“Il n’existe pas de forteresse imprenable. Il n’y a que des attaques mal menées” - Vauban.

Eclaircissement sur les données personnelles et leurs traitements.

Il n’est pas nécessairement simple de déterminer ce qu’est une donnée personnelle.

La règle est la suivante : toute information permettant d’identifier un individu est considéré comme une donnée personnelle.

Par exemple, un nom de famille (seul) n’est pas considéré comme une donnée personnelle, cependant un nom complété d’un prénom, d’une adresse, etc. oui.

De la même manière, un numéro de patient étant lié à un individu est considéré comme une donnée personnelle, même si pour l’obtenir cela présuppose d’avoir accès à la patientèle, ce qui n’est normalement pas le cas.

Un traitement de données personnelles correspond à tout traitement qui viserait à stocker, manipuler, archiver, etc. des données personnelles.

Il est bien entendu possible de manipuler et d’exploiter des données personnelles mais en respectant le règlement RGPD.

Dans notre article précédent : “L’hébergement des données personnelles et de santé” ici, nous abordions les obligations liées au recueil des données personnelles et de santé. Comment les psychologues et psychothérapeutes peuvent-ils mettre en place cette conformité et quels conseils pouvons-nous donner suivant le support utilisé ?

Recueillir :

Lors de l’anamnèse, les psychologues sont souvent tentés de recueillir de manière très large, toutes les données qui leurs sont confiées. Une trame préétablie permet de limiter ce recueil aux informations essentielles pour la prise en charge et afin de respecter les principes de finalité et de minimisation.

L’obligation au consentement

Quel que soit le support utilisé, vous devez informer vos patients relativement aux données que vous collectez, de la raison pour laquelle vous avez besoin de cette donnée, mais également de ce que sera son cycle de vie. Une activité thérapeutique exclue la commercialisation des données, en revanche si vous contribuez à alimenter un laboratoire en informations dans un objectif statistique, il est nécessaire de le préciser aux patients, et de leur laisser la possibilité de refuser.

Informer :

Les professionnels peuvent expliquer clairement les raisons pour lesquelles ces informations sont nécessaires et comment elles seront utilisées, au moyen d’un affichage et/ou d’un document permettant le recueil du consentement éclairé de chaque patient.

De la même manière vous devez vous mettre en capacité de répondre aux trois demandes suivantes :

• la consultation des données : vous devez être en mesure de d’indiquer à vos patients ce que vous savez d’eux.
• La modification des données : vous devez pourvoir modifier et rectifier leurs données
• la suppression des données : vous devez pouvoir supprimer leurs données s’ils le souhaitent (et les leur restituant s’ils le demande).

Modifier :

Les professionnels ont la responsabilité d’organiser la possibilité pour les patients de consulter (par voie orale et/ou écrite), rectifier, ou de supprimer leurs données. Ces données concernent tous les types de documents ainsi que les notes professionnelles, selon les lois du 6 janvier 1978, du 2 janvier et 4 mars 2002.

Le principe de délégation de responsabilité

Au cœur du RGPD et d’un traitement des données se trouve le principe de délégation de responsabilité.

De ce fait, quand un patient vous autorise à collecter et exploiter ses données personnelles, il vous confie les responsabilités qui vont avec. De la même manière, lorsque vous souscrivez à un service tiers, vous déléguez à votre tour cette responsabilité à votre prestataire.

En tant que professionnel de santé, vous êtes considérés comme responsable de données personnelles, les sociétés auxquelles vous choisiriez de confier vos données sont, elles, considérées comme vos sous-traitants.

Conserver :

Pour ce qui est de la profession de psychologue, les textes ne précisent pas de manière spécifique de durées légales de conservation des dossiers, c’est donc aux professionnels que reviennent de déterminer cette durée. A titre d’exemple, un dossier médical est conservé 20 ans.

Sécuriser :

Pour organiser la sécurisation des données il existe différents moyens possibles, c’est surtout en matière de confidentialité qu’il est important de prendre des dispositions. La mise en conformité RGPD concerne tous les types de supports : papiers ou digitaux. Voici quelques conseils suivant le support utilisé.

Papier vs digital : le tronc commun

Pour les accrocs du papier :

L’anonymisation ou la pseudonymisation

Si vous choisissez l’approche papier, vous devez théoriquement anonymiser vos données. C’est à dire supprimer, masquer ou séparer les données de sorte à obtenir des données « atomiques » (comme un nom de famille seul). A titre d’exemple, vous pourriez utiliser un numéro de patient dans vos notes, et avoir, à part, une fiche avec accès restreint qui fait la correspondance avec la personne à qui correspond ce numéro. Ainsi quelqu’un qui consulterait vos dossiers, sans avoir accès aux fiches n’aurait pas la capacité d’identifier une personne en lisant vos notes.

