RGPD : la CNIL publie un référentiel sur la durée de conservation des données de santé

Juil 28, 2020Droit des associations et des ESMS, Droit social, RGPD

}

Temps de lecture : <1 minutes

Au JO du 28 juillet 2020 a été publiée la délibération de la Commission nationale de l’informatique et des libertés (CNIL) n° 2020-076 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé.

.

Il est choquant de constater que ce référentiel ne traite pas de la situation des établissements et services sociaux et médico-sociaux (ESSMS).

Toutefois, le document peut être utilement consulté pour connaître les délais de conservation du dossier médical de l’usager, par analogie avec les prescriptions relatives au dossier patient des établissements de santé.

La durée de conservation de ces données de santé en base active est la suivante :

  • pendant la durée de la prise en charge puis pendant 20 ans suivant la réalisation du dernier soin ;
  • pour ce qui est des mineurs, lorsque la date de conservation ci-dessus est échue avant leur 28ème anniversaire, jusqu’à la date de cet anniversaire ;
  • en cas de transfusion sanguine, pendant 30 ans suivant le dernier acte transfusionnel ;
  • en cas de décès, pendant 10 ans suivant la date du décès.

Il faut préciser que ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux dirigé contre l’établissement ou un professionnel de santé qui y exerce.

Pour ce qui est du délai de conservation en base intermédiaire, il est défini en opportunité par le responsable du traitement en fonction notamment des situations particulières (ex. : décès, déménagement, etc.).

Les informations qu’apporte ce nouveau référentiel de la CNIL seront utiles aux organismes gestionnaires et établissements et services sociaux et médico-sociaux, en particulier aux responsables des traitements et aux délégués à la protection des données (DPO).

Il faut à cet égard préciser que bien que l’article D. 312-176-5 du Code de l’action sociale et des familles (CASF) ne l’ait pas prévu, la répartition des responsabilités en matière de protection des données à caractère personnel trouverait naturellement sa place dans le document unique de délégation (DUD). De la même manière, en fonction du risque pénal encouru, les délégations de pouvoir pourraient être actualisées.

Ces articles pourraient vous intéresser

La transparence : qu’est-ce que c’est ?

La transparence : qu’est-ce que c’est ?

Le RGPD impose, à toute personne effectuant un traitement de données à caractère personnel, l’information complète et précise des personnes concernées permettant : La connaissance de la raison de la collecte de données La compréhension du traitement qui en sera fait...

lire plus