Le RGPD pour le psychologue libéral : ce qu'il faut savoir

En tant que psychologue, vous respectez déjà le code de déontologie. Vous êtes habitué à garantir la confidentialité des données de vos patients. Mais, depuis 2018, le Règlement Général sur la Protection des Données (RGPD) encadre de manière légale le traitement des données personnelles, notamment des données de santé (voir le texte européen officiel). Celui-ci soulève pas mal de questions quant à son application par les professionnels de la santé mentale, que cela soit au niveau juridique ou éthique. Voici ce qu'il est important de savoir à propos du RGPD en tant que psychologue libéral.

RGPD pour le psychologue et le psychothérapeute en cabinet libéral

Le RGPD pour le psychologue libéral : quelles données sont concernées ?

Mis en place depuis le 25 mai 2018, le RGPD fixe un certain nombre de règles afin de protéger les données à caractère personnel dites sensibles, dès lors qu'elles sont collectées par un organisme public, privé ou par un professionnel exerçant à son compte. Ainsi, le psychologue en cabinet libéral se doit de connaître et de respecter les obligations légales qui en découlent.

Tout élément permettant l'identification du patient de manière directe ou indirecte est concerné par ce dispositif : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, numéro de téléphone, adresse e-mail, photographies, vidéos, enregistrements vocaux, etc.

Du point de vue légal, tout symptôme ou tout résultat d'examen est considéré comme une donnée de santé, qu'il soit de nature somatique ou psychique. C'est également le cas des données psychologiques que vous traitez

Les données de santé font évidemment, elles aussi, l'objet d'une protection au regard du RGPD. Du point de vue légal, tout symptôme ou résultat d'examen est considéré comme une donnée de santé, qu'il soit de nature somatique ou psychique. Ainsi, les données que vous traitez (entretiens, notes de séance, résultats d'évaluations psychologiques ou neuropsychologiques, etc.) sont des données de santé, même si elles ne relèvent pas d'un tableau clinique particulier.

Selon la loi, les informations collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient. Or, pour dresser l’anamnèse d'un patient au cours d'un entretien psychologique ou pour évaluer ses capacités à l'aide de tests, il faut rassembler une grande quantité de données privées. Et s'il y a des infos que l'on peut qualifier de sensibles, c'est bien celles-là !

Que vous établissiez votre collecte de données sur papier ou via un outil informatique, vous êtes tenu de le faire dans le respect du RGPD. Il n'y a pas de formalités à accomplir auprès de la CNIL (Comité National de l'Informatique et des Libertés) pour traiter les données personnelles nécessaires à la gestion de votre activité.

RGPD : le psychologue est-il responsable de la protection des données ?

À partir du moment où vous recueillez et conservez les données personnelles de vos patients, vous êtes garant de leur protection. Bien sûr, cela n'est pas nouveau pour vous ! Vous êtes déjà habitué à ne pas laisser d'information confidentielle à la vue de tous sur votre bureau ou sur l'écran de votre ordinateur.

Mais, cela signifie également que vous devez mettre en œuvre tout ce qui est en votre pouvoir pour éviter un accès non autorisé à ces données. Cela passe par le stockage des retranscriptions sur papier dans un meuble sécurisé (classeur ou autre) et par la protection de vos accès informatiques par un mot de passe, un système de cryptage, etc.. Il est aussi important de vous prémunir du risque de perte ou de destruction de ces données, quel que soit leur support de stockage.

Quelle information le psychologue doit délivrer au patient au sujet du traitement de ses données ?

S'il n'est pas obligatoire d'obtenir un consentement formel avant de collecter les données d'un patient, ce dernier doit malgré tout recevoir une information claire et transparente à ce sujet. Un simple document remis au début du suivi ou une affiche dans la salle d'attente de votre cabinet sont suffisants pour respecter les exigences du RGPD. L'information délivrée se doit d'être facilement compréhensible par tous et adaptée au public accueilli.

Durée de conservation des données : combien de temps faut-il garder vos dossiers patients ?

