Transmettre sa patientèle et RGPD

Une cession de clientèle médicale n’est pas illicite à la condition que soit sauvegardée la liberté du patient : la justice en a décidé ainsi depuis une vingtaine d’années et cette jurisprudence est depuis lors constante. Seulement voilà, depuis l’entrée en vigueur du règlement général sur la protection des données (ci-après le « RGPD »), la transmission des données relatives à un client d’un médecin vers un autre médecin dans le cadre de la cession de patientèle doit se faire en tenant compte de cette législation.

Le but de cet article n’est pas d’analyser l’intérêt (ou non) d’un point de vue stratégique du rachat de patientèle, mais d’analyser la question sous l’angle de la légalité d’un point de vue RGPD.

I – Le médecin et le RGPD

Dans le cadre de son activité, le médecin est amené à traiter les données dites personnelles de ses patients comme le nom, prénom, adresse, etc.  

Toutefois, le médecin est également amené à connaître des données dites “sensibles” concernant les caractéristiques physiques ou la santé de ces patients. Le RGPD interdit de recueillir ou d’utiliser ces données sans le consentement exprès de la personne. 

Le professionnel de santé doit donc, dans le cadre de son activité, définir un processus pour recueillir le consentement exprès de son patient. 

Qui dit recueil du consentement exprès, dit politique interne de traitement des données, politique de confidentialité, … afin de veiller à informer les patients sur leurs droits relatifs à la donnée collectée, les modalités de conservation de ces données ainsi que l’objectif de cette collecte. 

Le médecin devient alors de facto un responsable du traitement de la donnée et doit tenir un registre pendant l’exercice de son activité et notamment, en cas de la transmission de patientèle. 

La cession de patientèle, doit se faire sous l’angle RGPD. Il appartient au médecin repreneur de (i) vérifier la politique mise en place par le médecin cédant, (ii) vérifier que cette politique permet le transfert de données et (iii) vérifier si cette politique doit être adaptée ou non au vu de l’activité du médecin repreneur. 

II – Les conditions de la cession

La cession de patientèle englobe, de manière classique, la présentation de la patientèle, la mise à disposition du matériel médical, la mise à disposition du matériel bureautique et de communication et la transmission du fichier « patients”.

La cession de ce fichier n’est licite que si le cédant a respecté le RGPD dans le cadre de sa construction, à savoir : 

• recueilli le consentement exprès du patient ; 
• offert à celui-ci le droit de retirer son consentement à tout moment ; 

• limité l’usage des données aux finalités mentionnées lors de la collecte ; 
• permis au patient d’exercer ses droits d’accès aux informations ; 
• informer le patient que ces données peuvent être transmises à un repreneur en cas de cession.  

Lors de la cession, le médecin cédant doit anticiper la transmission du fichier de ses patients en recueillant à nouveau le consentement de sa patientèle au traitement des données (sauf, bien évidemment si le patient a déjà donné son consentement dans le cadre d’une cession auparavant). 

Le médecin qui reprend l’activité, lui, doit s’intéresser aux conditions dans lesquelles le médecin cédant a rempli ses obligations en amont, et lors de la passation. Lors de la reprise effective de l’activité, le médecin cessionnaire devra à nouveau informer les patients du transfert de leurs données. Il devra également obtenir leur accord exprès s’il envisage d’utiliser ces données pour d’autres finalités que celles initialement définies par le médecin cédant. 

Exemple : le médecin cédant a recueilli des données personnelles uniquement afin de réaliser un acte médical alors que le médecin qui reprend l’activité du médecin cédant envisage de transmettre de l’information préventive et régulière à ses patients.

Les données sensibles à savoir celles sur la santé du patient sont également transmises pour continuité des soins. Outre les protections quant au traitement des données mentionnées précédemment, ces informations peuvent être consultées par les patients à tout moment aux termes de l’article L. 1111-7 du code de la santé publique. 

Outre leurs obligations respectives, le médecin cédant et celui qui reprend l’activité doivent prendre les mesures techniques nécessaires pour protéger les droits de leurs patients, la confidentialité et la sécurité des données (antivirus, authentification renforcée, …).

III – Sanctions

Cette question du respect du RGPD n’est pas à négliger puisque la non-conformité d’un fichier patient peut entraîner la nullité du contrat de présentation de la patientèle en raison d’un consentement vicié dès lors que les informations dans celui-ci sont un élément essentiel. 

Outre le rapport entre les deux médecins, le médecin qui cède sa patientèle tout comme celui qui la reprend peuvent faire l’objet de sanctions administratives en cas de non-respect comme un avertissement, une demande de rectification… par la CNIL. Des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires peuvent également être prononcées. 

Pour terminer, une sanction pénale de 5 ans d’emprisonnement et de 300 000 euros peut être prononcée en cas de collecte de données à caractère personnel illicite (article 226-18 du code pénal). 

Les risques peuvent ainsi être importants pour les médecins engagés par un contrat de cession de patientèle en raison des manquements potentiels de part et d’autre à la législation européenne sur la protection des données.

Si vous envisagez de reprendre une patientèle, sécurisez cet aspect en mettant en place une convention de garantie d’actifs et de passifs. 

Ne prenez pas de risque, faites-vous accompagner !

• Instagram
• LinkedIn