Article 96 (article R.4127-96 du code de la santé publique)
Sous réserve des dispositions applicables aux établissements de santé, les dossiers médicaux sont conservés sous la responsabilité du médecin qui les a établis.
Le médecin est personnellement responsable du secret des informations de santé nominatives qu’il recueille ou détient à l’occasion de son activité médicale qu’elle soit de soin, de prévention, de contrôle, d’expertise ou s’exerce en matière de recherche, d’épidémiologie, d’information médicale.
Il doit vérifier que l’organisme qui l’emploie (administration ou collectivité locale, institution, établissement ou service privés …) lui assure les moyens de respecter le secret médical. (articles 4, 45). Cela implique notamment que :
- les collaborateurs du médecin sont instruits de leurs obligations en matière de secret professionnel et s’y conforment (articles 72, 73) ;
- le courrier adressé au médecin n’est décacheté que par lui ou une personne habilitée par lui et astreinte au secret professionnel ;
- les dossiers, quel qu’en soit le support, sont protégés contre toute indiscrétion, modification, destruction ou perte accidentelles par des mesures techniques et organisationnelles suffisantes (voir note [1]) ;
- l’accès aux dossiers, leur communication est autorisé par le médecin responsable et en cas d’absence, un médecin désigné à cet effet ;
Les médecins, les établissements de santé peuvent choisir de conserver eux-mêmes les données de santé de leurs patients ou de les confier à un hébergeur, personne physique ou morale, agréée pour cette activité.
1 – Hébergement des dossiers médicaux
L’article L. 1111-8 du code de la santé publique précise les conditions dans lesquelles les données de santé, quel qu’en soit le support, papier ou informatique, peuvent être confiées à un hébergeur.
- La personne concernée par les données doit avoir consenti expressément à l’hébergement de ses données (voir note [2]) ;
- La prestation d’hébergement fait l’objet d’un contrat qui prévoit que l’hébergement des données, les modalités d’accès à celles-ci et leurs modalités de transmission sont subordonnées à l’accord de la personne concernée ;
- L’hébergeur doit être agréé pour son activité par le ministre chargé de la santé, après avis de la CNIL et d’un comité d’agrément dont l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé) assure le secrétariat ; la procédure permet de vérifier les capacités du candidat à assurer la sécurité, la protection, la conservation et la restitution des données de santé à caractère personnel.
- Seuls peuvent accéder aux données hébergées les personnes que celles-ci concernent et les professionnels de santé ou les établissements de santé qui les prennent en charge et qui sont désignés par les personnes concernées ;
- L’hébergeur tient les données de santé à disposition de ceux qui les lui ont confiées. Il ne peut les utiliser à d’autres fins ni les transmettre à d’autres professionnels de santé ou établissement que ceux qui ont été désignés dans le contrat.
- Lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données qui lui ont été confiées, sans en garder de copie, au professionnel, à l’établissement ou à la personne ayant contracté avec lui.
- L’hébergeur de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.
L’article R.1111-9 du code de la santé publique impose la présence d’un médecin dans l’organisation de l’activité d’hébergement. Ce médecin, inscrit au tableau de l’Ordre, est le garant de la confidentialité des données personnelles de santé déposées chez l’hébergeur à toutes les étapes de leur traitement ; après consultation du médecin ou de l’établissement qui a déposé les dossiers (voir note [3]), il donne accès à tout ou partie des données conformément à l’accord du patient, au contrat d’hébergement, à la loi et à la déontologie médicale ; il reçoit et traite toute demande d’un patient tendant à obtenir l’historique des accès à son dossier ainsi que le contenu des informations consultées et les traitements éventuellement opérés ; il vérifie sur demande de l’hébergeur, du patient concerné, ou de la personne physique ou morale à l’origine du dépôt des données, la cohérence des données personnelles de santé en cas de suspicion, de collision ou de doublon.
Le Conseil national a adopté un contrat cadre type entre un médecin et un hébergeur de données personnelles de santé (voir note [4]).
2– Règles applicables à certains dossiers
a) dossiers des établissements de santé
Conformément à l’article R.1112-7 du code de la santé publique, les informations de santé concernant les patients pris en charge dans l’établissement sont soit conservées au sein de l’établissement qui les a constituées, soit déposées par cet établissement auprès d’un hébergeur agréé.
Le directeur de l’établissement veille à ce que toutes dispositions soient prises pour assurer la garde et la confidentialité.
A l’issue du délai de conservation (voir note [5]) et après le cas échéant restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement, le dossier médical peut être éliminé. La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale.
Dans les établissements publics de santé et les établissements de santé privés d’intérêt collectif (ESPIC), cette élimination est en outre subordonnée au visa de l’administration des archives qui détermine ceux de ces dossiers dont elle entend assurer la conservation plus longue pour des raisons d’intérêt scientifique, statistique ou historique (voir note [6]).