Pour l’approche digitalisée, c’est le fournisseur de la solution qui prend cette problématique à sa charge en mettant en œuvre un niveau de sécurité et de confidentialité requis.

Pour celles et ceux qui ont fait le choix du papier, les deux défis sont probablement la sécurisation des données (incluant dans le temps) et l’accès aux données.

Concernant le premier point, essayez de scinder les données. Cela aura pour effet de minimiser les conséquences et les risques sur une éventuelle fuite ou perte.

A titre d’exemple, essayez de dissocier l’anamnèse et les documents de suivi de vos patients. Si vous exercez à plusieurs endroits ou dans différents contextes, stockez vos dossiers à l’endroit le plus sécurisé. Si vous exercez dans un cabinet dissocié de votre domicile, ventilez vos documents entre les deux. Bref, en fonction du cas de figure essayez de mitiger les risques du mieux possible.

Avec une telle approche, vous risquez de manquer du document dont vous aviez besoin, c’est votre capacité d’organisation qui prendra le relais.

Pour les accrocs du clavier :

Une bonne partie des difficultés causées par l’approche papier disparaissent si vous empruntez la voie de la digitalisation. En revanche, d’autres apparaissent, principalement liés au choix des mots de passe et à la confidentialité.

“Les mots de passe, c’est comme les sous-vêtements, c’est personnel et ça se change régulièrement” - Un illustre inconnu plein de bon sens.

Quelques règles de base :

• N’utilisez pas le même mot de passe partout. Si une des plateformes où vous l’utilisez devait être compromise, tous vos comptes seraient compromis (potentiellement).
• Favorisez les solutions mettant en œuvre les authentifications à deux facteurs (avec SMS, code Pin, code reçu par mail ou authentificateur).
• Si vous devez vous authentifier sur un site vérifiez que l’accès se fait bien en HTTPS (c’est standard de nos jours mais sait-on jamais) et que le certificat est valide (votre navigateur vous alertera si ce n’est pas le cas).
• N’hésitez pas à vous aider de solutions de gestion de mot de passe. A titre d’exemple Lockself, Bitwarden, 1Password ou efficace également mais un peu plus rustique Keepass.

Concernant ce dernier point, gardez deux choses en tête. Quelle que soit la solution personne n’est à l’abri d’une cyber attaque. LastPass une des solutions de gestion de mots de passe en ligne s’est fait pirater en août 2022 par exemple.

La deuxième chose, c’est vous. Vous pourrez choisir la meilleure solution, la plus fiable, etc… Si vous choisissez des mots de passe trop faibles (trop courts, trop évidents, date de naissance, initiales, etc.), rien n’y fera.

Idéalement, choisissez des mots de passe comprenant au moins 8 caractères, avec majuscules, minuscules, chiffres et caractères spéciaux, sans former de mots identifiables que ce soit en français ou non.

Concernant la confidentialité, ne la prenez pas pour acquise. Beaucoup de grandes sociétés de l’informatique (les GAFAM notamment mais pas que) sont largement en cheville avec leurs états respectifs. Elles sont très sécurisées, aucun doute là-dessus mais pas nécessairement confidentielles (un article détaillant les origines de cette situation suivra, pour les impatients je vous renvoie à la loi FCPA, aux Patriot et Cloud Act).

Continuer :

Pour maintenir la continuité de cette conformité et tenir à jour ses connaissances, une veille sur les sites suivants est nécessaire :

• https://www.cnil.fr
• https://gnius.esante.gouv.fr/fr
• https://esante.gouv.fr/

En synthèse

La sécurité est un processus, non une action ou une réaction. Autrement dit, une fois vos bonnes habitudes mises en place, il faudra les surveiller, les adapter, et le cas échéant, les revoir régulièrement et appliquer le principe de dissuasion. L’idée est de faire le maximum pour mettre vos données et celles de vos patients en sécurité tout en sachant que, malheureusement, malgré tous vos efforts le risque 0 n’existe pas et n’existera jamais.

Il est clair qu’il est peu probable de voir débarquer un commando dans votre salon façon Michael Bay pour vous voler vos dossiers patients, mais il serait naïf de croire que vos dossiers n’intéressent personne. En particulier celles et ceux d’entre vous qui ont des patients susceptibles de subir un chantage (personnes à responsabilité, médiatisées, etc.).