Warning: file_get_contents(/proc/loadavg) [function.file-get-contents]: failed to open stream: Permission denied in /home/www/epigest/www/config/ecran_securite.php on line 337
Le correspondant à la protection des données dans les établissements de santé
Accueil - DOCUMENTATION - Autres publications

Le correspondant à la protection des données dans les établissements de santé

Publié le lundi 1er août 2005.


La loi du 6 août 2004 relative à la protection des personnes physiques modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, institue la notion de Correspondant à la Protection des Données (CPD) au sein d’entreprises et d’organismes publics, et les dispensent des déclarations à la CNIL des traitements automatisés de données à caractère personnel.
Un décret d’application prévu à l’article 71 de la présente loi est attendu prochainement et doit préciser les modalités de désignation et d’exercice du Correspondant à la Protection des Données (CPD).

Résumé de l’article « Le correspondant à la protection des données : une opportunité pour les établissements de santé par Michel Feugas Directeur Adjoint GMSIH (Groupement pour la modernisation du système d’information hospitalier) issu de la revue Gestions hospitalières – juin/juillet 2005

LA LOI DU 6 AOUT 2004 RELATIVE A LA PROTECTION DES PERSONNES PHYSIQUES INSTITUE LE CORRESPONDANT A LA PROTECTION DES DONNEES (CPD)

La loi du 6 août 2004 relative à la protection des personnes physiques modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, institue la notion de Correspondant à la Protection des Données (CPD) au sein d’entreprises et d’organismes publics, et les dispensent des déclarations à la CNIL des traitements automatisés de données à caractère personnel.
Un décret d’application prévu à l’article 71 de la présente loi est attendu prochainement et doit préciser les modalités de désignation et d’exercice du CPD.
- Le CPD doit établir une liste des traitements automatisés de données à caractère personnel accessibles à toute personne en faisant la demande.
- Il exerce ses fonctions de manière indépendante.
- Sa désignation est portée à la connaissance des instances représentatives du personnel et notifiée à la CNIL.
- Il ne peut faire l’objet d’aucune sanction dans l’exercice de ses missions de la part du responsable des traitements.
- Il peut cependant référer à la CNIL en cas de difficulté pour mener à bien ses missions.
- En cas de manquements à ses devoirs il peut être déchargé de sa fonction par le responsable informatique après consultation de la CNIL.

Concernant les établissements de santé, il existe deux régimes :
- le régime des déclarations (dispense si CPD)
- le régime des autorisations : demandes à effectuer même si CPD présent notamment dans le cas du traitement automatisé portant sur les données génétiques.

Des règles d’exception prévoient une protection renforcée dans le cadre des traitements concernant :
-  la recherche : chapitre IX de la loi : procédure particulière avec intervention d’un Comité consultatif en amont de l’autorisation de la CNIL accompagné de règles spécifiques de codage des données et d’information préalable des personnes.
-  l’évaluation ou l’analyse des pratiques d’activités de soins et de prévention : chapitre X.

La présente loi exclut explicitement les traitements effectués par les médecins DIM (Département d’Informatique Médicale) au sein des établissements de santé qui relèvent des règles communes.
Indépendamment des règles propres aux données de santé, on peut identifier des cas de figure supplémentaires quant au traitement de données sensibles qui relèvent du régime des autorisations prévus à l’article 25 de la présente loi :

- les traitements automatisés susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat (art. 25-1-4)
- les traitements ayant pour objet l’interconnexion de fichiers (art. 25-1-5)
- les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes (art. 25-1-8)

Le rôle d’auditeur du CPD
Le CPD a pour obligation d’établir une liste exhaustive des traitements accessibles à toute personne en faisant la demande.
Ce registre doit contenir le nom et l’adresse du responsable des traitements, la description de la catégorie des données collectées, et les destinataires.
Le CPD a également pour obligation d’assurer la maintenance de la liste pour les opérations de création, de modification ou de suppression des traitements après information des services concernés.
Le CPD sera ainsi tenu d’établir un inventaire dès sa nomination, d’auditer la situation et de mettre en place des procédures internes et des points de contrôle avec les services utilisateurs.
Le profil du CPD
La loi dit simplement qu’il doit bénéficier « des qualification requises pour exercer ses missions ». Ses qualifications comporteront des aspects techniques, juridiques et des aspects de communication. Il importe aussi que le CPD ait une connaissance des métiers et de l’activité de l’établissement de santé. La loi dispose en effet que les données collectés doivent être « adéquates , pertinentes et non excessives au regard des finalités de traitement ». Le rôle du CPD sera d’aider le responsable des traitements à apprécier ces aspects, ce qui suppose une bonne connaissance des activités concernées.

Culture et protection des données personnelles
La création du CPD correspond à l’objectif de développer une culture de la protection des données personnelles par la création d’un réseau de correspondants animé par la CNIL. Le développement de ce réseau devrait permettre de mettre en place des actions de formation, d’information, d’échanges de questions et de réponses sur des situations concrètes. La nomination d’un CPD est du reste facultative de façon à développer une approche pragmatique de la protection des données personnelles.
Lorsque le décret sera paru, les établissements de santé auront le choix de nommer ou pas un CPD soit en externalisant ce service (cabinet d’avocats ou société de conseil) soit en nommant en interne un agent ou un salarié.

Christel POIROT
Vice-Présidente
Association EPI’GEST – 08/2005

Références :

Loi N°2004-801 du 6 août 2004 disponible sur le site : http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorfnumjo=JUSX0100026L
Site de la CNIL (Commission Nationale Informatique et libertés) : http://www.cnil.fr/
Autres articles :
www.journaldunet.com/juridique/juridique041019.shtml
www.midenews.com/fr/presse/article/lire?id=651

Dossier CNIL : site CNIL



Mentions légales - Nous contacter - SPIP-Epona sous licence GPL

EPI’GEST

le site des personnels non médicaux de recherche clinique et épidémiologique à l’hôpital