Cabinets médicaux et données personnelles

La CNIL vient d’adopter une norme simplifiée¹ , relative aux traitements automatisés de données mis en œuvre dans les cabinets médicaux.

De tels traitements doivent en effet faire l’objet d’une déclaration à la CNIL, aux termes de la Loi Informatique et Libertés. Cette norme permet donc, désormais, de recourir à une procédure simplifiée, sous certaines conditions, exposées ci-dessous.

1. Les informations collectées

Sont susceptibles de rentrer dans le champ d’application de cette nouvelle norme simplifiée les informations qui font l’objet d’un traitement automatisé, relatives à :

– l’identité,
– le numéro de sécurité sociale,
– la situation familiale,
– la vie professionnelle,
– et la santé du patient.

Les informations relatives aux habitudes de vie peuvent également être collectées, avec l’accord du patient, et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins.

En outre, des mesures de sécurité doivent être prises pour préserver la confidentialité des informations couvertes par le secret médical, ce qui implique le recours, pour l’accès à l’application, à des cartes personnelles, tant pour le professionnel de santé que pour le personnel placé sous son autorité.

Les personnes dont les données sont collectées doivent être tenues informées, par un document affiché dans le cabinet ou remis en main propre, de l’identité du responsable du traitement, de sa finalité, des destinataires des informations et des modalités pratiques d’exercice de leur droit d’accès et de rectification.

Ces informations ne doivent pas être conservées au delà d’une durée de cinq ans à compter de la dernière intervention sur le dossier du patient. Les doubles des feuilles de soin électroniques doivent pour leur part être conservés pendant 90 jours.

2. Les finalités du traitement

Les informations personnelles susvisées peuvent faire l’objet d’un traitement automatisé afin de faciliter la gestion administrative du cabinet. Dans ce cadre, sont couverts par la norme adoptée par la CNIL les opérations suivantes :

– la gestion des rendez-vous,
– la gestion des dossiers médicaux,
– l’édition des ordonnances,
– l’établissement et la transmission des feuilles de soin,
– l’envoi de courriers aux confrères,
– la tenue de la comptabilité,
– ou la réalisation de statistiques à usage interne exclusivement.

Toute utilisation commerciale des données personnelles des patients est proscrite.

3. Les destinataires des informations collectées

L’accès à l’ensemble de ces données est limité, outre au professionnel de santé à l’origine du traitement automatisé, aux autres professionnels de santé et aux organismes de recherche ou d’évaluation des pratiques de soins, sous réserve de l’obtention de l’accord du patient.

Par ailleurs, certaines catégories d’informations peuvent, selon le destinataire, être transférées. Ainsi :

– les informations relatives à la gestion des rendez-vous peuvent être accessibles par le secrétariat,
– l’identité, le numéro de sécurité sociale et le code des actes effectués peuvent être adressés aux personnels des organismes d’assurance maladie et des organismes d’assurances complémentaires.

Dans le cas d’une transmission par Internet de ces données, des précautions particulières doivent être prises : un système de chiffrement fort de la messagerie et un antivirus doivent être installés.

Enfin, cette norme simplifiée ne s’applique pas dès lors que les données médicales sont déposées chez un hébergeur.

Elle n’est pas non plus utilisable par les pharmacies et laboratoires d’analyses de biologie médicale.

1. Norme simplifiée n° 50, JO n°7 du 8 janvier 2006