Traitement des données à caractère personnel au sein des cabinets médicaux : un référentiel adopté par la CNIL
Il remplace donc la norme simplifiée n°50 de la CNIL qui n’avait plus de valeur juridique depuis l’entrée en vigueur du Règlement Européen pour la Protection des Données (RGPD). Deux autres référentiels ont également été adoptés concernant la durée de conservation des données.
Ce texte non-contraignant a pour but de servir de guide dans l’amélioration de la gestion médicale et administrative des cabinets libéraux concernant les données personnelles de leur patientèle. Les médecins deviennent en effet des responsables de traitement au sens du RGPD du fait de la manipulation de ces données.
Tous les personnels médicaux exerçant à titre libéral sont concernés par ce référentiel à l’exception des pharmaciens, services de soins, laboratoires d’analyses de biologie médicale ou encore les opticiens.
Il s’agit donc de proposer un cadre sur lequel les professionnels peuvent s’appuyer afin de mettre en conformité leur gestion avec le RGPD. Ils pourront ainsi renforcer le niveau de protection des données personnelles et donc de fait, le secret médical.
Les professionnels qui le souhaitent peuvent s’en écarter du fait de la valeur non-contraignante du référentiel. Cependant, ce texte prévoit une obligation de justification de ce non-respect, du fait des caractéristiques particulières de la structure, et indique qu’ils doivent tout de même mettre en oeuvre toutes les mesures nécessaires à la protection des données.
Par ailleurs, le référentiel apporte des éclairages sur les différentes finalités du traitement telles que la gestion de rendez-vous, la gestion de dossiers médicaux ou encore même l’établissement et la télétransmission des documents à l’assurance maladie. Il précise également quelles données personnelles sont concernées et quelles sont les bases légales envisageables pour les différentes finalités qu’il mentionne.
Enfin, le référentiel propose de servir de document d’appui en cas de réalisation d’une analyse d’impact ou de mise en place d’un délégué à la protection des données (DPO).
Caroline KAMKAR, Avocat au Barreau de Lille, Docteur en Droit.