Psychologues libéraux et RGPD : décryptage de vos obligations

Vous pensiez peut-être que le Règlement Général sur la Protection des Données (RGPD) ne concernait que les grandes entreprises, les multinationales ou les géants du numérique. Après tout, en tant que psychologue, vous n’êtes ni une start-up ni une société de commerce en ligne. 

Pourtant, le RGPD s’applique bel et bien à votre activité professionnelle. En effet, chaque jour, vous collectez, stockez et manipulez des données personnelles, certaines sensibles, concernant vos patients : leur identité, leur historique médical, leurs confidences. Ces informations constituent le cœur de votre pratique, mais elles impliquent aussi des responsabilités légales et éthiques que vous ne pouvez ignorer.

Pour vous aider à comprendre cette réglementation européenne parfois complexe et mieux appréhender vos obligations, plongeons ensemble dans ses principales implications, un petit décryptage s’impose !

Obligation n° 1 - Informer les patients : un pilier de la transparence

Vous pourriez vous dire que rédiger une politique de confidentialité n’est qu’une contrainte administrative supplémentaire imposée par le RGPD. Pourtant, ce document joue un rôle clé dans votre pratique : il est un levier essentiel pour bâtir une relation de confiance avec vos patients. Informer vos patients de manière claire et transparente sur l’utilisation de ses informations est une démarche indispensable.

La politique de confidentialité, rédigée en des termes simples et accessibles, leur permet de comprendre ce que deviennent leurs données : pourquoi elles sont collectées, comment elles sont utilisées, et comment elles sont protégées. Elle doit également leur présenter leurs droits, garantis par le RGPD, comme celui de consulter leurs données ou d’en demander l’effacement ou encore le droit à la portabilité des données lorsqu’il est applicable. Concrètement, cela pourrait se traduire par l’affichage, dans votre salle d’attente, d’un document clair qui reprend les informations essentielles mentionnées précédemment.

Ce document ne se limite pas à cocher une case légale : il incarne vos valeurs professionnelles, mettant en avant votre sérieux et votre engagement envers la protection des données personnelles de vos patients, contribuant à renforcer la qualité de la relation thérapeutique qui est au cœur de votre métier de psychologue.

Obligation n°2 : Assurer la sécurité des données personnelles : des gestes simples mais essentiels

Vous détenez des informations extrêmement sensibles sur vos patients et garantir leur sécurité est crucial. Si vous présumez qu’assurer cette sécurité relève uniquement de mesures complexes, détrompez-vous : de bonnes pratiques simples peuvent déjà faire toute la différence.

• Commencez par verrouiller vos sessions informatiques dès que vous vous éloignez de votre poste de travail, même pour quelques instants. Ce réflexe basique peut éviter des accès non autorisés.

• Pensez également à effectuer régulièrement des sauvegardes de vos données, que ce soit sur un support externe sécurisé ou via des solutions cloud répondant aux exigences d’une conformité au RGPD.

• Enfin, si vous utilisez des dossiers papier, leur stockage dans une armoire fermée à clé dans un lieu sécurisé reste indispensable. Par exemple, lorsque vous prenez des notes pendant les séances, veillez à sauvegarder régulièrement celles-ci si elles sont enregistrées sur ordinateur, en utilisant un support sécurisé. En ce qui concerne les notes prises sur papier, assurez-vous qu’elles soient soigneusement rangées dans une armoire fermée à clé, située dans un espace sécurisé et inaccessible aux tiers, comme la personne en charge du ménage dans vos locaux.

Lorsque votre activité repose sur des outils numériques, la qualité et la conformité de ces derniers jouent un rôle clé. Assurez-vous que le logiciel que vous utilisez pour la gestion des dossiers patients garantit un haut niveau de sécurité et qu’il respecte les exigences du RGPD : chiffrement des données, contrôle d’accès et mise à jour régulière. Investir dans des outils fiables, c’est protéger à la fois vos patients et votre propre responsabilité juridique, donc la pérennité de votre activité.

