La CNIL publie trois référentiels pour le secteur de la santé
Les nouveaux référentiels adoptés par la CNIL ont pour objectif d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux et dans le choix de durées de conservation.
1. Un référentiel pour la gestion des traitements courants des cabinets médicaux et paramédicaux
Pour aider les professionnels de santé libéraux dans leurs démarches de conformité, la CNIL a adopté un nouveau référentiel qui recense et applique les principes du RGPD aux traitements de données sensibles couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle.
Faciliter la mise en conformité
Ce référentiel est un cadre de référence qui permet aux professionnels de santé libéraux de mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux. Il a été adopté à la suite d’une consultation des principaux représentants du secteur.
Il a vocation à remplacer l’ancienne norme simplifiée NS-50
Il a vocation à remplacer l’ancienne norme simplifiée NS-50 destinée aux membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet.
Le référentiel n’est pas contraignant
Les responsables de traitement peuvent s’écarter de ses préconisations (par exemple, en identifiant d’autres bases de traitement pour tel ou tel traitement spécifique, etc.), à condition toutefois de pouvoir justifier leur choix et sous leur responsabilité.
Qui est concerné par le référentiel ?
Il s’agit des professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou encore au sein de maisons de santé. Sont donc concernés les médecins généralistes ou spécialistes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc.
La référentiel n’a en revanche pas vocation à s’appliquer aux traitements mis en œuvre par les services de soins (établissements de santé, centres de santé, communautés professionnelles territoriales de santé, etc.), ni à ceux mis en œuvre par les services de médecine d’entité publique d’entités publiques ou privées (médecine du travail, médecine scolaire, PMI, etc.), par les pharmaciens, par les laboratoires d’analyses de biologie médicale ou par les opticiens.
Les principales évolutions par rapport à la norme simplifiée 50
Certaines règles de fond ont été précisées : celles relatives à l’identification des bases légales susceptibles de fonder des traitements en matière de gestion médicale et administrative de la patientèle, ou encore en matière de sécurité des données.
Ont également été intégrées les nouvelles obligations liées au processus de conformité, concernant notamment la tenue d’un registre des traitements ainsi que l’élaboration d’une AIPD dans certaines hypothèses bien précises.
Question : J’ai fait un engagement de conformité à la norme simplifiée 50 (NS-50) avant le RGPD. Que faut-il faire ?
Cette formalité n’ayant plus de valeur juridique, il est nécessaire d’appliquer les nouvelles obligations portées par le RGPD qui s’appliquent à tous les traitements, anciens comme nouveaux, et qui sont recensées dans le nouveau référentiel.
2. Deux référentiels pour gérer les durées de conservation des données
La gestion du cycle de vie des données et la détermination de leurs durées de conservation constituent une étape indispensable dans la mise en conformité des traitements de données personnelles des organismes publics et privés.
La CNIL, qui a publié un guide des durées de conservation, adopte également deux référentiels spécifiques aux secteurs de la santé et de la recherche en santé.
Les référentiels spécifiques pour identifier les durées pertinentes dans le secteur de la santé et de la recherche
Les référentiels de durées de conservation ont pour objectif d’accompagner, de manière opérationnelle, les acteurs dans l’identification et la détermination de la durée pertinente pour les traitements.
- Le premier référentiel vise les traitements de données dans le domaine de la santé – hors recherche (ex : tenue du dossier patient, ordonnancier, vigilances sanitaires, etc.)
- Le second référentiel vis les traitements de données mis en œuvre à des fins de recherche, d’étude, et d’évaluation dans le domaine de la santé (ex : les recherches interventionnelles, les recherches sur des données déjà collectées, etc.).
Ils sont une aide à la prise de décision en orientant le responsable de traitement vers :
- les durées obligatoires du fait de la réglementation en vigueur, et en particulier le Code de la santé publique ;
- les durées recommandées par la CNIL, qui sont des points de repère pour déterminer la durée pertinente.
Les référentiels ne sont pas exhaustifs : ils listent les durées pertinentes pour les traitements les plus fréquents pour ces deux secteurs d’activité.
Source :La CNIL publie trois référentiels pour le secteur de la santé | CNIL
Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.
Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.
Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.
- Vous souhaitez réagir ?
Profitez-en pour laisser un commentaire ci-dessous.
- Vous souhaitez mettre votre établissement en conformité avec le RGPD ?
Consultez nos bons conseils, contactez-nous, demandez-nous un devis.
- Vous êtes futur ou actuellement DPO et souhaitez être rassuré ou accompagné dans vos démarches ? Nous proposons des accompagnements sur mesure
- Vous souhaitez mettre en place des démarches pour améliorer votre cybersécurité ? Nous pouvons vous accompagner