icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2011-71 du 26 septembre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les déclarations de traitements automatisés d’informations nominatives concernant la «Gestion des dossiers des patients par les praticiens de santé exerçant a titre libéral» en Principauté de Monaco

  • N° journal 8037
  • Date de publication 07/10/2011
  • Qualité 94.14%
  • N° de page 1999
Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;

Vu l’ordonnance du 29 mai 1894 sur les professions de médecin, chirurgien, dentiste, sage-femme et herboriste, modifiée ;

Vu l’ordonnance du 1er avril 1921 sur l’exercice de la médecine, modifiée ;

Vu l’ordonnance-loi n° 327 du 30 août 1941 instituant un Ordre des médecins en Principauté ;

Vu l’ordonnance-loi n° 363 du 24 mai 1943 instituant un collège de chirurgiens-dentistes dans la Principauté ;

Vu l’ordonnance-loi n° 364 du 24 mai 1943 modifiant et complétant la loi n° 249 du 24 juillet 1938 portant organisation de l’exercice de l’art dentaire dans la Principauté ;

Vu l’arrêté ministériel n° 97-219 du 23 avril 1997 relatif à la qualification des médecins ;

Vu l’arrêté ministériel n° 99-379 du 30 août 1999 déterminant les actes médicaux ne pouvant être pratiqués que par des médecins ou pouvant être pratiqués également par des auxiliaires médicaux, modifiée ;

Vu l’arrêté ministériel n° 2008-483 du 1er septembre 2008 relatif aux actes et aux conditions d’exercice de l’ostéopathie ;

Vu le Code pénal ;

Vu la délibération n° 2010-14 du 3 mai 2010 portant proposition d’élaboration d’une norme permettant la déclaration simplifiée des traitements automatisés d’informations nominatives relatifs à la «Gestion des dossiers patients des praticiens de la santé exerçant à titre libéral» ;
La Commission de Contrôle des Informations Nominatives

Préambule

Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le Titre III de la Constitution.

La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.

Afin de répondre aux attentes des professionnels de santé agissant à titre libéral en Principauté de Monaco, la Commission a examiné le corpus juridique encadrant les conditions d’exercice des professions médicales en Principauté et les procédés de gestion des informations nominatives des patients mis en place. En conclusion de cette étude la Commission a relevé que ces professionnels sont soumis à de strictes obligations de confidentialité et de respect des droits des patients qu’ils prennent en considération tant pour des raisons d’éthique et de déontologie que pour des raisons liées à la nécessité d’établir une relation de confiance avec les patients.

Aussi, la Commission a estimé que les traitements automatisés des informations nominatives portant sur le suivi des patients et l’organisation administrative de leur activité médicale par les professionnels de santé exerçant à titre libéral ne portaient manifestement pas atteinte aux libertés et droits fondamentaux des personnes concernées dès lors qu’ils respectaient certaines conditions.

Conformément à l’article 6 alinéa 2 de la loi n° 1.165 susvisée, la Commission a donc, par délibération n° 2010-14 du 3 mai 2010, proposé au Gouvernement d’édicter par arrêté ministériel une norme fixant les caractéristiques auxquelles devraient répondre les traitements automatisés d’informations nominatives relatifs à la «Gestion des dossiers patients des praticiens de la santé exerçant à titre libéral» pour en permettre une déclaration simplifiée de conformité à la loi n° 1.165. Communiquée au Ministre d’Etat, le 17 mai 2010, conformément à l’article 2 de la loi n° 1.165, aucune suite n’y a été donnée. Les traitements automatisés des praticiens de santé sont donc toujours soumis au régime de droit commun de la déclaration.

Tenant compte de ce qui précède, la Commission estime opportun de préciser les principes de protection des informations nominatives applicables à la gestion automatisée des informations nominatives des patients par les professionnels de santé exerçant à titre libéral en Principauté de Monaco afin d’en permettre un traitement conforme aux dispositions de la loi n° 1.165, susvisée et d’orienter les déclarants dans leur démarche auprès d’elle.

