RGPD : spécification et explications

Une donnée personnelle désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Exemple : nom, prénom, date de naissance, numéro de téléphone, numéro RPPS ou numéro de sécurité sociale.

C’est une donnée se rapportant à l’état de santé d’une personne concernée qui révèle des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple).

Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin ou le dispositif utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique).

Les données de santé font partie des données sensibles qui représentent des catégories particulières de données.

Un traitement désigne toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé ou support utilisé, et notamment la collecte, l’enregistrement, l’utilisation de toute donnée personnelle.

Exemple : la gestion de votre fichier de patients est un traitement de données personnelles.

Le responsable de traitement désigne la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement, sauf désignation expresse par un texte de nature législative ou règlementaire.

Exemple : le masseur-kinésithérapeute libéral est responsable des traitements qu’il met en œuvre et gère. L’employeur du masseur-kinésithérapeute salarié est responsable des applications nécessaires à la gestion de son activité.

Le sous-traitant désigne toute personne traitant des données personnelles pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur ses instructions.

Exemple : la société prestataire de service qui vous a vendu votre logiciel et qui s’occupe de sa maintenance par exemple ou encore la société qui héberge les données des services en ligne pour le compte du Conseil national de l’Ordre des masseurs-kinésithérapeutes.

Le masseur-kinésithérapeute est responsable de l’ensemble des traitements mis en œuvre dans le cadre de l’exercice de sa profession.

Par exemple pour les logiciels utilisés pour le suivi des patients, les éditeurs agissent en qualité de sous-traitants auprès des masseurs kinésithérapeutes libéraux.

Attention : revoir vos contrats pour les adapter aux exigences du RGPD (article 28).

Non, le Conseil national de l’Ordre des masseurs-kinésithérapeutes rappelle que les cas de désignation de DPO sont limitativement énumérés par le RGPD et que les masseurs-kinésithérapeutes libéraux ne sont pas concernées du seul fait qu’ils traitent des données.

Le DPO doit, en outre, être distingué du responsable de traitement, notamment au regard du critère d’indépendance prévu par le RGPD.

Si le traitement présente un risque élevé, n’est pas occasionnel ou comprend des catégories particulières de données (exemple : les données de santé), alors le responsable de traitement doit tenir un registre.

Dans tous les cas, les masseurs-kinésithérapeutes en libéral doivent tenir un registre car la gestion des données de leurs patients n’est pas occasionnelle et ils gèrent des données de santé.

Le registre doit comporter pour chaque traitement les informations suivantes

Vous trouverez en téléchargement ci-dessous un modèle de registre que vous pouvez adopter.

Registre RGPD – Format Word
Registre RGPD – Format Open Office

Non, à partir du moment où le masseur-kinésithérapeute exerce à titre individuel, il n’est pas soumis à l’obligation de mener une analyse d’impact pour les traitements mis en œuvre dans le cadre de son activité.

La Commission nationale Informatique et Libertés (CNIL) dénonce les démarchages trompeurs qui lui ont été signalés, notamment les organismes qui proposent un formulaire « Déclaration normale RGPD » reproduisant frauduleusement le logo de la CNIL ou encore ceux qui adressent des courriers « Mise en conformité – dernier rappel » avec le logo usurpé de la CNIL ou des fax « RGPD – Mise en conformité » invitant à appeler un numéro de téléphone pour ensuite facturer la fausse mise en conformité au RGPD.

Vous devez donc rester vigilants face à de telles sollicitations et en cas de doute sur la probité d’un démarchage, l’Ordre vous invite à prendre contact au plus tôt avec lui, le DPO ou la CNIL.