La Cnil publie trois nouveaux référentiels sur la conservation des données de santé

Le respect de ces référentiels permet ainsi de s’assurer de la conformité des traitements de données à la réglementation.

Deux référentiels portent sur la durée de conservation des données collectées et le dernier sur la gestion des traitements en cabinet médical et paramédical.

• Durée de conservation des données à caractère personnel

La Cnil a adopté deux référentiels spécifiques aux secteurs de la santé et de la recherche en santé, dont l’objectif est d’« accompagner, de manière opérationnelle, les acteurs dans l’identification et la détermination de la durée pertinente pour les traitements ».

Le premier référentiel, qui s’applique aux établissements de santé, pharmacies d’officine et laboratoires d’analyses médicales, concerne les traitements de données de santé hors recherche (dossier médical partagé, dossier pharmaceutique, etc.).

Le deuxième concerne les traitements de données mis en œuvre à des fins de recherche, d’étude et d’évaluation dans le domaine de la santé : recherches impliquant la personne humaine (RIPH), recherches n’impliquant pas la personne humaine (RNIPH), études nécessitant l’accès aux données du programme de médicalisation des systèmes d’information (PMSI), résumés de passage aux urgences (RPU), etc. 

• Traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

Afin d’aider les professionnels de santé libéraux dans leurs démarches de conformité, la Cnil a adopté un troisième référentiel qui recense et applique les principes du RGPD aux traitements de données sensibles couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle.

Ce référentiel est applicable à tous les professionnels de santé exerçant en libéral, en cabinet individuel ou de groupe ou encore au sein de maisons de santé.

Ne sont toutefois pas concernés par ce nouveau document les services de soins (établissements de santé, centres de santé, communautés professionnelles territoriales de santé, etc.), les services de médecine d’entités publiques ou privées (médecine du travail, médecine scolaire, PMI, etc.), les pharmaciens, les laboratoires d’analyses de biologie médicale ou encore les opticiens.

Selon la Cnil, il s’agit avant tout d’un « cadre de référence qui permet aux professionnels de santé libéraux de mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux ».

Ce référentiel n’a pas de valeur contraignante, ce qui implique que les responsables de traitement peuvent s’écarter de ses préconisations, à condition toutefois de pouvoir justifier leur choix, sous leur responsabilité.

La Cnil a également publié un guide pratique sur les durées de conservation, qui a vocation à « apporter les réponses aux questions les plus fréquentes des professionnels sur le principe de limitation de la conservation des données. Il détaille les éléments clés de cette obligation et apporte des conseils pratiques pour l’implémenter de manière concrète au sein des organismes publics ou privés ».

L'Auteure

M^e Noémie Mandin-Lafond
Selarl Yahia Avocats
http://www.yahia-avocats.fr