titre du Règlement Général sur la Protection des Données.

La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps :

  • Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation ;
  • Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard ;
  • Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles.

 

Ne pas le déclarer, c’est s’exposer à des sanctions administratives très lourdes voir des poursuites pénales

Dans tous les cas, vous devez documenter en interne l’incident en déterminant :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées par la violation
  • Les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
  • Les conséquences probables de la violation de données ;
  • Les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
  • Le document récapitulatif de votre notification à la CNIL permet de répondre à l’obligation de documentation interne.

 

Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL.

Clairement une telle déclaration implique de la part du déclarant la démonstration implicite de sa maitrise des règles concernant la protection des données et des éléments factuels sur les mesures de cybersécurité qu’il a mis en place.

Il ne faut pas perdre de vue qu’en l’absence de plainte déposé dans les 72 heures, votre assureur ne prendra pas en charge les dommages occasionnés par la violation de donnée y compris à l’égard des tiers

En quoi suis-je concerné ? Qu’est-ce qu’une donnée sensible ? Quelles ont celles que je traite

Ce sont des informations qui révèlent

  • la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale,

 

Ainsi que le traitement

  • des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

 

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants (…) intérêt légitime et intérêt vital du patient  si elles sont nécessaires à la sauvegarde de la vie humaine ;

Pour autant leur traitement doit faire l’objet de précautions renforcées

Qu’est-ce qu’un traitement à risque ? Quel traitement de données génère mon activité ?

Un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » lorsqu’il remplit au moins deux des neuf critères issus des lignes directrices du G29 ; voici les deux critères importants qui concernent les chirurgiens-dentistes :

  • collecte de données sensibles ou données à caractère hautement personnel ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;

 

autres critères :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

 

Le diagnostic, la prescription, la mise à jour du dossier médical sont autant de traitement à risque devant faire l’objet d’une étude d’impact et de mesure de sécurisation renforcé.

Qu’est-ce qu’une violation de donnée dans les faits ?

Le RGPD donne une définition de la violation de données à caractère personnel très claire et qui responsabilise totalement le praticien.

Pour qu'il y ait violation, il faut simplement que deux conditions soient réunies :

  • Vous avez mis en œuvre un traitement de données personnelles (cf. les données de santé sont des données personnelles sensibles)
  • Ces données ont fait l’objet d'une violation par exemple ; perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

 

De cette définition ressort que la responsabilité est engagée

  • Que la fuite de donnée soit accidentelle ou non
  • Que la fuite de donnée soit de son fait direct ou d’un de ses sous-traitants (laboratoires, hébergeurs de données, plate-forme de rendez-vous …) -> mentionné en lien hypertexte les exemples récents de fuite de données dans le milieu médical (Doctolib, Ramsay, Centre médical ou laboratoire)

 

D’où peut venir le risque ?

Des logiciels SaaS ou métier que j’utilise au sein de mon cabinet

Des personnes qui manipulent les données dans mon cabinet ou de mes sous-traitants ou des mes confrères

De l’accès à mes locaux et aux postes de travail

Des outils de messagerie électronique classique (Yahoo, Hotmail, Gmail etc…)

Que puis-je faire ?

Mon cabinet

Bâtir une gouvernance RGPD (lien hypertexte vers les étapes pour construire un registre des traitements : voir l’article sur le RGPD ;

Renforcer la protection de mon système d’information, notamment par l’utilisation de solution EDR managées (précision de l’acronyme pour des non-initiées + lien hypertexte vers une définition)

Vérifier si ma police d’assurance RC couvre bien mon bien le risque cyber

Mes collaborateurs

Former mes collaborateurs aux règles essentielles du RGPD et de la cybersécurité

Contractualiser avec eux la confidentialité des données personnelles qu’elles ont à gérer

Mes sous-traitants / mes confrères

Evaluer leur maturité en matière de gouvernance des données privées grâce à Viqtor®

Contractualiser leur responsabilité en cas de violation de données de leur fait

Mes patients

Informer mes patients que je détiens des données privées les concernant via une affiche dans la salle d’attente ou un document transmis lors de l’accueil

Sécuriser le partage de données de santé avec un portail patient certifié hébergement donnée de santé comme PrimoPlan.
Voir l'article complet