Poursuivant sa mission d’accompagnement des responsables de traitement tous secteurs d’activités confondus, la CNIL a adopté et publié, à la date du 28 juillet dernier, trois nouveaux référentiels dans le secteur de la santé. L’un porte sur la gestion des traitements courants des cabinets médicaux et paramédicaux [1], les deux autres concernent respectivement les durées de conservation des données dans le secteur de la santé [2] et de la recherche [3].

  • Un référentiel d’aide à la gestion des cabinets médicaux et paramédicaux

Ce référentiel remplace la norme simplifiée 50 (NS 50), antérieure au RGPD, et tend à accompagner les professionnels de santé libéraux, exerçant en cabinet individuel ou groupé, ou au sein de maisons de santé, dans la gestion des fichiers de leur patientèle. Il ne s’étend notamment pas aux traitements mis en œuvre par les services de soins, les services de médecine d’entités publiques ou privées, les pharmaciens, opticiens, ou encore les laboratoires d’analyses de biologie médicale.

Grâce à ce référentiel, les professionnels concernés seront guidés dans leurs prises de décisions en matière de protection des données personnelles, tout en pouvant sortir de ce cadre non contraignant proposé par la CNIL. Ils devront alors être à même de justifier cet écart par un argumentaire solide au regard de leur situation particulière, et garantir la conformité de leurs traitements à la réglementation en matière de protection des données à caractère personnel.

  • Deux référentiels portant sur les durées de conservation des données

Ces référentiels dédiés suivent de quelques jours la publication du guide plus général, élaboré par la CNIL en partenariat avec le Service Interministériel des archives de France (SIAF), sur les durées de conservation [4] .

Le premier référentiel s’applique aux traitements de données dans le secteur de la santé (tenue du dossier patient ; ordonnancier…), le second aux traitements opérés à des fins de recherche, d’étude ou d’évaluation dans ce domaine.

Outils d’aide à la prise de décision des responsables de traitement par le rappel des durées obligatoires, notamment au regard du Code de la santé publique, et des durées non obligatoires préconisées par la CNIL, ces référentiels ne sont pas exhaustifs, en ce qu’ils ne portent que sur les traitements les plus fréquents.

Par ces trois référentiels dédiés, les professionnels de santé trouveront des lignes directrices précieuses pour la gestion de leur gouvernance Informatique et Libertés. Pour autant, toute prise de décision hors de ces cadres implique de leur part un réel questionnement et des justificatifs adaptés s’inscrivant dans le respect des droits et libertés des personnes concernées.

Odile Jami-Caston, directrice Data et GDPR compliance, et Pauline Vital, avocate, cabinet | ITLAW Avocats 

Vous travaillez sur un projet de traitement de données personnelles et souhaitez le mettre en conformité ? 

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données est à votre disposition pour vous accompagnernous contacter

 

 

[1] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000042158211&dateTexte=&categorieLien=idhttps://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_cabinet.pdf

[2] https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000042158192

https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_traitements_dans_le_domaine_de_la_sante_hors_recherches.pdf

[3] https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_recherches_dans_le_domaine_de_la_sante.pdf

[4] https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf

Nous contacter