01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Confidentialité des données médicales : un référentiel de sécurité fixé par le décret du 15 mai 2007

Logo HAAS 2022

La conservation sur support informatique des informations médicales par tout professionnel, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé, est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. Le décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique fixe les mesures de sécurité. 

Décret n° 2007-960 du 15 mai 2007

En premier lieu,  toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.

En deuxième lieu, excepté les dérogations, expressément prévus par la loi, ce secret couvre l’ensemble des informations concernant la personne venues à la connaissance du professionnel de santé, de tout membre du personnel de ces établissements ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s’impose à tout professionnel de santé, ainsi qu’à tous les professionnels intervenant dans le système de santé. Deux ou plusieurs professionnels de santé peuvent toutefois, sauf opposition de la personne dûment avertie, échanger des informations relatives à une même personne prise en charge, afin d’assurer la continuité des soins ou de déterminer la meilleure prise en charge sanitaire possible.

En troisième lieu, lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l’ensemble de l’équipe.

 C’est pourquoi, pour garantir la confidentialité des informations médicales mentionnées ci-dessus, leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d’Etat pris après avis public et motivé de la Commission nationale de l’informatique et des libertés.

 
Le décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique fixe le référentiel de sécurité. Ces mesures s’imposent également à la transmission de ces informations par voie électronique entre professionnels. Concrètement, les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause, en fixant le niveau de sécurité requis et notamment :

  1°  Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers

 2°  Les modalités d’accès aux traitements, dont les mesures d’identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d’accès sécurisés

3°  Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’histoire des connexions

 4°  En cas de transmission par voie électronique entre professionnels, les mesures mises en oeuvre pour garantir la confidentialité des informations échangées, le cas échéant, par le recours à un chiffrement en tout ou partie de ces informations.

Par ailleurs, remarquons que pour chaque traitement mis en oeuvre par les personnes et les organismes et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d’autorisation auprès de la Commission nationale de l’informatique et des libertés décrit les moyens retenus afin d’assurer la mise en conformité de ce traitement avec le référentiel le concernant.

 Le responsable du traitement est ainsi chargé de veiller au respect du référentiel et se doit notamment de :

 1°  Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations

2°  Mettre en oeuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé dans les conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale

3°  Porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement, les principales dispositions prises pour garantir la conformité au référentiel correspondant

 A compter de la date de publication des arrêtés mentionnés à l’article R. 1110-1 du code de la santé publique, les professionnels de santé, établissements, réseaux ou organismes mentionnés dans cet article, disposent d’un délai d’un an pour se mettre en conformité avec ces dispositions.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com