La Commission nationale de l’informatique et des libertés (CNIL), publie au Journal Officiel du 28 juillet deux référentiels relatifs aux traitements et à la conservation « des données à caractère personnel » par les professionnels de santé exerçant en libéral « dans le cadre de la gestion médicale et administrative de leur patientèle » (à télécharger ci-dessous).
Traitées en interne ou externalisées auprès d’un prestataire de service, les données collectées relatives à des personnes physiques « identifiées ou identifiables (patients, professionnels de santé, etc.) sont soumises aux dispositions du règlement général sur la protection des données (RGPD), de la loi du 6 janvier 1978 ainsi qu’aux dispositions du code de la santé publique », rappelle la CNIL. En conséquence, les professionnels de santé « doivent mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données personnelles dès la conception des traitements et tout au long de la vie de ceux-ci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. »
5 ans en base active, 15 ans en archivage
Même s’ils n’ont pas de « valeur contraignante » ces deux référentiels permettent d’atteindre cet objectif. Vous y trouverez des informations importantes sur les données personnelles des patients qu’il est possible de collecter en vous interrogeant sur leur « nécessité et leur pertinence », sur leurs destinataires potentiels (secrétariat, assurance maladie, complémentaires santé, prestataires, etc.) et sur l’information à donner aux patients quant au traitement réservé à ces données.
Une part importante d’un des référentiels (référentiel 1) est consacré à la sécurité informatique. « Le professionnel de santé doit prendre toutes les précautions utiles pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès », indique la CNIL. Le texte égraine donc les grands principes : authentification des utilisateurs, sécurité des postes de travail, protection des réseaux, méthode de sauvegarde, protection des locaux, etc.
Enfin, la CNIL, rappelle que les données de santé « ne peuvent être conservées pour une durée indéfinie ». Dans un cabinet dentaire, elles doivent être conservées « pendant une durée de vingt ans à compter de la date de la dernière prise en charge du patient : en base active, pendant une durée de cinq ans à compter de la dernière intervention sur le dossier du patient, puis, à l’issue de cette période, sous la forme archivée sur un support distinct pendant quinze ans ».
Commentaires