La journée mondiale de la protection des données se tient aujourd'hui ! [1] L’objectif de cette journée est de sensibiliser les populations à l’importance de la protection des données personnelles. À l’ère du numérique, ces informations, portant directement sur des personnes physiques identifiées ou identifiables, sont enregistrées quotidiennement dans des fichiers, analysées, communiquées à des tiers ou combinées avec d’autres informations pour de multiples usages, professionnels ou privés.
Les données personnelles, des biens précieux
Stimulé par le développement constant de technologies nouvelles et mobiles, le traitement de données personnelles, au bureau comme à la maison, est devenu un véritable enjeu économique, politique et stratégique. Utilisé à mauvais escient, il permet également de cibler les individus, de les catégoriser et de limiter leurs droits et libertés fondamentales, en particulier leur vie privée. La préservation continue de ces concepts-clés est également au cœur de cette journée mondiale.
Le secteur des soins de santé se retrouve en première ligne du combat contre les dérives propres aux traitements abusifs et malveillants de données personnelles. Cela s’explique par la masse considérable de données traitées, et par ailleurs très sensibles dès lors qu’elles portent sur la santé des individus, leurs caractéristiques génétiques, leur origine ethnique ou encore leur orientation sexuelle. Indispensables dans le cadre de l’accueil et des soins, la grande valeur de ces informations augmente sans cesse le risque pour les institutions qui les traitent, de faire l’objet de tentatives de rachats et de partages illicites, d’accès non-autorisés, de vols et de cyberattaques.
Sous la protection du RGPD
Est-il aujourd’hui réellement impensable qu’un patient se voit refuser le crédit d’une firme privée ayant racheté ses données de santé sans son consentement ? Que des extraits sensibles du dossier médical d’un journaliste ou d’un homme ou une femme politique puissent être utilisés pour faire pression contre lui ou contre elle suite aux révélations de l’un de ses soignants ? Qu’une personne se retrouve ostracisée sur les réseaux sociaux car son thérapeute n’a pas pris les mesures suffisantes pour sécuriser les informations portant sur sa vie sexuelle ? Qu’un individu se voie refuser un poste car son futur employeur est conscient de son passé de toxicomane, par l’intermédiaire d’informations récupérées illégalement dans les méandres de l’internet ?
Ces exemples, parmi tant d’autres, justifient l’importance du respect des obligations imposées aux professionnels des soins de santé par le Règlement Général sur la Protection des Données (RGPD) en matière de protection des données personnelles. S’il revient aux directions de modifier et de sécuriser les processus internes et externes propres à leurs institutions, de nouvelles règles doivent également être imposées aux membres de leur personnel. Cette mesure permet bien sûr de se protéger d’éventuelles erreurs ou d’actes malveillants, mais également, et surtout, de faire comprendre à quel point chacun devrait désormais entrevoir différemment ses tâches et faire appel à son bon sens, dès le moment où ces tâches nécessitent le traitement de données personnelles.
De nombreux cas de figure
De nombreuses questions se posent dès que l’on se penche sur le sort réservé à ces informations.
Ce médecin généraliste est-il réellement en droit de me demander les données de son patient ?
Est-il sûr de consulter mes courriels privés via mon adresse professionnelle ?
Quelle est la sensibilité des documents qui finissent dans mon casier, accessible librement ?
Faut-il signer un contrat particulier avec l’INAMI ou avec mon assureur professionnel pour être conforme au RGPD ?
Est-il prudent de laisser mon ordinateur portable dans mon véhicule verrouillé ?
Les données de mon personnel sont-elles conservées suffisamment longtemps selon la législation en vigueur ?
Un patient a-t-il le droit de faire modifier ou supprimer des informations médicales dans son dossier ?
Dois-je réellement faire encrypter les ordinateurs de mon personnel ?
Dois-je accepter d’utiliser l’identifiant et le mot de passe de mon supérieur hiérarchique lorsqu’il me le demande ?
Un patient de 15 ans peut-il donner valablement son consentement pour le traitement de ses données ?
Les informations que je communique aux patients et aux membres de mon personnel concernant leurs droits sont-elles à jour ?
La réponse à la plupart de ces interrogations est loin d’être évidente mais est pourtant essentielle à la préservation de la confidentialité, de l’intégrité et de la disponibilité des données personnelles.
Dans ce contexte, il est bon de rappeler que chaque institution de soins qui traite à grande échelle des données de santé, doit s’adjoindre les services d’un délégué à la protection des données depuis la mise en application du RGPD. Il revient à cette personne-ressource de conseiller les décideurs sur toute question portant sur le traitement de données à caractère personnel, de sensibiliser le personnel de terrain aux bonnes pratiques en matière de confidentialité et de sécurité de l’information, et de répondre, dans son domaine, aux questions des patients ayant choisi de partager avec leur institution de soins, en toute confiance, une partie, parfois importante, de leur vie privée.
[1] Lancée initialement par le Conseil de l’Europe, elle est aujourd’hui suivie par les 47 pays membres de cette instance mais également par d’autres nations extérieures telles que les États-Unis et le Canada.