Conservation des données personnelles de santé : tout savoir en 5 min

À quoi correspondent des données de santé ?

C’est le règlement général sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai 2018 qui définit les données de santé.

La définition mise en place par ce texte admet 3 catégories de données de santé, à savoir :

• Les informations relatives à une personne physique : il s’agit de toutes les informations qui permettent d’identifier une personne dans le secteur de la santé. Par exemple : le numéro de sécurité sociale ;

• Les informations issues d’un examen de santé : elles correspondent aux données résultant d’un examen médical, ou de l’examen d’échantillons biologiques. Par exemple : les données issues d’une prise de sang ;

• Les informations relatives à une maladie : cette catégorie regroupe les informations quant aux maladies, risques de maladies, handicap, traitements cliniques, etc. d’une personne. Elles résultent du diagnostic d’un professionnel de santé. Par exemple : si une personne est atteint d’un cancer, il s’agira de toutes les données relatives au cancer et à ses traitements (passés ou en cours).

Dans ce contexte, les données de santé peuvent être divisées en 3 groupes :

• Les données de santé par nature : il s’agit par exemple du diagnostic d’une maladie ;
• Les données de santé obtenues par un croisement de données : elles désignent par exemple les informations issues des apports caloriques et de l’activité physique d’une personne ;
• Les données de santé par destination : elles correspondent aux données qui poursuivent un but médical. Par exemple : le genre d’un individu.

Bon à savoir : les données de santé uniquement utilisées à des fins personnelles (telles que celles renseignées sur une application mobile) ne sont pas protégées par la loi.  Les données à partir desquelles aucune conséquence médicale ne peut être obtenue, ne sont pas non plus considérées comme des données de santé.

La durée de conservation des données personnelles de santé est-elle limitée ?

L’article 5 e) du RGPD précise la conservation des données personnelles de santé. 

En effet, cet article dispose que celles-ci doivent être limitées à la durée nécessaire de leur traitement.

Dans ce contexte, chaque donnée de santé a une durée de conservation qui lui est propre, en fonction du traitement auquel elle est soumise. 

La conservation de certaines données personnelles de santé est réglementée par des textes. Par exemple : d’après l’article R. 1112-7 du Code de la santé publique, les dossiers médicaux doivent être conservés 20 ans à partir de la date de la dernière consultation.

Parallèlement, la commission nationale de l’informatique et des libertés (CNIL) a publié, le 28 juillet 2020 des référentiels de durée de conservation des données personnelles de santé. La CNIL a mis en place des référentiels non-contraignants. Ils ont uniquement pour but de guider les professionnels de santé à estimer le temps qu’ils doivent conserver les données de santé.

Quels sont les référentiels de conservation de données personnelles de santé fixés par la CNIL ? 

Les référentiels fixés par la CNIL visent spécifiquement les professionnels de santé exerçant à titre libéral, que ce soit en maison de santé ou en cabinet, de façon individuelle. 

Toutefois, il ne s’agit que de guides, ils ne sont donc pas exhaustifs.

Ces deux référentiels visent chacun, une catégorie de conservation des données personnelles de santé, à savoir la conservation en base active et la conservation en base intermédiaire des données. Il y a :

• Un référentiel relatif à la durée de conservation dans le domaine de la recherche. 
• Un référentiel relatif à la durée de conservation dans le domaine de la santé, hors recherche. 

Ce dernier fixe par exemple :

• La durée de conservation des dossiers médicaux tenus par des pharmacies d’officines à :
  • 5 ans en base active ;
  • 15 ans en base intermédiaire.

• La durée de conservation dossiers pharmaceutiques vis-à-vis de la dispensation des médicaments  à :
  • 4 mois en base active ;
  • 32 mois en base intermédiaire, etc.

Parallèlement la CNIL a mis en place un guide pratique sur la durée de conservation des données personnelles de santé. 

Ce guide a pour but de répondre à toutes les questions fréquentes que se posent les professionnels de la santé quant à la conservation des données de santé.

Quelles sont les sanctions liées à la conservation illicite des données personnelles de santé ?

En France, c’est la CNIL qui contrôle la bonne application du RGPD, c’est donc elle qui fixe les sanctions en cas de conservation illégale des données personnelles de santé.

Les sanctions imposées par la CNIL sont précédées de plusieurs moyens dissuasifs, disposés par l’article 58 §2 du RGPD. Dans ce contexte, une violation du RGP entraîne :

• Dans un premier temps, une mise en demeure de la CNIL, ou un avertissement quant au non-respect du RGPD ;
• Dans un second temps, une injonction de cesser la violation du règlement ;
• Ensuite, la CNIL peut limiter, voire surprendre provisoirement le traitement des données. Toutefois, cette étape n’est pas toujours réalisée ;
• Enfin, si la personne refuse d’appliquer correctement le RGPD, la CNIL est contrainte de lui imposer des sanctions.

2 types de sanctions peuvent résulter du non-respect du RGPD : 

• Des sanctions administratives  : ces sanctions correspondent à des amendes dont le montant varie selon la gravité et le type de l’infraction. Elles sont mentionnées au sein de l’article 83 du RGPD ;
• Des sanctions pénales : qui peuvent s’élever jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende, d’après l’article 84 du RGPD et 226-16 du Code pénal.

La victime d’une conservation illégale de données de santé peut ainsi obtenir des dommages et intérêts dont le montant est fixé par le juge.

Si vous êtes victime d’une telle infraction, l’assistance d’un avocat en droit de la santé peut être judicieuse.

Mise en ligne : 15 septembre 2021

Vous avez besoin de conseils ?

ARTICLES RELATIFS