La CNIL publie trois référentiels pour le secteur de la santé

La CNIL publie trois référentiels pour le secteur de la santé

Les nouveaux référentiels adoptés par la CNIL ont pour objectif d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux et dans le choix de durées de conservation.

1. Un référentiel pour la gestion des traitements courants des cabinets médicaux et paramédicaux

Pour aider les professionnels de santé libéraux dans leurs démarches de conformité, la CNIL a adopté un nouveau référentiel qui recense et applique les principes du RGPD aux traitements de données sensibles couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle.

Faciliter la mise en conformité

Ce référentiel est un cadre de référence qui permet aux professionnels de santé libéraux de mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux. Il a été adopté à la suite d’une consultation des principaux représentants du secteur.

Il a vocation à remplacer l’ancienne norme simplifiée NS-50
Il a vocation à remplacer l’ancienne norme simplifiée NS-50 destinée aux membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet.

Le référentiel n’est pas contraignant
Les responsables de traitement peuvent s’écarter de ses préconisations (par exemple, en identifiant d’autres bases de traitement pour tel ou tel traitement spécifique, etc.), à condition toutefois de pouvoir justifier leur choix et sous leur responsabilité.

Qui est concerné par le référentiel ?

Il s’agit des professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou encore au sein de maisons de santé. Sont donc concernés les médecins généralistes ou spécialistes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc.

La référentiel n’a en revanche pas vocation à s’appliquer aux traitements mis en œuvre par les services de soins (établissements de santé, centres de santé, communautés professionnelles territoriales de santé, etc.), ni à ceux mis en œuvre par les services de médecine d’entité publique d’entités publiques ou privées (médecine du travail, médecine scolaire, PMI, etc.), par les pharmaciens, par les laboratoires d’analyses de biologie médicale ou par les opticiens.

Les principales évolutions par rapport à la norme simplifiée 50

Certaines règles de fond ont été précisées : celles relatives à l’identification des bases légales susceptibles de fonder des traitements en matière de gestion médicale et administrative de la patientèle, ou encore en matière de sécurité des données.

Ont également été intégrées les nouvelles obligations liées au processus de conformité, concernant notamment la tenue d’un registre des traitements ainsi que l’élaboration d’une AIPD dans certaines hypothèses bien précises.

Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicauxMises en conformité RGPD - Logo PDF

Question : J’ai fait un engagement de conformité à la norme simplifiée 50 (NS-50) avant le RGPD. Que faut-il faire ?

Cette formalité n’ayant plus de valeur juridique, il est nécessaire d’appliquer les nouvelles obligations portées par le RGPD qui s’appliquent à tous les traitements, anciens comme nouveaux, et qui sont recensées dans le nouveau référentiel. 

2. Deux référentiels pour gérer les durées de conservation des données

La gestion du cycle de vie des données et la détermination de leurs durées de conservation constituent une étape indispensable dans la mise en conformité des traitements de données personnelles des organismes publics et privés.

La CNIL, qui a publié un guide des durées de conservation, adopte également deux référentiels spécifiques aux secteurs de la santé et de la recherche en santé.

Les référentiels spécifiques pour identifier les durées pertinentes dans le secteur de la santé et de la recherche

Les référentiels de durées de conservation ont pour objectif d’accompagner, de manière opérationnelle, les acteurs dans l’identification et la détermination de la durée pertinente pour les traitements.

Ils sont une aide à la prise de décision en orientant le responsable de traitement vers :

  • les durées obligatoires du fait de la réglementation en vigueur, et en particulier le Code de la santé publique ;
  • les durées recommandées par la CNIL, qui sont des points de repère pour déterminer la durée pertinente.

Les référentiels ne sont pas exhaustifs : ils listent les durées pertinentes pour les traitements les plus fréquents pour ces deux secteurs d’activité.


Source :La CNIL publie trois référentiels pour le secteur de la santé | CNIL


Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Laisser un commentaire