Les données à caractère personnel que vous collectez au cours des entretiens et évaluations doivent être conservées pendant une durée déterminée. En ce qui concerne les écrits rédigés par les psychologues, les recommandations ne sont pas très précises. Dans le secteur de la santé mentale en général, les dossiers médicaux doivent être conservés 10 ans à compter de la dernière consultation, ou jusqu'à l'âge de 28 ans lorsque le patient est un mineur.

RGPD et écrits psychologiques : vaut-il mieux conserver des dossiers papier ou informatisés ?

Si l'utilisation des dossiers papier élimine le risque de piratage d'informations personnelles sur internet, elle possède cependant plusieurs inconvénients. Les retranscriptions manuscrites de vos entretiens ainsi que la conservation des données issues des examens, graphes, cotations, etc. génèrent une grande quantité de pages. Sachant que vous avez l'obligation de conserver les informations recueillies pendant plusieurs années, cela prend vite beaucoup de place dans votre bureau et nécessite une bonne organisation pour ne pas tout mélanger.

Les documents papier sont aussi plus faciles à consulter par des tiers non autorisés et l'on est plus susceptible de les laisser traîner sur le bureau, faute de temps entre deux consultations. La gestion des données confidentielles nécessite donc beaucoup de rigueur puisqu'il faut trier, ranger et protéger toutes les données collectées.

Le simple fait d'enregistrer des fichiers sur votre disque dur n'est pas suffisant. Votre ordinateur peut-être endommagé, en panne ou inutilisable suite à un bug ou un accident, rendant l'accès à vos données impossible.

Moins accessibles aux curieux de passage, les dossiers informatiques demandent néanmoins une gestion bien précise. Pour être en conformité avec le RGPD, ils doivent être protégés par un mot de passe solide comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Ils doivent contenir des données cryptées et bénéficier d'une protection efficace contre le piratage.

Afin d'éviter tout risque de perte, il sera nécessaire de les sauvegarder régulièrement et de manière sécurisée. Le simple fait d'enregistrer des fichiers sur votre disque dur n'est pas suffisant. Votre ordinateur peut-être endommagé, en panne ou inutilisable suite à un bug ou un accident, rendant l'accès à vos données impossible. Pire, votre précieux PC ou MAC peut être volé ou perdu et tout son contenu avec !

Certains logiciels spécifiquement destinés aux psychologues comprennent le stockage sécurisé des informations que vous recueillez sur un hébergement des données de santé, ce qui garantit la confidentialité de celles-ci.

Un psychologue peut-il utiliser son smartphone ou sa tablette pour gérer les dossiers patients ?

L'utilisation d'un téléphone portable ou d'une tablette numérique est une solution pratique pour accéder aux dossiers patients par internet, où que vous soyez, et s'avère tout à fait compatible avec le RGPD en prenant quelques précautions.

L'appareil employé dans un cadre professionnel doit être protégé par un mot de passe et disposer d'un verrouillage automatique après un court délai d'inactivité. Il est fortement recommandé de ne pas stocker d'informations sensibles sur le dispositif concerné, de manière à éviter toute divulgation ou le vol des données à caractère personnel.

Une application web pour psychologues est spécialement pensée pour être accessible depuis un ordinateur, un smartphone ou une tablette, sans nécessité de conserver des données sensibles sur le disque dur ou la mémoire interne de ces médias, contrairement à un logiciel traditionnel qui stocke les informations concernant les patients sur l'ordinateur du praticien

Peut-on garder les dossiers psychologiques des patients sur les clouds américains (Apple, Google, Microsoft) ?

Le règlement général sur la protection des donnée est conçu pour protéger la vie privée de chacun au sein de l'Union Européenne. Bien que les États-Unis prévoient certaines dispositions visant un objectif similaire, ils ne respectent pas les obligations précises du RGPD. Les informations personnelles stockées sur les clouds américains comme Google Drive, Apple iCloud ou Microsoft OneDrive peuvent, par exemple, être consultées par les services de renseignements américains s'ils en font la demande (voir cet article).

