Délibération n° 2006-162 du 8 juin 2006 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les biologistes à des fins de gestion du laboratoire d'analyses de biologie médicale (norme simplifiée n° 53) <BR>

J.O. 160 du 12 juillet 2006 J.O. disponibles Alerte par mail Lois,décrets codes AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance

Délibération n° 2006-162 du 8 juin 2006 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les biologistes à des fins de gestion du laboratoire d'analyses de biologie médicale (norme simplifiée n° 53)

NOR : CNIA0600015X

La Commission nationale de l'Informatique et des Libertés,

Vu la convention no 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46 /CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment son article 8 ;

Vu la loi no 75-626 du 11 juillet 1975 relative aux laboratoires d'analyses de biologie médicale et à leurs directeurs et directeurs adjoints ;

Vu la loi no 78-17 du 6 janvier 1978, modifiée par la loi no 2004-810 du 6 août 2004, relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11, 22, 23, 24-I et 30 ;

Vu les articles 226-13 et 226-14 du code pénal relatifs au secret professionnel ;

Vu le code de la santé publique, et notamment ses articles L. 1111-8 et R. 1111-9 et suivants, L. 6211-1 et suivants et R. 6211-1 et suivants ;

Vu les articles L. 161-29, R. 115-1 et suivants et R. 161-47 du code de la sécurité sociale ;

Vu le décret no 93-221 du 16 février 1993 relatif aux règles professionnelles des infirmiers et infirmières ;

Vu le décret no 95-284 du 14 mars 1995 portant code de déontologie pharmaceutique, codifié aux articles L. 4235-1 à L. 4235-77 du code de la santé publique ;

Vu le décret no 95-1000 du 6 septembre 1995 portant code de déontologie médicale, codifié aux articles R. 4127-1 à R. 4127-112 du code de la santé publique ;

Vu le décret no 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi no 2004-810 du 6 août 2004 ;

Vu le Guide de bonne utilisation de l'informatique (GBUI) et le Guide de bonne exécution des analyses (GBEA), publié par l'arrêté du 26 novembre 1999 relatif à la bonne exécution des analyses de biologie médicale ;

Vu la délibération no 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel ;

Après avoir recueilli les observations du Conseil national de l'ordre des médecins (CNOM), du Conseil national de l'ordre des pharmaciens (CNOP), du Syndicat des biologistes (SDB), de la Société française d'informatique de laboratoire (SFIL) et de la Fédération des centres de regroupement informatique et statistique en anatomie pathologique (CRISAP) ;

En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'Informatique et des Libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Les traitements informatisés de données à caractère personnel mis en oeuvre au sein des laboratoires d'analyses de biologie médicale à des fins de gestion du laboratoire sont de ceux qui peuvent, sous certaines conditions, relever de cette définition,

Décide :

Article 1

Champ d'application.

Peuvent bénéficier de la procédure de déclaration simplifiée de conformité à la présente norme les traitements de données à caractère personnel mis en oeuvre au sein des laboratoires d'analyses de biologie médicale qui répondent aux conditions définies aux articles 2 à 7 ci-après.

La présente norme ne s'applique pas aux traitements mis en oeuvre au sein des laboratoires spécialisés dans la pratique des examens des caractéristiques génétiques d'une personne à des fins médicales définis à l'article R. 1131-2 du code de la santé publique ou de l'identification par empreintes génétiques dans le cadre de procédures judiciaires. Elle ne s'applique pas à ceux mis en oeuvre au sein des laboratoires qui pratiquent des activités d'assistance médicale à la procréation.

Elle ne s'applique pas non plus aux traitements mis en oeuvre au sein des laboratoires d'anatomo-cyto-pathologie.

Article 2

Finalités du traitement.

Les traitements sont mis en oeuvre pour faciliter la gestion administrative des laboratoires, la réalisation des analyses et l'interprétation et la transmission des résultats.

Ils n'assurent pas d'autres fonctions que :

- l'enregistrement des prescriptions d'analyses ;

- l'enregistrement de la « fiche de suivi médical » ;

- la gestion des rendez-vous ;

- la transmission de prélèvements aux fins d'analyses vers d'autres laboratoires ;

- la gestion des analyses et des résultats ;

- l'établissement et la télétransmission des feuilles de soins ;

- l'envoi des résultats et de courriers aux confrères et aux professionnels de santé prescripteurs ;

- la réalisation d'études statistiques à usage interne ;

- la participation à des études épidémiologiques.

Les données personnelles de santé ne peuvent être utilisées que dans l'intérêt direct du patient et, dans les conditions déterminées par la loi, pour les besoins de la santé publique. Toute autre exploitation de ces données, notamment à des fins commerciales, est proscrite.

La constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales sont interdites, dès lors que ces fichiers permettent d'identifier directement ou indirectement un professionnel de santé.

Article 3

Informations collectées et traitées.

Les informations suivantes relatives au patient peuvent être collectées et traitées :

- identité : nom, prénom, date de naissance, sexe, adresse, numéro de téléphone ;

- numéro de sécurité sociale et taux de prise en charge (régime d'exonération, durée de validité des droits) : pour l'édition des feuilles de soins et la télétransmission aux organismes assurant la gestion du régime obligatoire d'assurance maladie dont il dépend, dans les conditions définies par les articles R. 115-1 et suivants du code de la sécurité sociale ;

- adhésion à un régime complémentaire : numéro d'adhérent et taux de prise en charge ;

- santé : prescriptions, résultats et comptes rendus d'analyses, coordonnées des médecins traitants, renseignements biologiques, cliniques et thérapeutiques, antécédents, traitements en cours.

