Vous êtes médecin libéral et vous possédez un fichier informatique avec toutes les informations de vos patients ? N’oubliez pas que conformément à la Loi Informatique et Libertés vous êtes dans l’obligation de déclarer ces fichiers à la CNIL (Commission nationale de l’informatique et des libertés) avant même leur mise en ligne.
La Loi Informatique et Libertés, c’est quoi ?
La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés réglemente le traitement des données personnelles, c’est-à-dire la liberté de constituer un fichier avec des informations relatives aux personnes humaines.
Dans le domaine médical, les informations ou données que vous enregistrez doivent être destinées à un usage spécifique, légitime et utile au traitement médical du patient.
Soit, en tant que médecin, il vous sera autorisé d’enregistrer des données limitées d’un patient, à savoir :
- son identité (son nom, son prénom, son adresse, sa date de naissance et son numéro de téléphone) ;
- son numéro de sécurité sociale ;
- sa situation familiale (célibataire ou marié, nombre d’enfants et nombre de grossesse pour les patientes) ;
- sa situation professionnelle (métier et conditions de travail) ;
- son suivi de santé (toutes les informations relatives à ses antécédents médicaux qui peuvent être utiles dans le cadre de soins).
Toutes les données de vos patients sont soumises au droit à l’oubli au bout de 5 ans, vous devez donc archiver les données enregistrées pour les conserver et cela dans un délai maximal de 15 ans après votre dernière intervention sur le dossier du patient.
Quelles sont les obligations du praticien envers les données personnelles ?
Le médecin s’engage à assurer la confidentialité des données avec des outils informatiques appropriés. Bien entendu, le praticien s’engage à garder ces données confidentielles même si son patient consent à leur divulgation. Toute communication des données médicales est limitée aux autorités judiciaires et aux agents de l’administration fiscale (et cela, seulement pour l’identité du patient et les données financières).
Dans ce cadre, le médecin a l’obligation d’informer ses patients de l’enregistrement des données qui les concerne. Si un patient s’oppose à cet enregistrement ou demande rectification de ses données, le médecin doit consentir à sa demande.
Comment faire sa déclaration à la CNIL ?
La déclaration à la CNIL vous prendra moins de 5 minutes et vous recevrez un accusé de réception par mail. Si votre dossier est complet, le délai annoncé est de maximum une semaine. Néanmoins, si vous consultez la CNIL pour une demande d’avis ou d’autorisation, le délai augmente jusqu’à deux mois.
Vous êtes dans l’obligation de faire cette déclaration à partir du moment où vous enregistrez une partie de vos informations patients sur un logiciel avec une connexion internet (que l’on parle d’agenda connecté ou de la prise de rendez-vous en ligne). Aussi, n’oubliez pas d’héberger vos données chez un prestataire agréé « données de santé » afin de communiquer en toute sécurité (messagerie, site web).
A quoi vous engage la déclaration CNIL ?
- Vous vous engagez à utiliser votre carte de professionnel de santé (CPS) ;
- Vous vous engagez à ne traiter les données que dans un cadre strict et légitime ;
- Vous vous engagez à informer vos patients.
Quels risques j’encoure si je ne fais pas ma déclaration à la CNIL ?
Si vous ne déclarez pas vos bases de données patients, la CNIL se réserve le droit de vous imputer jusqu’à 300 000 € d’amende et de 5 ans d’emprisonnement (pour rappel, la violation du secret médical est passible d’un an d’emprisonnement et de 15 000 € d’amende).
En savoir plus :
- Guide des professionnels de santé, cnil.fr
- Informez vos patients, cnil.fr
- Sécuriser les données de santé dans les applications en réseau, cnil.fr
- Informatique et secret médical : si la CNIL était contée aux médecins, Blog Desmarais Avocats