Conservation des données de santé : deux référentiels de la CNIL pour faire le point

Publiés au Journal officiel le 28 juillet dernier, ces documents serviront utilement aux praticiens pour prendre connaissance de toutes les obligations qui leur incombent.

Les données collectées relatives à des personnes physiques « identifiées ou identifiables (patients, professionnels de santé, etc.) sont soumises aux dispositions du règlement général sur la protection des données (RGPD), de la loi du 6 janvier 1978, ainsi qu’aux dispositions du code de la santé publique », rappelle la CNIL.

Sécurisation

En conséquence, les professionnels de santé exerçant à titre libéral, dont les chirurgiens-dentistes « doivent mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données personnelles dès la conception des traitements et tout au long de la vie de ceux-ci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. »

Sans valeur contraignante, les deux référentiels élaborés par l’autorité administrative indépendante vous permettront d’atteindre cet objectif grâce à des tableaux synthétiques de présentation des données qu’il est possible de recueillir en vous interrogeant sur leur « nécessité et leur pertinence », sur leurs destinataires potentiels (secrétariat, assurance maladie, complémentaires santé, prestataires, etc.), ainsi que sur l’information à donner aux patients quant au traitement réservé à ces data.

Les textes passent en revue les grands principes : authentification des utilisateurs, sécurité des postes de travail, sécurisation des réseaux, méthodes de sauvegarde, protection des locaux, etc.

« Le professionnel de santé doit prendre toutes les précautions utiles pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès », avertit la CNIL.

5 ans en base active, 15 ans en archivage

La Commission souligne que les données de santé « ne peuvent être conservées pour une durée indéfinie ».

Dans un cabinet dentaire, celles-ci pourront être détenues « pendant une durée de vingt ans à compter de la date de la dernière prise en charge du patient : en base active, pendant une durée de cinq ans à compter de la dernière intervention sur le dossier du patient, puis, à l’issue de cette période, sous la forme archivée sur un support distinct pendant quinze ans ».

Pour plus d’informations :

Référentiel n° 2020-081 destiné à la gestion des cabinets médicaux et paramédicaux libéraux sur le traitement des données à caractère personnel

Référentiel n° 2020-076 sur les durées de conservation des données à caractère personnel traitées dans le secteur de la santé