I. Conditions générales

Tout traitement automatisé d’informations nominatives ayant pour finalité «Gestion des dossiers des patients» soumis, à la Commission sous le régime de la déclaration doit tout d’abord respecter les conditions suivantes :

- être exploité par un responsable de traitement, personnes physiques ou morales de droit privé, visé à l’article 6 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

- le responsable de traitement est localisé en Principauté de Monaco et dispose d’une autorisation d’exercer conformément aux lois et règlements en vigueur ;
- le traitement ne doit porter que sur des données objectives facilement contrôlables par les personnes concernées dans le cadre de l’exercice du droit d’accès ;

- le traitement ne doit utiliser que des logiciels dont les résultats peuvent être facilement contrôlés ;

- le traitement n’intéresse que des données contenues dans des fichiers appartenant au responsable de traitement, des données qui lui ont été communiquées par le patient lui-même ou par des confrères dans l’intérêt du patient et avec son consentement ;

- le traitement ne doit pas donner lieu à d’autres interconnexions que celles nécessaires à l’accomplissement des fonctionnalités énoncées au point II ci-après ;

- le traitement ne fait l’objet d’aucun hébergement auprès d’une personne physique ou morale établie dans un pays ne disposant pas d’un niveau de protection adéquat au sens de l’article 20 de la loi n° 1.165 du 23 décembre 1993, modifiée, ni d’aucun transfert d’informations à destination de celle-ci ;

- des mesures techniques et organisationnelles doivent être prises afin d’assurer un niveau de sécurité adéquat du traitement et des informations nominatives en considération des risques présentés par le traitement et la nature des données, conformément à l’article 17 de la loi n° 1.165, précitée ;

- le traitement doit faire l’objet d’une information claire et individuelle de la personne concernée conformément aux dispositions de l’article 14 de la loi n° 1.165, précitée, et notamment des modalités d’exercice de son droit d’accès, de rectification et d’opposition.

II. Fonctionnalités des traitements

Le traitement ayant pour finalité «Gestion des dossiers des patients» peut avoir pour fonctionnalités :

- d’effectuer les opérations administratives liées à :

• la gestion des rendez-vous et agenda du cabinet ;
• la tenue du carnet d’adresse des confrères et contacts professionnels ;
• l’organisation de rendez-vous avec des professionnels de santé pour les patients ;
• la tenue de la comptabilité ;
• l’archivage et conservation des dossiers médicaux ;
• la réalisation d’études statistiques non médicales à usage interne.

- de permettre l’organisation et la gestion des activités du praticien de santé liées :

• au suivi du patient et des protocoles de soins ;
• à la gestion et à la tenue des dossiers individuels de soins des patients ;
• à l’établissement des comptes-rendus de visites et d’examens ;
• à l’établissement d’ordonnances et de feuilles de soins ;
• le cas échéant, à la transmission des feuilles de soins, dans le respect du cadre légal en vigueur ou de l’accord signé entre le praticien de santé et l’organisme de sécurité sociale destinataire ;
• à l’établissement et à l’échange de correspondances avec des confrères ;
• à l’établissement des déclarations obligatoires auprès des autorités compétentes imposées aux praticiens de santé par les lois et règlements en vigueur ;
• l’établissement de statistiques sur des pathologies déterminées (nombre de cas, âge des patients, localisation géographique des patients, date des premiers symptômes) dans le cadre des programmes de prévention et de suivi établis par les autorités compétentes dans le domaine de la santé publique.

Conformément à l’article 7-1 de la loi n° 1.165, susvisée, le traitement automatisé des informations nominatives de patients à des fins de recherche dans le domaine de la santé, quel que soit le type de recherche, notamment une recherche observationnelle, une recherche en soins courants ou une recherche biomédicale, doit faire l’objet de formalité spécifique auprès de la Commission et ne saurait être intégré dans un traitement de gestion des dossiers des patients.

III. Justification du traitement

Conformément à l’article 10-2 de la loi n° 1.165, le traitement automatisé ayant pour finalité «Gestion des dossiers des patients» peut être justifié par :

- le consentement de la ou des personnes concernées ; l’exercice de l’activité de santé est liée à la relation de confiance qui s’instaure entre le praticien et son patient. Ce dernier initie la démarche vers le praticien de santé et peut à tout moment revenir sur sa décision, notamment en cessant ses visites. Le consentement du patient est essentiel à sa présence au cabinet et au suivi dont il fera l’objet ;

- le respect d’une obligation légale à laquelle est soumis le responsable de traitement que ce soit au titre de ces obligations déontologiques ou des règles qui encadrent la profession (ex. ordonnance du 29 mai 1894 - modifiée - sur les professions de médecin, chirurgien, dentiste, sage-femme et herboriste).

