20 Juin 2018 – publication du guide conjoint CNIL CNOM
CNIL : une page de conseils pratiques : RGPD et professionnels de santé libéraux : ce que vous devez savoir . Voici deux extraits de cette page CNIL pour le secteur des soins libéral :
- « pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.«
- ou encore « Quels sont les destinataires des informations figurant dans votre dossier ? Seuls ont accès aux informations figurant dans votre dossier votre médecin et, dans une certaine mesure, au regard de la nature des missions qu’il exerce, son personnel. Votre médecin, avec votre consentement, pourra également transmettre à d’autres professionnels de santé des informations concernant votre état de santé. »
Pour le secteur de la santé au travail, l’application du RGPD devrait-elle changer les usages ? C’est moins simple. Le Conseil de l’Ordre des médecins a publié deux rapports (2004 et 2015) décrivant les usages des transferts de dossiers entre médecins. Bien que la Haute Autorité de Santé dans sa recommandation de 2009 ait écrit que l’informatisation des dossiers médicaux était seulement souhaitable (non obligatoire), elle a simultanément recommandé que les règles d’accès de chaque collaborateur à chaque dossier soient fixées par écrit par le médecin rédacteur. Cette fixation écrite, valant preuve, est ainsi rendue obligatoire. Où en est-on de l’application de cette recommandation ? Aucun bilan n’a été établi ni même prévu. La loi du 20 Juillet 2011 a identifié les types de médecin remplaçant (moins de 3 mois, plus de 3 mois), mais aucune procédure particulière n’en a été déduite. La CNIL est chargée des éventuels contrôles de l’application du RGPD et de la LIL, et n’a donc pas le mandat de faire appliquer le code de la Santé Publique, les rapports du CNOM et la recommandation de la HAS. Comme le montrent les déclarations des services de santé au travail publiées récemment par la CNIL, les services de santé au travail se sont déclarés jusqu’au 25 Mai 2018 comme des cabinets médicaux libéraux (Norme simplifiée n°50). Le RGPD reconnaît le caractère licite des TDP nécessaires au respect d’une obligation légale (dans son article 6 c/ ), des TDP de la médecine du travail (dans son article 9 2. h/ ), et exclusivement par un professionnel de santé (dans son article 9. 3.). Les dossiers médicaux informatisés sont ainsi visés, mais le papier aussi, alors que la loi informatique et libertés ne vise que les dossiers informatisés. Certains services indiquent que l’inscription des données de santé en informatique fait l’objet d’un consentement du salarié. Cependant, c’est uniquement pour leur hébergement que la personne prise en charge doit en être dûment informée et sauf opposition pour un motif légitime (article L1111-8 du CSP). Le texte du RGPD et le texte du guide conjoint CNOM CNIL ne font cependant pas de différence de principe entre les dossiers patient au format papier et au format numérique, le code de la santé publique ne prévoit pas le consentement à l’enregistrement des données de santé, seul l’ébergement est soumis au consentement (article L1111-8) . Comme le rappellent le guide conjoint CNOM CNIL, les rapports au CNOM 2004 et 2015 et la recommandation de la HAS 2009, le CSP oblige a demander le consentement au transfert d’informations à d’autres professionnels de santé. Le texte du RGPD ne comporte pas d’exigence de consentement pour l’enregistrement des données pour la médecine ou la médecine du travail (Article 21 Droit d’opposition), et l’exclut même explicitement (article 9 point 2 – paragraphe h). Les salariés bénéficiaires et leurs institutions représentatives, avec leurs membres de commission de contrôle, mais aussi les professionnels des services exerçant des responsabilités (directeurs, informaticiens, médecins, infirmiers), devraient donc demander d’appliquer le RGPD aux systèmes d’information des services après avoir mis en conformité avec la recommandation de la haute autorité de Santé et avec les référentiels d’interopérabilité et de sécurité. Ils devraient demander la communication du texte de la recommandation, des référentiels, du registre et de l’analyse d’impact.
REFERENCES :
- lire le texte du RGPD en ligne sur Europa Lex
- lire le texte du RGPD en ligne sur le site de la CNIL
- télécharger le texte du RGPD copié en local sur ce site, (collé en ttt de texte sans retouche puis réexporté immédiatement en pdf, poids plus léger tout en conservant les liens internes)
- lire en ligne la version en vigueur au 21 Juin 2018 de la loi informatique et libertés
- Code de la Santé Publique :
- télécharger sur le site du CNOM le code de déontologie médicale
- télécharger sur le site de l’ONI le code de déontologie infirmier
- l’ordonnance n°2018-21 du 17 janvier 2018 a ajouté un article L1110-4-1 au CSP qui impose au secteur sanitaire, social et médico-social de se conformer aux « référentiels d’interopérabilité et de sécurité » mentionnés à l’article L. 1111-24
Et les interprétations officielles :
- télécharger la recommandation « Le dossier médical en santé au travail » de la Haute Autorité de Santé d’Avril 2009, et ses passages concernant le secret
- télécharger les rapports au CNOM « Le dossier médical en Santé au travail » 2004 et 2015
- télécharger le guide conjoint CNOM CNIL,
- télécharger le livre blanc des logiciels destinés aux médecins (CNOM MACSF)
- page du CNOM dématerialisation des documents médicaux
A suivre ….