Déclaration simplifiée (N°50) des fichiers patients à la CNIL
Loi n°78-17 du 06 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés,
Articles 226-16 à 226-22 du Code Pénal.
Tous les professionnels de santés ont l’obligation de tenir à jour un dossier personnel pour chaque patient sont concernés par cette obligation de déclaration (article R4321-91 CSP). Car le « dossier patient » qui est confidentiel, comporte « des éléments actualisés, nécessaires aux décisions diagnostiques et thérapeutiques ».
Le « dossier patient », couvert par le secret médical, est conservé sous la responsabilité du professionnel de santé ou de l’établissement qui le détient. Ces derniers sont personnellement responsables de la protection des informations détenues quelque en soit la forme (dossiers, listing papier, fichier informatique,…).
A ce titre, chaque professionnel est responsable et doit assurer la protection et la conservation des informations en prenant toutes les précautions utiles. Ces informations doivent être conservées 5 ans (sauf si elles sont rendues au patient).
La loi du 06 Janvier 1978 dite « loi informatique et libertés » encadre la collecte et le traitement de ces données médicales « sensibles », ainsi que leurs exploitations. Ces mesures on pour objectif premier d‘empêcher leur divulgation ou mauvaise utilisation est susceptible de porter atteinte aux droits et libertés ou à l’intimité de la vie privée des personnes concernées.
La CNIL, est chargée d’assurer le respect des dispositions de cette loi. Elle se charge de conseiller, d’encadrer, de contrôler et éventuellement, après avertissement et mises en demeures, la Cnil peut ainsi en cas de non respect volontaire appliquer des sanctions pénales et financières (jusqu’à 5 ans d’emprisonnement et 300.000 € d’amende, articles 226-16).
La définition d’un «traitement de données à caractère personnel » étant une notion très large. Il s’agit de toute opération portant sur ces données, quel que soit le procédé technique utilisé, notamment la collecte, l’enregistrement, la conservation, la modification, l’extraction, la consultation, la communication, le transfert, l’interconnexion mais aussi le verrouillage, l’effacement ou la destruction.
Ainsi, doit faire l’objet d’une déclaration auprès de la CNIL, la présence et les conditions de stockage des dossiers patients enregistrés et conservés au sein d’un cabinet médical ou d’un établissement de santé.
La CNIL, selon votre déclaration, vérifiera la présence et le respect des dispositifs de sécurité du système informatique prévu.
Lors de cette déclaration, le professionnel précise ainsi l’usage qu’il fait de son ordinateur, le type de matériels et logiciels utilisés, les dispositifs de sécurité mis en œuvre afin que l’accès de tiers aux informations contenues soit rendu impossible, les informations enregistrées sur le support informatique et le moyen d’information des patients de l’existence d’un fichier les concernant (annonce sur l’affiche des tarifs obligatoire).
Cette formalité, qui est, une obligation légale, est gratuite.
Celle-ci est en outre simplifiée (délibération de la CNIL n°2005-296 en date du 22 novembre 2005) et peut être effectué par courrier ou sur le site internet de la CNIL- Norme Simplifiée n°50.
Attention, certains traitements sont quant à eux soumis à une autorisation de la CNIL et non à une simple déclaration. Tel est le cas par exemple de la mise en place d’un dossier médical partagé (DMP) dans le cadre d’un réseau de soins.
Le site de la CNIL permet d’effectuer en ligne la formalité de déclaration préalable et la demande d’autorisation. Pour cette demande d’autorisation, la CNIL dispose d’un délai de 2 mois pour se prononcer.
Lien : Formulaire de déclaration CNIL
CNIL Déclaration simplifiée Loi – Délibération_2005-296_du_22_novembre_2005