Lorsqu’un ESPIC cesse ses activités, les informations concernant les patients peuvent sous réserve des tris nécessaires, faire l’objet d’un don à un service public d’archives par voie contractuelle entre le directeur de l’établissement et l’autorité administrative compétente (article R. 1112-8 du code de la santé publique).
b) dossiers en médecine du travail
Le code du travail (articles L. 4624-2 et D. 4624-46)impose la tenue d’un dossier médical dont le modèle est fixé par arrêté du ministre chargé du travail (note [7]).
Ce dossier, complété au fur et à mesure des examens médicaux, vise à assurer la continuité du suivi médical du travailleur tout au long de sa prise en charge dans le service de santé au travail et la traçabilité des expositions professionnelles, des conditions de travail et des données sanitaires. Il n’est communicable qu’au médecin inspecteur régional du travail et de la main d’œuvre, au salarié ou, à sa demande, au médecin qu’il désigne et sous certaines conditions à un autre médecin du travail.
Il incombe au médecin du travail de prendre les dispositions nécessaires pour assurer la protection des informations de santé et des dossiers contre toute indiscrétion et lorsque le dossier médical est informatisé de veiller à ce que les règles de sécurité soient définies et respectées. Il devra notamment vérifier qu’il existe une séparation entre le système informatique du service de santé au travail et celui du service informatique central de l’entreprise; que les autorisations et niveaux d’accès au dossier des collaborateurs des médecins sont établis par écrit, sous sa responsabilité (voir note [8]).
Le choix du logiciel ne peut lui être imposé.
Il n’existe pas dans le code du travail de règle fixant la durée de conservation des dossiers : l’article D. 4624-46 renvoie aux exigences du code de la santé publique
Toutefois, il existe des règles spécifiques en fonction de certains risques auxquels le salarié est exposé (par exemple, au moins cinquante ans après la fin de la période d’exposition pour les salariés exposés à des agents chimiques dangereux ou aux rayonnements ionisants ; dix ans pour les salariés exposés à des agents biologiques pathogènes).
Le médecin du travail, comme tout médecin salarié, n’a aucun droit personnel sur les dossiers constitués dans le cadre du service de santé au travail. Il ne peut ni les emporter ni les détruire lorsqu’il quitte le service de santé au travail mais doit les remettre directement à son successeur.
([1]) Articles R.1110-1 à R. 1110-3 du code de la santé publique sur la confidentialité des informations médicales conservées sur support informatique.
La CNIL a établi des recommandations pour la sécurité des fichiers de données de santé informatisés en particulier dans les applications en réseau et à l’occasion des opérations de maintenance.
([2]) Compte tenu de l’importance des archives qu’ils détiennent et de leur ancienneté, les établissements de santé publics et privés sont, à titre dérogatoire, autorisés à déposer les archives qu’ils détiennent à la date du 10 août 2011, auprès d’un hébergeur, sans avoir à recueillir le consentement exprès des personnes concernées dont le consentement est réputé accordé - art. 29 de la loi n°2011-940 du 10 août 2011.
([3]) Article R. 1111-8 du code de la santé publique :« Pour l’application des dispositions mentionnées aux troisième et sixième alinéas de l’article L. 1111-7 , les informations de santé qui ont été déposées auprès d’un hébergeur par un professionnel ou un établissement de santé ne peuvent être communiquées par cet hébergeur à la personne qu’elles concernent qu’avec l’accord du professionnel de santé ou l’établissement qui en a le dépôt. »
([4]) Disponible sur le site www.conseil-national.medecin.fr
([5]) Article R.1112-7, 3ème alinéa : « Le dossier médical mentionné à l'article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l'établissement ou de la dernière consultation externe en son sein. Lorsqu'en application des dispositions qui précèdent, la durée de conservation d'un dossier s'achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu'à cette date. Dans tous les cas, si la personne titulaire du dossier décède moins de dix ans après son dernier passage dans l'établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès. Ces délais sont suspendus par l'introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l'établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l'établissement. »
([6]) Circulaire DHOS/E1 n° 2009-271 du 21 août 2009 relative à la communicabilité des informations de santé concernant une personne décédée ayant été hospitalisée dans un établissement public de santé ou un établissement privé chargé d’une mission de service public ;
([7]) Arrêté du 24 juin 1970 fixant les modèles de dossier médical et de fiche de visite du travail prévus à l'article 16 du décret n° 69-623 du 13 juin 1969 relatif à l'organisation des services médicaux du travail, publié au J.O du 12 septembre 1970
([8]) HAS/Service des bonnes pratiques professionnelles : Le dossier médical en santé au travail, janvier 2009.