La CNIL publie trois référentiels pour le secteur de la santé

28 juillet 2020

Les nouveaux référentiels adoptés par la CNIL ont pour objectif d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux et dans le choix de durées de conservation.

Un référentiel pour la gestion des traitements courants des cabinets médicaux et paramédicaux

Pour aider les professionnels de santé libéraux dans leurs démarches de conformité, la CNIL a adopté un nouveau référentiel qui recense et applique les principes du RGPD aux traitements de données sensibles couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle.

Faciliter la mise en conformité

Ce référentiel est un cadre de référence qui permet aux professionnels de santé libéraux de mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux. Il a été adopté à la suite d’une consultation des principaux représentants du secteur.

Il a vocation à remplacer l’ancienne norme simplifiée NS-50 destinée aux membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet.

Le référentiel n’est pas contraignant. Les responsables de traitement peuvent s’écarter de ses préconisations (par exemple, en identifiant d’autres bases de traitement pour tel ou tel traitement spécifique, etc.), à condition toutefois de pouvoir justifier leur choix et sous leur responsabilité.

Qui est concerné par le référentiel ?

Il s’agit des professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou encore au sein de maisons de santé. Sont donc concernés les médecins généralistes ou spécialistes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc.

La référentiel n’a en revanche pas vocation à s’appliquer aux traitements mis en œuvre par les services de soins (établissements de santé, centres de santé, communautés professionnelles territoriales de santé, etc.), ni à ceux mis en œuvre par les services de médecine d’entités publiques ou privées (médecine du travail, médecine scolaire, PMI, etc.), par les pharmaciens, par les laboratoires d’analyses de biologie médicale ou par les opticiens.

Les principales évolutions par rapport à la norme simplifiée 50

Certaines règles de fond ont été précisées : celles relatives à l’identification des bases légales susceptibles de fonder des traitements en matière de gestion médicale et administrative de la patientèle, ou encore en matière de sécurité des données.

Ont également été intégrées les nouvelles obligations liées au processus de conformité, concernant notamment la tenue d’un registre des traitements ainsi que l’élaboration d’une AIPD dans certaines hypothèses bien précises.

J’ai fait un engagement de conformité à la norme simplifiée 50 (NS-50) avant le RGPD. Que faut-il faire ?

Cette formalité n’ayant plus de valeur juridique, il est nécessaire d’appliquer les nouvelles obligations portées par le RGPD qui s’appliquent à tous les traitements, anciens comme nouveaux, et qui sont recensées dans le nouveau référentiel. 

Deux référentiels pour gérer les durées de conservation des données

La gestion du cycle de vie des données et la détermination de leurs durées de conservation constituent une étape indispensable dans la mise en conformité des traitements de données personnelles des organismes publics et privés.

La CNIL, qui a publié un guide des durées de conservation, adopte également deux référentiels spécifiques aux secteurs de la santé et de la recherche en santé.

Les référentiels spécifiques pour identifier les durées pertinentes dans le secteur de la santé et de la recherche

Les référentiels de durées de conservation ont pour objectif d’accompagner, de manière opérationnelle, les acteurs dans l’identification et la détermination de la durée pertinente pour les traitements.

Ils sont une aide à la prise de décision en orientant le responsable de traitement vers :

  • les durées obligatoires du fait de la réglementation en vigueur, et en particulier le Code de la santé publique ;
  • les durées recommandées par la CNIL, qui sont des points de repère pour déterminer la durée pertinente.

Les référentiels ne sont pas exhaustifs : ils listent les durées pertinentes pour les traitements les plus fréquents pour ces deux secteurs d’activité.

Pour aller plus loin : le guide des durées de conservation

La CNIL a publié un guide pratique, plus général, qui a vocation à apporter les réponses aux questions les plus fréquentes des professionnels sur le principe de limitation de la conservation des données. Il détaille les éléments clés de cette obligation et apporte des conseils pratiques pour l’implémenter de manière concrète au sein des organismes publics ou privées.

Élaboré en partenariat avec le Service interministériel des archives de France (SIAF), le guide met en  relation les obligations du RGPD et celles du Code du patrimoine.