Obligation n°3 : Adopter des durées de conservation adaptées

Vous l’aurez deviné, conserver les données de vos patients, tels que les comptes rendus des séances, qui regroupent les observations cliniques et les notes essentielles pour le suivi du patient, ne peut être effectué sans limitation de temps. La réglementation impose de fixer une durée de conservation pour chaque type de données personnelles traitées. Mais comment déterminer cette durée de conservation ?

De manière générale, le RGPD spécifie que les durées de conservation minimales imposées par les législations diverses doivent être adoptées aussi comme des durées maximales de conservation, sauf justification particulière. 

Les psychologues ne sont pas des professionnels de santé tel que défini par le code de la Santé Publique. Cependant, ils sont bien évidemment des professionnels reconnus comme intervenant dans le système de santé, sont référencés à ce titre dans le répertoire RPPS, et participent au parcours de santé en collaboration avec l’ensemble des acteurs de santé. Ainsi, il est communément accepté comme adéquat que la durée de conservation de vos dossiers patients soit calquée sur la durée de rétention des dossiers médicaux : 20 ans depuis la dernière visite, a minima jusqu’à l’âge de 28 ans. 

 Une fois ce délai écoulé, les données doivent être supprimées de manière sécurisée, qu’elles soient sur support papier ou numérique, soit en détruisant les dossiers papier avec une déchiqueteuse, soit en effaçant les fichiers numériques avec un logiciel spécialisé ou en surveillant cette bonne gestion dans un logiciel en ligne que vous pourriez utiliser.

Obligation n°4 : Documenter et tenir à jour les registres 

En tant que responsable de traitement, vous êtes chargé de définir les finalités et les moyens du traitement des données personnelles, en d’autres termes, « pourquoi » et « comment » traitez-vous ces informations.

1- Le registre de traitement 

Pour répondre à vos obligations, la création d’un registre des traitements est incontournable. Ce document détaille pour chaque type de traitement : la base légale, la finalité, les données concernées, les durées de conservation, les mesures de sécurité appliquées, ainsi que les éventuels transferts de données. Cela peut paraître contraignant, mais rassurez-vous, la plupart des réponses se trouvent déjà dans vos pratiques quotidiennes. Il suffit de les organiser et de les formaliser. 

Par exemple, une fiche de traitement intitulée "Gestion du suivi des patients" détaille le ou les finalités, telles que l'analyse des besoins et des problématiques des patients et l'amélioration des pratiques professionnelles. La base légale repose sur l'intérêt légitime, ou le consentement s’agissant de l’utilisation d’un logiciel. Les informations traitées incluent les données d’identification, les données de santé, avec une durée de conservation qui pourrait être fixée à 20 ans après la fin du suivi. Enfin, des mesures de sécurité adéquates, comme le stockage sécurisé des données, y sont tracées.

2- Registre des violation de données personnelles 

Un autre registre important est celui des violations de données. Ce registre constitue un outil indispensable pour documenter avec précision chaque incident de violation de données, quelle que soit sa nature. Pour mieux comprendre l'importance de ce registre, il est nécessaire de définir ce qu'on entend par "violation de données".

Une violation de données se traduit par un incident de sécurité ayant entraîné la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles. Cela inclut ainsi tout accès non autorisé à ces informations, que ce soit de manière accidentelle ou en raison d’un acte malveillant. Si la première image qui vous vient à l’esprit est celle d’un piratage informatique sophistiqué, sachez qu’une violation peut revêtir des formes bien plus courantes. Parmi elles, l’envoi d’un courriel à un mauvais destinataire, le vol d’un ordinateur ou encore la destruction accidentelle de dossiers. Ces situations, bien que plus simples, n’en restent pas moins graves et nécessitent une gestion rigoureuse. En tant que tel, si vous envoyez par inadvertance une facture ou une feuille de soin  à une adresse e-mail incorrecte, cet incident devra être consigné dans le registre des violations de données (et le cas échéant faire l’objet d’actions d’information appropriées).Ce document doit consigner plusieurs éléments indispensables : la date et l’heure de la violation, une description détaillée de l’incident, le type de données concernées, les conséquences potentielles, ainsi que les mesures correctives mises en place. 

