Chers adhérents,
Après les arnaques à la mise en conformité d’accessibilité handicapé (on en entend moins parler, mais ça existe toujours), voici l’arnaque à la mise en conformité RGPD !
Des démarchages téléphoniques sont en cours, à grands renforts de menaces de sanctions, alertant sur l’obligation de mise en conformité au Règlement Général sur la Protection des Données.
Une consœur s’est récemment fait avoir, et s’est fait prélever 1 000 € par une « société » qui, sous prétexte de protéger les données, a pris le contrôle à distance de son ordinateur, installé « des choses » et s’est directement connecté au compte bancaire pour effectuer le prélèvement !
Au-delà de l’arnaque sur la protection des données, il y a aussi effraction dans un système soumis au secret médical, ce qui est un facteur aggravant bien sûr… et qui est précisément ce dont nous avons à nous protéger !
Refusez systématiquement tout démarchage, surtout s’il est menaçant, se prévaut d’une source soi-disant officielle, et de manière générale, ne donnez accès à une aide à distance de votre ordinateur qu’à des services de confiance (télétransmission carte vitale, service de la CPAM, etc…). Inutile de discuter avec votre interlocuteur : le fait de discuter ne fera que le convaincre que vous doutez. Il faut juste raccrocher, et éventuellement « bloquer » ce correspondant sur votre téléphone portable.
Le site de la CNIL vous précise toutes les informations utiles sur ces arnaques : https://www.cnil.fr/fr/ pratiques-abusives-mise-en- conformite-RGPD-CNIL-DGCCRF
A noter tout de même, la mise en conformité au Règlement Général sur la Protection des Données est bien une obligation légale, Y COMPRIS SI VOUS N’AVEZ PAS D’ORDINATEUR. Les données personnelles sur du papier doivent être protégées, vous devez pouvoir garantir que vous avez tout fait pour qu’elles résistent au vol, au piratage, au feu, et tout autre aléa. En cas de vol de données, vous êtes responsable de ne pas avoir protégé suffisamment vos données (dossiers médicaux en particulier) et vous devez prouver avec un registre des activités de traitement que vous aviez bien anticipé ce risque.
La tenue d’un « registre des activités de traitement » est obligatoire pour les cabinets médicaux. Vous trouverez toutes les informations « simplifiées » sur le site de la CNIL : https://www.cnil.fr/fr/rgpd- et-professionnels-de-sante- liberaux-ce-que-vous-devez- savoir
Au minimum, vous devez verrouiller votre ordinateur dès que vous quittez votre bureau (mettre en place un verrouillage automatique après une durée d’inactivité de l’ordinateur), changer votre mot de passe tous les 6 mois (et tenir un registre montrant que vous avez effectivement fait ces changements), et bien sûr n’utiliser que des emails sécurisés pour toute communication concernant un patient (https://mailiz.mssante.fr/ , service gratuit proposé par l’ordre des médecins). Les dossiers papiers doivent être dans une armoire fermée à clé.
Ça pourrait certes donner envie de céder aux sirènes des sociétés qui nous démarchent… à ceci près que la mise en conformité doit être renouvelée régulièrement, et que rien ne vous garantit que ces sociétés effectuent un travail de qualité suffisante. La nature même de leur mode de travail est déjà une infraction à la protection des données ! Vous risquez donc de payer une fortune, et de ne pas du tout être aux normes !
En cas de doute, contactez le Syndicat National des Psychiatres Privés (SNPP). Le SNPP est membre de la Confédération des Syndicats Médicaux Français (CSMF), qui met à votre disposition les informations nécessaires : http://www.csmf.org/rgpd-vous- avez-des-regles-respecter .
Dr Elie WINTER, Secrétaire Général de l’AFPEP-SNPP