Ces référentiels ont été adoptés à la suite de délibérations de la Commission nationale de l'informatique et des libertés (Cnil) le 18 juin.
Le premier référentiel concerne les traitements de données santé hors recherche.
Il s'applique notamment aux établissements de santé, pharmacies d'officines et laboratoires d'analyses médicales.
Sont également concernés le dossier médical partagé (DMP) et le dossier pharmaceutique (DP).
Pour chaque cas, la Cnil précise s'il s'agit d'une durée de conservation obligatoire ou d'une durée recommandée, ainsi que la durée de conservation en base active, la durée de conservation en base intermédiaire et les fondements juridiques et/ou textes de références.
Le deuxième référentiel concerne les recherches dans le domaine de la santé.
Les cas détaillés sont les recherches impliquant la personne humaine (RIPH), les recherches n'impliquant pas la personne humaine (RNIPH), les études nécessitant l'accès aux données du programme de médicalisation des systèmes d'information (PMSI) et aux résumés de passage aux urgences (RPU) par les établissements de santé, et celles nécessitant l'accès aux données du PMSI par les industriels.
Il est précisé si la durée de conservation est imposée par la réglementation, ou bien si elle doit être définie par le responsable de traitement, auquel cas "sa proportionnalité sera appréciée par la Cnil lors de l'instruction de la demande d'autorisation pour le projet de recherche".
Le troisième référentiel concerne les données traitées par les cabinets médicaux et paramédicaux "dans le cadre de la gestion médicale et administrative de leur patientèle".
Il "n'a pas de valeur contraignante", est-il précisé.
"Il permet en principe d’assurer la conformité des traitements de données mis en oeuvre par les professionnels de santé exerçant à titre libéral aux principes relatifs à la protection des données et au secret médical", ajoute la Cnil.
Toutefois, "les professionnels de santé concernés, en tant que responsables de traitement, doivent mettre en oeuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données personnelles dès la conception des traitements et tout au long de la vie de ceux-ci".
Vos réactions
Afficher/Masquer les commentaires (1)