3- Le registre des demandes d’exercices de droits Informatique et Liberté 

Ce registre permet d’assurer la traçabilité et la transparence des échanges avec les personnes faisant exercice de leurs droits sur leurs données personnelles. Il doit centraliser toutes les requêtes formulées par vos patients concernant leurs droits, qu’il s’agisse du droit d’accès, de rectification, d’effacement, de portabilité ou encore d’opposition et de limitation du traitement.

Pour chaque demande reçue, plusieurs éléments doivent y être consignés : la nature de la demande  (information, accès, suppression, etc.), l’identité du demandeur (nom, coordonnées), la date de réception de la requête, la réponse apportée (favorable ou refusée), les motifs justifiant la décision, la date à laquelle la réponse a été envoyée.

Par exemple : un patient vous contacte pour exercer son droit d’accès en demandant une copie des factures correspondant aux séances qu’il a effectuées sur l’année écoulée. En tant que psychologue, vous êtes tenu de fournir ces documents, tout en veillant à ne transmettre que les informations strictement nécessaires. 

Cependant, toutes les demandes ne peuvent pas toujours recevoir une réponse favorable. En effet, certaines contraintes juridiques ou techniques peuvent limiter votre capacité à répondre positivement. Dans ces situations, il est essentiel d’expliquer clairement les raisons du refus au patient et de les consigner dans le registre.

Allègement de formalités : ce que vous n’avez pas à faire

Respirez ! Certaines obligations du RGPD, comme la désignation d’un délégué à la protection des données (DPO pour Data Protection Officer) ou la réalisation d’une analyse d’impact, ne concernent pas les psychologues libéraux. Pas d'obligation donc, cependant la désignation d'un DPO peut être un choix pertinent qui vous permettra d'améliorer à coup sûr votre conformité, tout en déléguant cette charge et en gagnant en sérénité.

Un engagement qui fait la différence

Toutes ces pratiques et formalités mettent en valeur votre volonté d'agir en conformité avec les principes de protection des données, ce qui peut être un atout en cas d’audit ou de contrôle par les autorités compétentes. Elles traduisent également votre engagement envers vos patients et incarnent vos valeurs professionnelles. 

Si vous ne deviez retenir qu'une seule chose, ce serait ceci : informer vos patients sur l'utilisation de leurs données personnelles, car cela répond directement à l'exigence fondamentale du RGPD qui est la transparence et la loyauté.

En expliquant clairement aux patients les raisons de la collecte de leurs données, leur utilisation et leur protection, vous vous assurez de respecter leurs droits.

Sources

• https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr

• https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir

• https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

• https://www.cnil.fr/sites/cnil/files/atoms/files/cnil_guide_securite_des_donnees_personnelles-2023.pdf

• https://www.cnil.fr/fr/passer-laction/garantir-la-securite-des-donnees

• https://www.cnil.fr/fr/passer-laction/les-durees-de-conservation-des-donnees

• https://www.cnil.fr/fr/violations-de-donnees-personnelles-les-regles-suivre

Aller plus loin

• https://www.cnil.fr/fr/les-bases-legales/obligation-legale

• https://www.cnil.fr/fr/securite-cloud-informatique-en-nuage

• https://www.cnil.fr/sites/cnil/files/atoms/files/registre_rgpd_basique.pdf

• https://www.cnil.fr/fr/violations-de-donnees-personnelles-les-regles-suivre

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur nos prestations d'accompagnement vers la conformité RGPD !