Blog Sciences du vivant

La CNIL publie le référentiel relatif aux traitements de données personnelles destinés à la gestion des cabinets médicaux et paramédicaux

La CNIL a adopté par délibération n°2020-081 du 18 juin 2020 son référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux. Ce référentiel dont le principe est prévu à l’article 8-I 2° b) de la loi Informatique et Libertés remplace donc la norme simplifiée 50 qui n’était plus juridiquement applicable depuis l’entrée en application du RGPD.

Ce référentiel concerne les professionnels de santé médicaux et paramédicaux à titre libéral, dont les médecins, les sages femmes, les chirurgiens dentistes mais aussi les masseurs-kinésithérapeutes, les pédicures podologues, ou les infirmiers par exemple. Il exclut les services de soins publics et privés et les pharmaciens, les laboratoires d’analyses de biologie médicale et les opticiens.

S’il n’a pas de valeur contraignante, il oblige toutefois les professionnels qui s’en écartent à pouvoir se justifier au regard de conditions particulières et dès lors que des mesures appropriées sont mises en place. Le référentiel donne notamment des indications sur les objectifs poursuivis par le traitement dont la finalité principale est la gestion médicale et administrative de la patientèle et précise les bases légales sur lesquelles peuvent s’appuyer les différentes finalités et les durées de conservation en base active et archive intermédiaire.

Il est à noter que le référentiel prévoit l’hypothèse d’une externalisation de la gestion du traitement dans le respect des dispositions du code de la santé publique et inclut désormais également la réalisation des actes de télémédecine et de télésoin. Il intègre les notions d’échange et de partage des données de santé par une référence aux articles L.1110-4 et L.1110-12 du code de la santé publique dont le DMP et le futur espace numérique de santé sont des illustrations.

Le nécessaire respect des référentiels de sécurité et d’interopérabilité visés à l’article L.1110-4-1 du code de la santé publique est affirmé.

La CNIL recense ensuite les mesures de sécurité, répertoriées par catégories dont la sécurisation des postes de travail et des serveurs ainsi que les sauvegardes, pouvant être mises en œuvre par les professionnels de santé exerçant à titre libéral.

En outre, ce référentiel constitue également une aide à la réalisation d’une étude d’impact. La CNIL précise toutefois que la réalisation d’une telle étude ainsi que la désignation d’un DPO sont jugées nécessaires uniquement pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients.

Enfin, la CNIL a publié le même jour deux autres délibérations concernant les durées de conservation des données à caractère personnel traitées dans le secteur de la santé ainsi que celles traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.