Publicité en cours de chargement...

Publicité en cours de chargement...

Durée de conservation des données de santé.

29 oct. 2013 - 01:00,
Actualité - DSIH
Selon les dispositions de la Loi Informatique et Libertés (art 6. 5°) les données personnelles ont une date de péremption : « Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. »

 

 

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende (art. 226-20 du code pénal).

Le Responsable d’un traitement  fixe une durée de conservation raisonnable en fonction de l’objectif  et de la finalité du traitement.

Ces deux éléments doivent être déterminés selon la nature des données collectées.

S’agissant de données de santé dites « sensibles », les références  et les repères en matière d’indication de durée de conservation demeurent aléatoires et hétérogènes pour les Responsables de Traitement.

Une difficulté majeure pour le Responsable de Traitement pour l’application de la Loi Informatique et Libertés au sein de son établissement et de son obligation de respecter les durées de conservation de ces traitement de données de santé.

Pour cela, le Responsable de Traitement doit être en mesure de maîtriser l’historique, et la gestion de l’ensemble de ces traitements.

Selon la grande majorité des organismes de santé, les obligations CNIL en matière de respect des durées de conservation sont difficilement  respectées par les Responsables de Traitements.

Cela est dû à trois facteurs identifiés :

1 / la méconnaissance des références en matière de durée de conservation

2/  la non maîtrise de l’historique des traitements

3/  une absence de politique de suivi, de contrôle et de purge des traitements (cf. principe du « droit à l’oubli »).

En cas de contrôle CNIL, les points de non-conformité et de manquements, pourront être :

-          le non respect des durées de conservation

-          la non-conformité des durées de conservation à la finalité du traitement (durée de conservation disproportionnée à l’objectif visé)

-          le dépassement de la durée préfixe de conservation des données.

 

Il est recommandé de :

Mettre en place un contrôle mensuel, trimestriel ou annuel de l’activité CNIL  pour assurer un suivi et un niveau de conformité élevé afin de contrôler que les durées de conservation soient respectées et de purger des traitements dont la durée de conservation a été dépassée.

 

Quelques références de durée de conservation selon la finalité retenue par le Responsable de Traitement :

-          Dossier médical dans les cabinets médicaux libéraux : 10 ans (Article L.1142-28 Code de la santé publique)

-          Dossier médical dans les établissements de santé publics et privés : 20 ans à partir du dernier passage dans l’établissement par le patient (Article R. 1112-7 du Code de la santé publique), excepté en cas de décès du patient moins de 10 ans après son dernier passage son dossier sera conservé 10 ans à partir de la date de son décès.

-          Analyse des pratiques ou des activités de soins ou de prévention : durée de conservation très courte, ne dépassant pas 2 ans dans la plupart des cas. Durée proportionnelle à la finalité déclarée, conservée le temps de l’étude et supprimée dès que l’étude est terminée (Article 6 5° de la loi n°78-17 modifié, chapitre X de la loi Informatique et Libertés modifiée).

 

A noter que concernant les finalités suivantes : la recherche médicale (Chapitre IX article 53 et suivants de la Loi Informatique et Libertés) et les analyses des pratiques ou des activités de soins (chapitre X article 62 et suivants), il revient à la CNIL d’autoriser ces traitements (demande d’autorisation CNIL par le Responsable de Traitement) et de déterminer la durée de conservation avec un comité consultatif selon les cas:

« La commission détermine la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi »(Article 64). Les Responsables de Traitement peuvent ainsi s’appuyer sur le référentiel de la CNIL s’agissant de ces 2 finalités pour les durées de conservations.

 

A propos de l’auteur :

GIE DATA SANTE

Mme Thet SOK

Juriste Conformité et NTIC

Directeur associé

[email protected]

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.