Guide RGPD CNIL CNOM

20 Juin 2018 – publication du guide conjoint CNIL CNOM

CNIL : RGPD : le Conseil National de l’Ordre des Médecins et la CNIL publient un guide pratique à l’attention des médecins

CNIL : une page de conseils pratiques : RGPD et professionnels de santé libéraux : ce que vous devez savoir . Voici deux extraits de cette page CNIL pour le secteur des soins libéral :

  • « pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.« 
  • ou encore « Quels sont les destinataires des informations figurant dans votre dossier ? Seuls ont accès aux informations figurant dans votre dossier votre médecin et, dans une certaine mesure, au regard de la nature des missions qu’il exerce, son personnel. Votre médecin, avec votre consentement, pourra également transmettre à d’autres professionnels de santé des informations concernant votre état de santé. »

Pour le secteur de la santé au travail, l’application du RGPD devrait-elle changer les usages ? C’est moins simple. Le Conseil de l’Ordre des médecins a publié deux rapports (2004 et 2015) décrivant les usages des transferts de dossiers entre médecins. Bien que la Haute Autorité de Santé dans sa recommandation de 2009  ait écrit que l’informatisation des dossiers médicaux était seulement souhaitable (non obligatoire), elle a simultanément recommandé que les règles d’accès de chaque collaborateur à chaque dossier soient fixées par écrit par le médecin rédacteur. Cette fixation écrite, valant preuve, est ainsi rendue obligatoire. Où en est-on de l’application de cette recommandation ? Aucun bilan n’a été établi ni même prévu. La loi du 20 Juillet 2011 a identifié les types de médecin remplaçant (moins de 3 mois, plus de 3 mois), mais aucune procédure particulière n’en a été déduite. La CNIL est chargée des éventuels contrôles de l’application du RGPD et de la LIL, et n’a donc pas le mandat de faire appliquer le code de la Santé Publique, les rapports du CNOM et la recommandation de la HAS. Comme le montrent les déclarations des services de santé au travail publiées récemment par la CNIL, les services de santé au travail se sont déclarés jusqu’au 25 Mai 2018 comme des cabinets médicaux libéraux (Norme simplifiée n°50). Le RGPD reconnaît le caractère licite des TDP nécessaires au respect d’une obligation légale (dans son article 6 c/ ), des TDP de la médecine du travail (dans son article 9 2. h/ ), et exclusivement par un professionnel de santé (dans son article 9. 3.). Les dossiers médicaux informatisés sont ainsi visés, mais le papier aussi, alors que la loi informatique et libertés ne vise que les dossiers informatisés. Certains services indiquent que l’inscription des données de santé en informatique fait l’objet d’un consentement du salarié. Cependant, c’est uniquement pour leur hébergement que la personne prise en charge doit en être dûment informée et sauf opposition pour un motif légitime (article L1111-8 du CSP). Le texte du RGPD et le texte du guide conjoint CNOM CNIL ne font cependant pas de différence de principe entre les dossiers patient au format papier et au format numérique, le code de la santé publique ne prévoit pas le consentement à l’enregistrement des données de santé, seul l’ébergement est soumis au consentement  (article L1111-8) . Comme le rappellent le guide conjoint CNOM CNIL, les rapports au CNOM 2004 et 2015 et la recommandation de la HAS 2009, le CSP oblige a demander le consentement au transfert d’informations à d’autres professionnels de santé. Le texte du RGPD ne comporte pas d’exigence de consentement pour l’enregistrement des données pour la médecine ou la médecine du travail (Article 21 Droit d’opposition), et l’exclut même explicitement (article 9 point 2 – paragraphe h). Les salariés bénéficiaires et leurs institutions représentatives, avec leurs membres de commission de contrôle, mais aussi les professionnels des services exerçant des responsabilités (directeurs, informaticiens, médecins, infirmiers), devraient donc demander d’appliquer le RGPD aux systèmes d’information des services après avoir mis en conformité avec la recommandation de la haute autorité de Santé et avec les référentiels d’interopérabilité et de sécurité. Ils devraient demander la communication du texte de la recommandation, des référentiels, du registre et de l’analyse d’impact.

REFERENCES :

Et les interprétations officielles :

A suivre ….

 

Les commentaires sont fermés.