Le traitement dont s’agit porte sur des données de santé. Il est, en outre, susceptible de comporter des informations faisant apparaître directement ou indirectement, des appartenances raciales ou ethniques, religieuses ou philosophiques, des informations relatives à la vie sexuelle, aux mœurs, voire à des mesures à caractère social.

Dans le droit fil de l’article 12 alinéa 2 de la loi, le traitement de ces données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins, médications. En outre, il est effectué sous la responsabilité d’un praticien de la santé soumis au secret professionnel. Par ailleurs, les personnes auxquelles il a accordé un accès ou auxquelles il est susceptible de communiquer des informations sont également soumises à une obligation de secret.

IV. Catégories et origine des informations traitées

• Informations nominatives traitées

Les informations nominatives traitées dans le cadre de ce traitement peuvent relever de tout ou partie des catégories suivantes :

- Identité du patient et de l’assuré social dont il relève : civilité, nom, nom marital, prénoms, date de naissance, sexe ;

- Adresses et coordonnées du patient ou de l’assuré social dont il relève : adresse postale, téléphones (fixe ou mobile), numéro de télécopie, adresse de courrier électronique ;

- Identité du confrère ou professionnel de santé : nom, nom marital, prénoms, spécialité, numéro d’identification du praticien ;

- Adresses et coordonnées de confrère ou professionnel de santé : adresse, téléphones (fixe ou mobile), numéro de télécopie, adresse de courrier électronique ;
- Situation familiale : état matrimonial, nombre d’enfants, nombre de grossesses ;

- Données relatives à la santé : historique et antécédents médicaux personnels et familiaux, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués, résultats des analyses biologiques, imageries médicales, et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le praticien de santé. Des informations relatives aux habitudes de vie peuvent être collectées dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins ;

- Vie professionnelle : profession, conditions de travail ;

- Eléments permettant le remboursement des soins et prestations tels que notamment, le numéro d’assuré social, identification de la caisse de sécurité sociale de rattachement, la couleur de carte, les codes des actes et des prestations réalisées.

• Origine des informations

Les informations nominatives relatives à l’identité, aux adresses et coordonnées du patient et de l’assuré social, à la situation de famille, à la vie professionnelle ont pour origine le patient.

Les informations relatives aux données de santé ont pour origine le patient, le praticien responsable de traitement. Les informations peuvent également provenir d’autres praticiens de santé ayant examiné le patient, les imageries ou les résultats d’examen du patient ou ayant été saisis du cas, en accord avec le patient.

Les informations nominatives relatives à l’identité et aux adresses et coordonnées de confrères ou de professionnels de santé ont pour origine la personne concernée, les annuaires professionnels ou téléphoniques, voire d’autres confrères.

Les éléments permettant le remboursement des soins et prestations ont pour origine le praticien de santé, responsable de traitement.

V. Durées de conservation

Les informations nominatives ne peuvent être conservées dans le traitement au-delà de 30 ans à compter de la dernière consultation du patient, durée correspondante au délai de prescription en matière de responsabilité civile médicale.

Les informations nominatives traitées à des fins comptables peuvent être conservées pendant 10 ans, à compter de la fin de l’exercice comptable au cours duquel elles auront été collectées.

VI. Catégories de personnes ou entités habilitées à recevoir communication des informations

Peuvent exclusivement être destinataires ou recevoir communication des catégories d’informations dans les limites de leurs attributions respectives :

- les praticiens de santé ;

- dans les établissements de soins, les membres de l’équipe de soins chargés de la prise en charge du patient, afin d’assurer la continuité des soins ;

- les personnels des organismes d’assurances maladie ont connaissance, dans le cadre de leurs fonctions et pour la durée nécessaire à l’accomplissement de celles-ci, des éléments nécessaires aux remboursements des actes et des prestations servies ;
- les personnels des organismes d’assurance maladie complémentaire dans le cadre de leurs attributions, des informations nécessaires aux remboursements des actes et des prestations servies ;

- les autorités légalement ou réglementairement habilitées à recevoir communication de déclaration, notamment la déclaration des cas de maladies épidémiques.

VII. Catégories de personnes pouvant avoir accès au traitement et aux informations nominatives

Les personnes placés sous l’autorité du responsable de traitement ou travaillant en collaboration avec le responsable de traitement au sein d’un même cabinet peuvent avoir accès (en création consultation, modification, mise à jour, suppression) aux informations nominatives traitées. C’est le cas de confrères exerçant leur art en collaboration et des secrétaires médicales.

