La décision de la CNIL du 25 septembre 2013 a mis en demeure le Centre Hospitalier de St Malo pour non respect de la confidentialité des données de santé des patients.
Suite à une procédure de contrôle, il a été constaté qu’un prestataire extérieur a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de près de 1000 patients, en méconnaissance du Code de la Santé Publique et de la loi Informatique et Libertés.
La protection des données médicales
Le Code de la Santé Publique précise que les établissements publics de santé publics et privés doivent procéder à l’analyse de leur activité pour détecter d’éventuelles erreurs dans le codage dans la nomenclature des actes remboursés par l’assurance maladie.
D’autre part, l’article 34 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés indique que le responsable du traitement des données est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Si l’établissement fait intervenir un prestataire extérieur, la CNIL doit donner son accord pour protéger les données nominatives des patients, en cas de traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention.
Cette autorisation de la CNIL a pour but le respect du secret médical et des droits des malades pour empêcher que des tiers non autorisés puissent y avoir accès.
La mise en demeure de la CNIL
Ces manquements de l’hôpital de St Malo ont conduit la CNIL à mettre en demeure le Centre hospitalier de Saint-Malo de veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.
La CNIL indique que cette mise en demeure n’est pas une sanction mais que le Centre Hospitalier de St Malo doit faire cesser les manquements constatés dans un délai de 10 jours et a décidé de rendre cette décision publique sur son site internet.
De plus, d’autres contrôles étant en cours dans d’autres établissements hospitaliers, la CNIL a attiré l’attention de la ministre de la santé et des fédérations hospitalières sur ces pratiques pour et y remédier sans délai.
Le 17 octobre 2013, la CNIL a précisé qu’elle clôturait la procédure de mise en demeure à l’encontre du Centre Hospitalier.
En effet, l’établissement a mis place plusieurs mesures, dont :
– la suppression de l’accès informatique par le prestataire aux dossiers médicaux
– la formalisation d’une politique stricte de sécurité des systèmes d’information
– la suppression de l’accès par le prestataire aux dossiers médicaux des patients
Pour aller plus loin
© La rédaction – infosdroits
Consulter le site de la CNIL
Bonjour Je partage l'avis de Serge qui est un collègue.
Bonjour, Vous pouvez imprimer nos articles via votre navigateur internet. Toutefois, nous n'autorisons pas la réutilisation de nos articles sur…
document parfait et très intéressant en droit. Félicitations à ses auteurs. Cependant, on n'arrive pas à imprimer ou copier le…