Médecins : la déclaration CNIL de vos fichiers informatiques

Temps de lecture : ∼ 5 min.

Tout médecin libéral qui dispose de fichiers informatiques sur ses patients a l’obligation, avant même la mise en œuvre de son logiciel métier ou de son agenda connecté, de déclarer lesdits fichiers à la CNIL (Commission nationale de l’informatique et des libertés), dans le cadre de la Loi Informatique et Libertés.

En cas de non respect de ces formalités, le responsable de la structure de soins encourt jusqu'à 300 000 € d'amende.

L’esprit de la Loi Informatique et Libertés

L’objet de la loi est de protéger les droits et libertés des personnes et leur vie privée en empêchant la divulgation des données individuelles et leur potentielle mauvaise utilisation.

Finalité et pertinence des données

Toute information ou donnée ne peut être enregistrée que pour un usage spécifique, légitime et utile au traitement médical du patient.

Ainsi les informations enregistrées porteront exclusivement sur les éléments suivants :

  • Identité : nom, prénom, date de naissance, adresse, numéro de téléphone ;
  • Numéro de sécurité sociale ;
  • Situation familiale : situation matrimoniale, nombre d’enfants et nombre de grossesses ;
  • Situation professionnelle : profession et conditions de travail ;
  • Santé : historique médical, diagnostics, soins, traitements, informations relatives aux habitudes de vie si elles peuvent être nécessaires au diagnostic et/ou aux soins.

Durée limitée de conservation des données

Le droit à l’oubli impose que la durée de conservation des données dans le logiciel de gestion soit limitée dans le temps à 5 ans, à compter de la dernière intervention sur le dossier du patient.

Au delà de ces 5 ans, les informations doivent être archivées sur un support séparé pour une durée de 15 ans.

Sécurité et confidentialité des données

Le médecin a l’obligation de prendre toutes les mesures nécessaires à la confidentialité des données et à leur non-divulgation : mot de passe, utilisation de la carte de professionnel de santé, codage des données nominatives, modalités de connexion et de déconnexion, mise en place d’un firewall, etc.

Les données médicales ne peuvent faire l’objet d’aucune cession ou exploitation commerciale. La communication de ces données n’est autorisée qu’avec certains tiers seulement :

  • Autorités judiciaires : procureur de la République, juges, officiers de police judiciaire de la police ou de la gendarmerie nationale ;
  • Experts : experts désignés par une juridiction administrative ou civile, si et seulement si le patient y consent ;
  • Agents de l’administration fiscale : pour la partie identité du patient, montant et forme du paiement des honoraires.

Attention, le consentement d’un patient ne suffit pas à libérer le professionnel de santé de son obligation de secret médical.

Respect du droit des personnes et obligation du droit d’informer

Le médecin doit également informer ses patients qu’il enregistre les données qui les concernent, qu’ils peuvent y accéder, demander à leur rectification en cas d’erreur ou même s’opposer à leur enregistrement.

Pour ce faire, il a l’obligation d’afficher dans ses locaux - ou de remettre en main propre à chacun de ses patients - un document qui rappelle :

  • L’identité du responsable du traitement des données en question ;
  • La finalité du traitement des données ;
  • Les destinataires des informations ;
  • Les modalités pratiques d’accès et de rectification des données par le patient en cas d’erreur, ou d’opposition en cas de non-volonté, pour des motifs légitimes, à l’enregistrement des données qui le concerne.

La déclaration à la CNIL, concrètement

Il s’agit d’une déclaration simplifiée à faire en ligne par le médecin, avant la mise en œuvre de tout logiciel collectant des données sur des patients.

S’engager à utiliser sa carte de professionnel de santé (CPS)

Pour garantir la confidentialité des données collectées, le médecin s’engage dans la déclaration simplifiée à la CNIL à utiliser systématiquement sa carte de professionnel de santé pour accéder ou modifier les données dans son logiciel.

S’engager à ne traiter les données que dans un cadre strict et légitime

Le médecin s’engage dans sa déclaration à la CNIL à ne poursuivre, en collectant les données de ses patients, que les deux seuls objectifs suivants :

  1. Simplifier la gestion administrative de son cabinet médical ;
  2. Optimiser les actions de prévention, de diagnostic et de traitement des patients.

Ces deux objectifs incluent par exemple : la gestion des rendez-vous et de la comptabilité du cabinet, la gestion des dossiers médicaux, des dossiers individuels de soins, l’édition et l’enregistrement des ordonnances, l’établissement et la transmission des feuilles de soins, l’envoi de courrier à ses confrères.
En aucun cas la collecte de données ne peut donner lieu à un autre type de traitement, d’exploitation ou de divulgation.

S’engager à informer les patients

Le site de la CNIL propose des modèles de mentions informatique et libertés, à adapter aux besoins des cabinets médicaux ou paramédicaux.

Combien de temps pour déclarer en ligne ?

  • La déclaration en ligne ne prend que 5 minutes. Le jour même, la CNIL accuse réception par mail en renvoyant en PJ le formulaire complété.
  • Dans le cas d’une demande d’avis ou d’autorisation, le délai de réponse est d’environ 2 mois. Mais dans celui d’une simple déclaration, le feu vert est donné par la CNIL en maximum une semaine si le dossier est complet.

Vous utilisez un agenda connecté ou proposez à vos patients de prendre rendez-vous en ligne ? Il s’agit de la même déclaration, assurez-vous simplement auprès de votre prestataire que les communications sont chiffrées et que ses services sont hébergés chez un prestataire agréé “données de santé”. 

Références :

Soyez le premier à réagir...

A lire ensuite

Le médecin généraliste et son emploi du temps : tous les goûts sont dans la nature

∼ 4 min. Les secrétaires médicales disparaissent des cabinets de médecine générale. Les plateformes en ligne proposent désormais un panel de services, de la simple prise de rendez-vous à des solutions de télé-secrétariat complètes. Tout le monde peut y trouver son compte.

Rendez-vous médicaux en ligne : première étape vers la révolution numérique ?

∼ 3 min. À l’heure du big data et du règne des géants Google, Microsoft et Apple, le numérique a fait son apparition à tous les niveaux du système de santé. La transformation digitale suscite souvent une certaine curiosité, mais n’a pas toujours un intérêt flagrant pour l’exercice quotidien des médecins, même si certains services tirent leur épingle du jeu.

Logiciels de gestion de cabinet : 50 nuances de numérique

∼ 3 min. Pour les médecins qui souhaitent dépasser la simple prise en charge de la carte Sesam vitale, les éditeurs de logiciels et les constructeurs de matériel médical proposent désormais une variété de solutions. 

Agenda médical en ligne : une meilleure organisation à la clé ?

∼ 6 min. L’agenda médical en ligne permet d’optimiser la gestion de son cabinet médical. En complément des services apportés, adopter ce type d’outil est aussi l’occasion pour le généraliste de remettre à plat son organisation.

L’insonorisation du cabinet médical : une nécessité ?

∼ 4 min. L’insonorisation du cabinet médical n’est pas seulement une question de confort pour le praticien, elle préserve la qualité de la relation médecin/patient et répond aux exigences légales en termes de confidentialité et de secret médical. Le patient, quant à lui, sera plus enclin à s’exprimer et à se confier s’il sait sa conversation avec son médecin à l’abri des oreilles indiscrètes et qu’il n’est pas dérangé, tout comme vous, par les bruits extérieurs.