Confidentialité des informations médicales électroniques

Le Décret du 15 Mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique insère dans le code de la santé publique une nouvelle section dans le cadre du chapitre relatif aux droits de la personne du titre 1^er, livre 1^er de la première partie. Il insère les articles R1110-1 à R1110-3.

L’article R1110-1 du code de la santé publique stipule : «  La conservation sur support informatique des informations médicales mentionnées aux trois premiers aliénas de l’article L1110-4 par tout professionnel, tout établissements et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du Ministre chargé de la santé, pris après avis de la commission nationale de l’informatique et des libertés. Ces référentiels s’imposent également à la transmission de ces informations par voie électronique entre professionnels.

Les référentiels déterminent les fonctions de sécurités nécessaires à la conservation ou à la transmission des informations médicales en cause et fixant le niveau de sécurité requis pour ces fonctions.

Ils décrivent notamment :

1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;

2° Les modalités d’accès aux traitements, dont les mesures d’identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d’accès sécurisés ;

3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’histoire des connexions ;

4° En cas de transmission par voie électronique entre professionnels, les mesures mises en œuvre pour garantir la confidentialité des informations échangées, le cas échéant, par un recours à un chiffrement en tout ou partie de ces informations. ».

De plus, le dossier de déclaration ou de demande d’autorisation auprès de la CNIL décrit les moyens retenus afin d’assurer la mise en conformité de ce traitement avec le référentiel le concernant. C’est le responsable du traitement, au sens de la Loi informatique et libertés, qui est chargé de veiller au respect du référentiel. Il doit notamment : gérer la liste nominative des professionnels habilités à accéder aux informations médicales, mettre en œuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé et porter à la connaissance de toute personne concernée par les informations médicales les principales dispositions prises pour garantir la conformité au référentiel.

Les professionnels de santé qui accèdent aux informations médicales à caractère personnel ou qui les transmettent par la voie électronique doivent obligatoirement être titulaires de la carte de professionnel de santé.

Décret n°2007-960 du 15 Mai 2007. JO du 16 Mai 2007, texte 210 sur 413. www.legifrance.gouv.fr