Des informations relatives aux habitudes de vie du patient peuvent être collectées avec l'accord du patient et dans la stricte mesure où elles sont nécessaires à la réalisation ou à l'interprétation des examens demandés.

Article 4

Destinataires des informations.

Le directeur, le directeur adjoint du laboratoire et, dans la limite des habilitations délivrées par eux et sous leur responsabilité, les membres du personnel du laboratoire ont accès aux informations relatives au patient.

Les laboratoires auxquels sont adressés des prélèvements aux fins d'analyses sont destinataires de l'identité du patient et des informations nécessaires à la réalisation de l'analyse.

Le praticien prescripteur et le ou les médecins traitants désignés par le patient sont destinataires de l'identité du patient et des résultats d'analyses pour les patients qu'ils suivent.

Afin d'assurer la continuité des soins et avec l'accord de la personne concernée, les professionnels de santé et, dans les établissements de santé, les membres de l'équipe de soins assurant sa prise en charge sont destinataires de l'identité du patient et des résultats et comptes rendus d'analyses le concernant.

Afin de permettre le remboursement des actes, des prestations et leur contrôle, les agents habilités des organismes d'assurance maladie ont connaissance, dans la limite de leurs fonctions et pour la durée nécessaire à l'accomplissement de celles-ci, de l'identité de l'assuré, de son numéro de sécurité sociale et du code des actes effectués.

Les personnels habilités des organismes d'assurance maladie complémentaire sont destinataires dans la limite de leurs attributions, de l'identité de leurs assurés, de leur numéro de sécurité sociale et, sous la forme d'une codification tarifaire globale, des actes effectués.

Les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l'évaluation des pratiques de soins peuvent être destinataires de données personnelles de santé dans les conditions définies par la loi du 6 janvier 1978 modifiée.

Article 5

Durée de conservation.

Les informations enregistrées ne peuvent être conservées dans l'application au-delà d'une durée de cinq ans à compter de la dernière intervention sur le dossier du patient. A l'issue de cette période, elles sont archivées sur un support distinct et peuvent être conservées pendant quinze ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans l'application.

Pour les laboratoires d'analyses de biologie médicale soumis aux dispositions de la loi du 11 juillet 1975, le relevé chronologique des analyses effectuées par le laboratoire ou transmises par ce laboratoire à un autre laboratoire doit être conservé pendant dix ans. Les résultats nominatifs des analyses effectuées par le laboratoire doivent être conservés pendant cinq ans.

Pour les laboratoires réalisant des analyses de biologie médicale dans les établissements de santé, les dossiers et livres de registre doivent être conservés pendant vingt ans.

En cas de télétransmission, le double électronique des feuilles de soins transmises ainsi que leurs accusés de réception doivent être conservés pendant 90 jours, conformément à l'article R. 161-47 du code de la sécurité sociale.

Article 6

Information et droit d'accès.

Conformément aux dispositions de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, les personnes dont les données sont enregistrées et conservées dans le fichier du laboratoire sont informées, par un document affiché dans ses locaux ou remis en main propre, de l'identité du responsable du traitement, de la finalité de ce dernier, des destinataires des informations et des modalités pratiques d'exercice de leurs droits, en particulier du droit d'accès aux informations qui les concernent.

Les résultats d'analyses sont remis au patient en main propre ou envoyés sous pli cacheté à ses nom et adresse. Ils peuvent être remis à toute personne dûment mandatée par lui. Lorsqu'un patient est mineur ou majeur protégé par la loi, les résultats ne peuvent être remis qu'à son représentant légal, sauf lorsque la loi prévoit une transmission directe des résultats.

Article 7

Politique de confidentialité et sécurités.

Des mesures de sécurité physique et logique sont mises en place afin de préserver la confidentialité des informations couvertes par le secret médical et d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, conformément à la législation en vigueur et aux dispositions réglementaires prévues par l'arrêté du 26 novembre 1999 portant guide de bonne exécution des analyses de biologie médicale.

En particulier, le directeur et le directeur adjoint du laboratoire accèdent à l'application en utilisant leur carte de professionnel de santé. Les personnels placés sous leur autorité doivent également disposer d'une carte d'accès ou d'un mot de passe personnel.

En cas d'utilisation du réseau Internet pour transmettre des données personnelles de santé, et en particulier les résultats d'analyses, un système de chiffrement « fort » des transmissions et, le cas échéant, une messagerie sécurisée doivent être mis en place ; un dispositif technique approprié doit être installé et mis à jour régulièrement afin de se prémunir des risques de captation des données ; le système de réception des informations doit respecter leur confidentialité. En outre, le système de transmission utilisé doit garantir l'intégrité des données.

Un système permettant une traçabilité des accès et traitements doit également être mis en oeuvre.

Le directeur du laboratoire définit une politique de confidentialité et les mesures effectivement mises en oeuvre pour garantir la sécurité des données.

Article 8

La présente délibération sera publiée au Journal officiel de la République française.

Fait à Paris, le 8 juin 2006.

Le vice-président délégué,

G. Rosier