RGPD et professionnel de santé libéral : quelle responsabilité ?

Equipe conformité/qualité

Le 15.06.2023
À 16:00

2 min

Le professionnel de santé traite, pour les besoins de son activité professionnelle (ex : prise en charge de ses patients et la gestion de son personnel), des données personnelles dont des données de santé dites sensibles. Il est, au sens de la réglementation européenne et française, un responsable de traitement contraint au respect de certaines obligations. Quelle responsabilité ces obligations engendrent-elles ? Quel est l’impact sur l'activité professionnelle ?

Les risques encourus en cas de violation du RGPD

Outre l’atteinte à l’image qu’une affaire de violation de données personnelles peut provoquer pour un professionnel, les risques encourus sont non négligeables.

En qualité de responsable de traitement, votre responsabilité civile peut être recherchée avec demande d’indemnisation des victimes :

Au titre de la responsabilité pénale, l’article 226-16 du code pénal sanctionne par ailleurs d’une amende pouvant aller jusqu’à 300 000 € et
5 ans d’emprisonnement "le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi".
Enfin une amende administrative pouvant, selon les hypothèses, aller jusqu’à 10 000 000 € (ou 2 % du chiffre d’affaires pour une entreprise) ou
20 000 000 € (ou 4 % du chiffre d’affaires pour une entreprise) peut être appliquée par la CNIL, qui voit ses pouvoirs de contrôle renforcés.

Votre couverture d’assurance en cas de responsabilité

Nous attirons tout d’abord votre attention sur le caractère non assurable des sanctions pénales et administratives que pourraient retenir, à votre encontre, un juge ou la CNIL.

La MACSF vous propose différentes garanties vous permettant d’être couvert en cas de cyber-attaque.

Point d’attention

Depuis le 24 avril 2023, toute personne physique ou morale victime de pertes ou de dommages causés par une cyberattaque dans le cadre de son activité professionnelle devra porter plainte dans un délai de 72 heures à compter de la connaissance de cette atteinte pour pouvoir être indemnisée par son assureur (loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur = LOPMI).

Cette nouvelle disposition s’applique immédiatement à tous les contrats d’assurance en cours compte tenu de ses objectifs de lutte contre la cybercriminalité.

Source : https://entreprendre.service-public.fr/actualites/A16531

Une garantie Cyber

Votre contrat d’assurance Multirisque professionnel vous propose une garantie Cyber base couvrant :

Une assistance téléphonique disponible 24/7 pour vous accompagner dans la gestion de l’incident.
Une prise en charge des frais de notification obligatoires (ex : notification à la CNIL…).
Une prise en charge d’une éventuelle indemnisation de patients ou tiers victimes en cas de responsabilité civile pour violation de données.
Une prise en charge de votre perte de marge brut due à l’impossibilité d’exercer dans la suite d’une cyber-attaque.

Une garantie cyber plus

Vous avez la possibilité d’opter pour une garantie cyber plus offrant une protection renforcée. Dans le cadre de cette garantie, vous pouvez notamment être accompagné en cas de cyberextorsion.

Une garantie protection juridique

Enfin, votre garantie protection Juridique, incluse dans votre contrat Responsabilité Civile Professionnelle-Protection Juridique, vous permettra également de bénéficier, dans les termes et conditions prévus à votre contrat, de l’assistance de nos juristes et du remboursement de vos frais de procédure, en cas de litige lié au Règlement Général sur la Protection des Données (RGPD) dans le cadre de votre activité.

Professionnels de santé, protégez-vous !

Demandez un devis dès maintenant pour bénéficier d'une assurance RCP-PJ de la MACSF !

J'obtiens un tarif

Sources

Règlementation européenne : Règlement 2016/679 du Parlement européen et du Conseil de l’Union européenne du 27/04/2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Règlementation française : Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.