Les données stockées sur les clouds américains comme Google Drive, Apple iCloud ou Microsoft OneDrive peuvent être consultées par les services de renseignements américains

Il est préférable, pour nous français, de stocker les informations relevant du suivi psychologique sur des hébergements de données de santé situés en France et gérés par une société française parfaitement en règle.

RGPD : Avec qui le psychothérapeute peut partager les données personnelles de ses patients ?

Seules certaines personnes ont le droit d'avoir accès aux données à caractère personnel collectées au cours du suivi thérapeutique d'un patient. C'est le cas de l'équipe de soins ou de la secrétaire médicale d’un établissement de santé qui prend en charge le patient ou encore des organismes d’assurance maladie effectuant le remboursement des actes et prestations. Sur demande, l'administration fiscale ou judiciaire peut aussi accéder à vos dossiers.

Chacun ne peut prendre connaissance que des données nécessaires à l'exercice de ses fonctions. Par exemple, une secrétaire médicale pourra consulter les informations administratives utiles à la prise de rendez-vous, mais n’aura pas accès aux comptes-rendus psychologiques et examens révélant l'intimité du patient. Vous devez vous assurer de l'identité de vos interlocuteurs, et transmettre les données des patients de manière sécurisée, pour respecter le RGPD en tant que professionnel en libéral.

Avec le RGPD, le thérapeute peut-il donner des informations aux proches d'un patient ?

Pour le psychologue, la question de la confidentialité reste la même qu'avant 2018, la législation ne vous soumettant pas au secret professionnel. RGPD ou non, le psychologue ne doit pas divulguer d'information pouvant nuire à son patient et n'est pas censé échanger avec les proches de celui-ci sans son accord explicite. En revanche, si vous estimez que ce patient est en danger, vous êtes tenu d'en informer les autorités compétentes.

Concernant les mineurs, l'échange d'informations avec les parents reste soumis aux mêmes règles qu'avant. Dans le cadre du RGPD, les mineurs de plus de 15 ans peuvent accorder eux-mêmes leur consentement au recueil de données. En dessous de cet âge, il doit être donné par les parents ou par le tuteur légal.

RGPD, données de santé, psychologue et envoi de documents par e-mail

Que vous soyez psychologue clinicien, neuropsychologue, psychothérapeute EMDR ou autre, la messagerie électronique est un moyen pratique pour transmettre des documents aux professionnels habilités à recevoir des informations de votre part. Le RGPD ne vous empêche pas d'envoyer par e-mail un compte-rendu de WISC-V (Wechsler Intelligence Scale for Children), de WAIS-IV (Wechsler Adult Intelligence Scale) ou de VINELAND-II.

Il est possible d'utiliser un service de messagerie standard, mais celui-ci comporte un risque de piratage des données. Pour éviter de transmettre des informations sensibles à des personnes non autorisées, il faut utiliser un système de messagerie utilisant un protocole sécurisé (HTTPS ou SFTP). Il est également recommandé de chiffrer les données. Pour les mêmes raisons que nous avons évoquées à propos des clouds américains, il est préférable d'employer un service de messagerie français ou européen.

Un bon moyen pour résoudre le problème de confidentialité lors de la transmission de données à des tiers consiste à faire parvenir un lien sécurisé à votre interlocuteur, afin qu'il accède de manière privilégiée au document souhaité par l'intermédiaire de votre hébergement de données de santé.

Boucoupsy est une entreprise française qui traite vos données psychologiques en garantissant un niveau de sécurité optimal au regard du RGPD. Offrant de nombreux services réellement adaptés à votre pratique, notre logiciel spécifiquement développé pour les psychologues, par une psychologue (et un développeur web !), comprend le stockage des données sur un hébergement des données de santé. N'hésitez pas à nous contacter pour en savoir plus !

En apprendre plus sur notre logiciel

Découvrez vite Scriboupsy, votre logiciel professionnel dédié aux psychologues