La mise en conformité RGPD : Pourquoi se faire accompagner par un DPO ?
DPO

Archivage données de santé: Activités de prévention de santé et obligations CNIL

Dans le cadre de la prévention de la santé, vous pouvez être amené à collecter des données sensibles. 

Or, si la CNIL a récemment publié un référentiel concernant la collecte, le traitement et l’archivage des données de santé, elle indique clairement en introduction que ce référentiel n’est pas applicable pour les activités de prévention. 

Quel cadre régit les activités de prévention de la santé ?

C’est l’article L111-8 du code de la santé publique qui régit la question de la médecine préventive. 

Il expose les conditions dans lesquelles toute personne qui collecte des données de santé dans le cadre de la prévention de la santé, peut les héberger. 

S’il n’y a pas de recueil de consentement, l’alinéa I précise un devoir d’information de la personne concernée. Elle doit être informée à la fois de la collecte et de la conservation de ses données de santé, mais également de qui y a accès et dans quelles conditions. Si, encore une fois, l’article ne contraint pas au recueil du consentement, il stipule clairement que la personne concernée peut s’opposer à ce traitement pour motif légitime. 

Quel cadre pour un hébergement externalisé, archivage données de santé ? 

L’article L111-8 dispose certes du cadre pour toute personne physique ou morale qui recueille les données mais également pour celle qui les héberge, fut-elle externe. 

Si vous faites appel à un archiviste extérieur à vos services, ce dernier doit être lié à vous par un contrat sous -traitant/ prestataire. 

Par ailleurs, votre hébergeur de données de santé doit pouvoir se prévaloir d’un certificat de conformité délivré par le Ministre de la Culture. En l’absence de cette certification, il peut être contrôlé à tout moment par l’inspection générale des affaires sociales.

Secret professionnel ou secret médical ? 

Si l’hébergeur n’est pas tenu au secret médical comme le serait tout personnel médical qui archiverait les données en interne, celui-ci est lié au secret professionnel qui implique donc la même discrétion, et des obligations morales similaires.

De même, il ne peut utiliser ces données à d’autres fins que celles qui le lient au contrat, ni en conserver copie une fois le contrat rompu. 

Si la CNIL et les RGPD encadrent de manière drastique la collecte, la conservation et le traitement des données de santé, la médecine préventive ne saurait y faire exception. En l’absence de référentiel dédié et jusqu’à ce que cette absence soit comblée plus précisément, il convient de se référer à l’article L 111-8 du code de la santé publique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *