Conservation des données personnelles des patients : la CNIL publie des référentiels

Dans des référentiels publiés au Journal officiel la commission nationale de l’informatique et des libertés (CNIL) précise les durées de conservation des données à caractère personnel traitées dans le dossier des patients au sein des cabinets médicaux et paramédicaux.

Le premier référentiel fixe à 5 ans, à compter de la dernière intervention sur le dossier du patient la durée de conservation « en base active », c’est-à-dire durant le temps nécessaire à la finalisation du traitement. Une fois que le traitement est terminé, la durée d’archivage intermédiaire des données est de 15 ans. Cet archivage doit être effectué sur un support distinct de celui de la base active et dans des conditions de sécurité suffisantes.

Concernant la gestion du dossier médical partagé (DMP), les données peuvent être conservées pendant le temps de l’utilisation du dossier du patient. En revanche, la durée de conservation est de 10 ans à compter de la clôture du dossier.

Le second référentiel encadre le traitement des données à caractère personnel des patients par les professions médicales et paramédicales exerçant à titre libéral. Sans caractère contraignant, il permet cependant de s’assurer que le traitement des données est, dans un contexte d’évolution des pratiques à l’ère numérique, conforme aux principes relatifs à la protection des données et au secret médical.

Le traitement des données doit répondre à un objectif précis et être justifié au regard des missions et des activités du professionnel de santé. Il permet notamment, pour les besoins de la prise en charge des patients :

– la gestion des rendez-vous ;

– la gestion des dossiers médicaux ;

– la gestion et la tenue des dossiers nécessaires au suivi du patient ;

– le recours aux pratiques de soins à distance requérant des technologies de l’information et de la communication, telles que la télémédecine et le télésoin ;

– les communications entre professionnels identifiés et structures de soins participant à la prise en charge de la personne concernée et à la coordination de celle-ci ;

– l’établissement et la télétransmission des documents destinés à la prise en charge des frais de santé par l’assurance maladie (feuilles de soins, arrêt de travail, protocole de soins électroniques, etc.) ;

– la tenue de la comptabilité.

Ce référentiel rappelle également qu’afin de limiter au maximum les données personnelles traitées, le professionnel de santé doit veiller à ne collecter et n’utiliser que les données pertinentes et nécessaires au traitement ainsi qu’à la gestion médicale et administrative de sa patientèle.