Le personnel administratif relevant de l’autorité du responsable de traitement a un accès limité aux informations nécessaires à la gestion administrative du secrétariat. Il n’a pas d’accès aux informations de santé du patient.

Le personnel chargé de la mise en place, de la mise à jour et de la maintenance du système d’information utilisé par le responsable de traitement dispose d’un accès au traitement dans le cadre de leurs missions.

VIII. Les droits des personnes concernées

• Information des personnes concernées

Les personnes sur lesquelles se rapportent les informations qui font l’objet du traitement automatisé dont s’agit doivent être informées de leurs droits conformément à l’article 14 de la loi n° 1.165, susvisée.

Il appartient au responsable de traitement d’établir les modalités permettant la mise en place de cette information.

Elle peut, par exemple, être réalisée par la voie d’un affichage dans la salle d’attente du praticien de santé qui peut comporter les mentions suivantes :


«INFORMATION DES PATIENTS SUR LE RESPECT DE LA
PROTECTION DE LEURS DONNEES DE SANTE EXPLOITES PAR
LE (IDENTIFICATION DU RESPONSABLE DU TRAITEMENT)


Dans le cadre de son activité, le (responsable de traitement) collecte des informations nominatives (ex. vos nom, prénoms, adresse, numéro d’assuré social, vos données médicales…) qu’il traite informatiquement. Ceci est destiné à permettre la gestion de votre dossier en tant que patient.

Ces utilisations d’informations nominatives sont réalisées dans le strict respect du secret médical. Conformément à la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, ces exploitations de données ont été déclarées à la Commission de Contrôle des Informations Nominatives (n° ………..) (sans qu’aucune information vous concernant n’ait été transmise, les déclarations étant d’ordre général sur le fonctionnement et l’organisation du cabinet).

Les seuls destinataires de vos informations sont votre médecin traitant ou d’autres professionnels de santé avec votre accord, les organismes d’assurance sociale pour la nature des actes, voire les autorités sanitaires dans les cas prévus par les textes en vigueur.

Le professionnel de santé qui vous reçoit se tient à votre disposition pour vous communiquer ces renseignements ainsi que toutes informations nécessaires sur votre état de santé si vous le souhaitez».

• Les mesures mises en place pour l’exercice du droit d’accès

Conformément à l’article 15 de la loi n° 1.165, toute personne justifiant de son identité peut obtenir auprès du professionnel de santé, responsable de traitement :

1. des renseignements portant au moins sur la finalité du traitement, les catégories d’informations sur lesquelles il porte et les destinataires ou catégories de destinataires auxquels les informations sont communiquées ;

2. confirmation que des informations la concernant sont, ou non, traitées ;

3. communication de ces informations sous une forme écrite, non codée et conforme au contenu des enregistrements ; les informations à caractère médical sont communiquées à la personne concernée, ou au médecin qu’elle aura désigné à cet effet. En cas d’avis contraire médicalement justifié, les informations ne peuvent être communiquées qu’audit médecin.

Le droit d’accès peut s’exercer sur place auprès du professionnel de santé.

Exceptionnellement, notamment si l’intéressé n’est pas en mesure de se déplacer, le droit d’accès pourra s’exercer par courrier postal.

La personne concernée peut demander à recevoir communication des informations traitées par le professionnel de santé. Si cette communication est opérée par courrier, celui-ci est adressé en recommandé avec accusé de réception à la personne concernée ou au médecin qu’elle aura désigné.

La communication des informations est réalisée, dans le mois suivant la réception de la demande.

La personne concernée peut demander à ce que des informations nominatives qui la concerne soient complétées, modifiées, voire supprimées. Cette demande peut être effectuée sur place auprès du professionnel de santé ou par courrier. Les demandes de mises à jour d’informations peuvent également être opérées par téléphone.

Le professionnel de santé informe l’intéressé des modifications opérées selon les mêmes précédés.

Les informations nominatives traitées par un professionnel de santé ne peuvent en aucun cas être utilisées ou communiquées à des tiers à des fins de prospection, notamment commerciale.

IX. Dispositions particulières relatives à la sécurité du traitement et des informations

Des mesures de sécurité physique et logique sont mises en place afin de préserver la confidentialité des informations couvertes par le secret médical et pour protéger l’ensemble des informations nominatives, notamment, contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé

En cas d’utilisation du réseau de communication électronique afin de transmettre les données personnelles de santé, un système de chiffrement «fort» de la messagerie doit être mis en place, un antivirus doit être installé et mis à jour régulièrement afin de se prémunir des risques de captation des données.

