Tout médecin libéral qui dispose de fichiers informatiques sur ses patients a l’obligation, avant même la mise en œuvre de son logiciel métier ou de son agenda connecté, de déclarer lesdits fichiers à la CNIL (Commission nationale de l’informatique et des libertés), dans le cadre de la Loi Informatique et Libertés.
En cas de non respect de ces formalités, le responsable de la structure de soins encourt jusqu'à 300 000 € d'amende.
L’esprit de la Loi Informatique et Libertés
L’objet de la loi est de protéger les droits et libertés des personnes et leur vie privée en empêchant la divulgation des données individuelles et leur potentielle mauvaise utilisation.
Finalité et pertinence des données
Toute information ou donnée ne peut être enregistrée que pour un usage spécifique, légitime et utile au traitement médical du patient.
Ainsi les informations enregistrées porteront exclusivement sur les éléments suivants :
- Identité : nom, prénom, date de naissance, adresse, numéro de téléphone ;
- Numéro de sécurité sociale ;
- Situation familiale : situation matrimoniale, nombre d’enfants et nombre de grossesses ;
- Situation professionnelle : profession et conditions de travail ;
- Santé : historique médical, diagnostics, soins, traitements, informations relatives aux habitudes de vie si elles peuvent être nécessaires au diagnostic et/ou aux soins.
Durée limitée de conservation des données
Le droit à l’oubli impose que la durée de conservation des données dans le logiciel de gestion soit limitée dans le temps à 5 ans, à compter de la dernière intervention sur le dossier du patient.
Au delà de ces 5 ans, les informations doivent être archivées sur un support séparé pour une durée de 15 ans.
Sécurité et confidentialité des données
Le médecin a l’obligation de prendre toutes les mesures nécessaires à la confidentialité des données et à leur non-divulgation : mot de passe, utilisation de la carte de professionnel de santé, codage des données nominatives, modalités de connexion et de déconnexion, mise en place d’un firewall, etc.
Les données médicales ne peuvent faire l’objet d’aucune cession ou exploitation commerciale. La communication de ces données n’est autorisée qu’avec certains tiers seulement :
- Autorités judiciaires : procureur de la République, juges, officiers de police judiciaire de la police ou de la gendarmerie nationale ;
- Experts : experts désignés par une juridiction administrative ou civile, si et seulement si le patient y consent ;
- Agents de l’administration fiscale : pour la partie identité du patient, montant et forme du paiement des honoraires.
Attention, le consentement d’un patient ne suffit pas à libérer le professionnel de santé de son obligation de secret médical.
Respect du droit des personnes et obligation du droit d’informer
Le médecin doit également informer ses patients qu’il enregistre les données qui les concernent, qu’ils peuvent y accéder, demander à leur rectification en cas d’erreur ou même s’opposer à leur enregistrement.
Pour ce faire, il a l’obligation d’afficher dans ses locaux - ou de remettre en main propre à chacun de ses patients - un document qui rappelle :
- L’identité du responsable du traitement des données en question ;
- La finalité du traitement des données ;
- Les destinataires des informations ;
- Les modalités pratiques d’accès et de rectification des données par le patient en cas d’erreur, ou d’opposition en cas de non-volonté, pour des motifs légitimes, à l’enregistrement des données qui le concerne.
La déclaration à la CNIL, concrètement
Il s’agit d’une déclaration simplifiée à faire en ligne par le médecin, avant la mise en œuvre de tout logiciel collectant des données sur des patients.
S’engager à utiliser sa carte de professionnel de santé (CPS)
Pour garantir la confidentialité des données collectées, le médecin s’engage dans la déclaration simplifiée à la CNIL à utiliser systématiquement sa carte de professionnel de santé pour accéder ou modifier les données dans son logiciel.
S’engager à ne traiter les données que dans un cadre strict et légitime
Le médecin s’engage dans sa déclaration à la CNIL à ne poursuivre, en collectant les données de ses patients, que les deux seuls objectifs suivants :
- Simplifier la gestion administrative de son cabinet médical ;
- Optimiser les actions de prévention, de diagnostic et de traitement des patients.
Ces deux objectifs incluent par exemple : la gestion des rendez-vous et de la comptabilité du cabinet, la gestion des dossiers médicaux, des dossiers individuels de soins, l’édition et l’enregistrement des ordonnances, l’établissement et la transmission des feuilles de soins, l’envoi de courrier à ses confrères.
En aucun cas la collecte de données ne peut donner lieu à un autre type de traitement, d’exploitation ou de divulgation.
S’engager à informer les patients
Le site de la CNIL propose des modèles de mentions informatique et libertés, à adapter aux besoins des cabinets médicaux ou paramédicaux.
Combien de temps pour déclarer en ligne ?
- La déclaration en ligne ne prend que 5 minutes. Le jour même, la CNIL accuse réception par mail en renvoyant en PJ le formulaire complété.
- Dans le cas d’une demande d’avis ou d’autorisation, le délai de réponse est d’environ 2 mois. Mais dans celui d’une simple déclaration, le feu vert est donné par la CNIL en maximum une semaine si le dossier est complet.
Vous utilisez un agenda connecté ou proposez à vos patients de prendre rendez-vous en ligne ? Il s’agit de la même déclaration, assurez-vous simplement auprès de votre prestataire que les communications sont chiffrées et que ses services sont hébergés chez un prestataire agréé “données de santé”.
Références :
Soyez le premier à réagir...