Les structures d’exercice coordonné nécessitent la mise en œuvre d’un système d’information partagé, en particulier pour organiser et mutualiser les ressources et faciliter la coordination des soins.

Ce système d’information partagé soulève trois questions :

• Quelles informations peuvent partager les professionnels de santé ?
• Comment choisir le logiciel dédié à l’exercice coordonné ?
• L’exercice coordonné implique-t-il la désignation d’un délégué à la protection des données ?

Quelles informations peuvent partager les professionnels de santé ?

Même si le secret médical conserve son caractère absolu, le législateur en a modifié la portée dans l’intérêt du patient, dans un contexte d’outils communicants toujours plus performants.

Il est aujourd’hui plus facile de partager les informations concernant le patient grâce à la notion d’équipe de soins, sous réserve de satisfaire trois conditions :

• Les professionnels participent à la prise en charge du patient et les informations sont strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social ;
• Les professionnels agissent dans le périmètre de leurs missions ;
• Le patient ne s’est pas opposé aux échanges ou au partage d’informations (en revanche, en dehors d’une équipe de soins, prévaut la logique du consentement et non la logique de l’opposition).

L’article L.1110-12 du Code de la santé publique définit l’équipe de soins et est complété par l’article D.1110-3-4 qui liste les structures de coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale dans lesquelles peuvent exercer les membres d’une équipe de soins.

Enfin nous pouvons rappeler que le Code pénal prévoit que l’obligation au secret s’impose à tout dépositaire d’un tel secret et donc à toute personne dont la profession ou la fonction lui donne l’occasion de connaître de l’état de santé d’un malade, qu’il s’agisse ou non d’un professionnel de santé.

Aujourd’hui il vous est donc plus aisé de partager des informations sur un patient à condition bien entendu de respecter strictement le cadre juridique qui aménage le secret médical et plus largement le secret professionnel, mais également les principes de loyauté, de proportionnalité, de confidentialité et de transparence voulus par le Règlement européen sur la protection des données (RGPD).

Comment choisir le logiciel dédié à l’exercice coordonné ?

Si l’éditeur de logiciel accède aux données, pour la maintenance ou l’assistance par exemple (l’assistance étant une opération de support, de conseil et d’aide), ou s’il met à disposition un logiciel ou une application en mode Saas (« software as a service », logiciel en tant que service), il est alors un sous-traitant soumis aux obligations du RGPD et dès lors sa responsabilité pourra être engagée s’il n’a pas respecté ses obligations prévues par le RGPD et contractuellement ou s’il a agi en dehors de vos instructions.

En revanche, s’il n’opère aucun traitement de données personnelles, l’éditeur de logiciel est exclu au sens strict du champ d’application matériel du RGPD. Aussi, si l’éditeur se « contente » de concevoir, développer et commercialiser un logiciel sans aucune possibilité d’accès aux données, il conviendra d’être davantage vigilant dans le respect de la réglementation relative à la protection des données à caractère personnel puisque l’éditeur ne sera pas considéré sous-traitant au sens du RGPD et échappera ainsi aux obligations susvisées.

Il faudra vérifier par exemple que le progiciel a été conçu en tenant compte des impératifs de « privacy by design » (protection de la vie privée dès la conception) et de « privacy by default » (protection de la vie privée par défaut).

Le logiciel devra permettre un paramétrage des accès aux informations afin que les professionnels, et en particulier les non-professionnels de santé, ne puissent prendre connaissance que des données nécessaires à l’accomplissement de leurs missions. De même, l’accès aux informations devra être tracé dans le système informatique.

Ainsi il vous faudra choisir un logiciel qui semble respecter au mieux les règles européennes et nationales de protection des données personnelles. En ce sens, le logiciel que vous utiliserez participera à votre conformité au RGPD (« compliance »).

Pour vous y aider, vous pouvez choisir une solution labellisée qui présente plus de garanties d’ordre fonctionnel et sur la conformité du logiciel à la réglementation en vigueur. En effet, l’Asip Santé délivre un label e-santé « logiciel maisons et centres de santé » à tout éditeur qui s’est engagé dans un processus de conformité. https://esante.gouv.fr/labels-certifications/label-e-sante-logiciel-maisons-centres-de-sante

Ceci étant, ce processus ne fait pas tout car la conformité aux règles du RGPD nécessite une vigilance continue et dynamique eu égard à la sensibilité des données et à la nécessité de formaliser les informations à partager.

L’exercice coordonné implique-t-il la désignation d’un délégué à la protection des données ?

La désignation d’un délégué à la protection des données (DPD ou DPO) doit être envisagée lorsque les activités de base de la structure consistent en un traitement à grande échelle de données de santé.

Il appartient au responsable de traitement de décider de qualifier son traitement de « traitement à grande échelle » en appréciant le nombre de personnes concernées, le volume et de la nature des données traitées, la durée ou permanence et l’étendue géographique des activités traitées.

Par exemple, il a été considéré que le traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités est un traitement à grande échelle alors que ce n’est pas le cas pour le traitement des données de patients par un médecin exerçant à titre individuel.

De même, le titulaire d’officine n’a pas à désigner de DPO mais la CNIL estime que les pharmacies en réseaux ou de taille importante gérant par exemple un fichier de plusieurs milliers de personnes, exercent leurs activités à grande échelle et doivent donc désigner un DPO.

S’agissant des professionnels de santé libéraux exerçant sous des formes d’exercice coordonné, la désignation d’un DPO est essentielle et s’inscrit pleinement dans le respect du principe de responsabilité (dit « principe d’accountability »), c’est-à-dire l’obligation pour eux de mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données dont les principes de loyauté, de proportionnalité, de confidentialité et de transparence précités.

D’ailleurs la CNIL préconise sur son site que « si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.). ».

En effet, le DPO que vous désignerez pourra être interne ou externe, mutualisé ou non. De nombreux « professionnels » proposent leurs services pour être votre DPO ou remédier à vos éventuelles carences ou défauts de conformité (absence de base légale, absence de durées de conservation, défaut d’information des personnes, présence de données excessives, absence de recueil du consentement, défaut de sécurité, détournement de finalités, etc.).

Soyez vigilants quant à la qualité de certaines offres qui peuvent même s’apparenter à des pratiques commerciales trompeuses. N’hésitez pas à vérifier tant l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD, que la nature des services proposés : la mise en conformité au RGPD nécessite bien plus qu’un simple échange ou l’envoi d’une documentation.

Dans certains cas, il peut aussi s’agir de manœuvres pour collecter des informations sur une structure en vue d’une escroquerie ou d’une attaque informatique. https://www.cnil.fr/fr/pratiques-abusives-mise-en-conformite-RGPD-CNIL-DGCCRF

Plus de la moitié des violations de données notifiées à la CNIL trouvent leur origine dans du piratage, des logiciels malveillants ou de l’hameçonnage !