Les mesures mises en place font l’objet d’un descriptif dans la déclaration soumise à la Commission.

Par ailleurs, conformément à l’article 17 de la loi n° 1.165, susvisée, lorsque le responsable du traitement a recours aux services d’un ou plusieurs prestataires, il doit s’assurer que ces derniers sont en mesure de satisfaire aux impératifs de sécurité et de confidentialité prévus par la loi.

La réalisation du traitement dont s’agit par un prestataire doit être régie par un contrat écrit entre le prestataire et le responsable du traitement «qui stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable du traitement ou de son représentant et que les obligations visées aux deux premiers alinéas du présent article lui incombent également».

Ce contrat peut, notamment, comporter la mention suivante :

«Les supports informatiques, données et documents auxquels le prestataire pourrait être amené à avoir accès ou à prendre connaissance à l’occasion de l’exécution du présent contrat restent la propriété du client. Ces données et documents sont strictement couverts par le secret professionnel.

Conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, le prestataire affirme disposer des compétences humaines et techniques permettant la mise en place de mesures techniques et d’organisation appropriées pour protéger les informations nominatives traitées par le Client contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, ainsi que contre toute autre forme de traitement illicite. Dans le cadre du contrat de service qui lie le Client et le prestataire, le prestataire s’engage à prendre toutes mesures appropriées pour protéger les documents et informations nominatives contre les évènements indésirables précités.

Il s’engage, en outre, à respecter, des obligations de confidentialité strictes et à les faire respecter par son personnel, notamment :

- A ne pas prendre connaissance, à ne pas lire ou copier des documents et informations traités par le Client, sauf dans le cas où ces opérations seraient de nature à permettre la réalisation d’une prestation encadrée par le présent contrat et avec l’accord du Client ;

- A ne pas prendre copie des documents et supports d’informations qui lui sont confiés, à l’exception de celles nécessaires à l’exécution de la présente prestation prévue au contrat ;

- A ne pas divulguer ces documents ou informations à des tiers au contrat ;

- A prendre toutes mesures de sécurité, notamment matérielles, pour assurer la conservation et l’intégrité des documents et informations pendant la durée du présent contrat ;

- A procéder, en fin de contrat, à la destruction de tous fichiers automatisés ou non propriété du Client.

Les obligations de confidentialité sont maintenues lorsque le contrat arrive à échéance ou lorsqu’il est dénoncé par l’une des parties.

Le prestataire de service ne peut sous-traiter l’exécution des prestations à une autre société, ni procéder à une cession de marché sans l’accord préalable de Client qui se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect des obligations précitées.
Chaque opération de maintenance devra faire l’objet d’un descriptif précisant les dates, la nature des opérations et les noms des intervenants, transmis au Client chaque semestre.

Lors des opérations de télémaintenance permettant l’accès à distance aux fichiers, le prestataire de service prendra toutes dispositions afin de permettre au Client d’identifier la provenance de chaque intervention extérieure. A cette fin, le prestataire de service s’engage à informer par courriel les personnels concernés par les opérations de télémaintenance dont il prendrait l’initiative.

Les interventions de télémaintenance, les noms de leurs auteurs, les dates et la nature des opérations réalisées font l’objet d’un descriptif par le prestataire de service communiqué au Client chaque semestre».

X. Formalité préalable de déclaration du traitement

La déclaration préalable à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des dossiers des patients» par un professionnel de santé est souscrite sur un formulaire dont le modèle est établi par la Commission. Elle doit également comporter une annexe établie sur papier libre permettant de comprendre comment les informations nominatives sont collectées, utilisées et supprimées par le responsable de traitement. La Commission demande également qu’un schéma illustrant les flux de données soit intégré au dossier.

Conformément à l’article 17 de l’ordonnance souveraine n° 2.230 du 19 juin 2009, susvisée, la déclaration dûment établie est adressée au Secrétariat de la Commission par lettre recommandée avec demande d’avis de réception postale ou déposée à ce même Secrétariat contre reçu.

Le Secrétariat de la Commission dispose d’un délai d’un mois pour déterminer le caractère complet du dossier. Lorsque le dossier est complet, le Président de la Commission en délivre récépissé.

La réception du récépissé permet la mise en œuvre du traitement sans exonérer le responsable de traitement de sa responsabilité.


Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14