n° 82 Novembre-décembre 2022 MÉDECINS | 2726 | MÉDECINS n° 82 Novembre-décembre 2022

Traitement des données par les CPTS : quelles formalités préalables ?

Sollicitée à plusieurs reprises à ce sujet par des communautés professionnelles territoriales de santé (CPTS), la Cnil informe les professionnels de santé concernés :

le traitement des données de santé par les CPTS ayant pour finalité « l appui des patients dans leur recherche de médecin traitant » ne requiert pas d autorisation préalable.

cahierMo n

exerc ice

D É C R Y P T A G E

Certaines CPTS ont déposé une demande d autorisation auprès de la Commission nationale de l informatique et des libertés (Cnil) au titre des demandes de traitement de données personnelles mis en place afin de mener leur mission de facilitation de l accès à un médecin traitant. Les CPTS proposent notamment un formulaire/questionnaire qui doit permettre à la personne chargée de la coordination de la CPTS de mettre en contact les patients avec l un des médecins composant sa communauté. Ce formulaire comprend notamment les nom, prénom, date de naissance, adresse, téléphone, mail, nombre de personnes dans le foyer sans médecin traitant, existence d une ALD et capacité de la personne à se déplacer au cabinet, etc.

Le traitement de données de santé ayant pour finalité « l appui des patients dans leur recherche de médecin traitant » ne requiert pas d autorisation préalable de la Cnil.

En effet, la CNIL estime que ce type de traitement : - entre dans le cadre de la prise en charge

des personnes concernées et relève donc des articles 44, 1°, et 65, 1°, de la loi « Informatique et libertés », dont la mise en œuvre ne nécessite pas d autorisation préalable de la Cnil ;

- constitue un traitement « aux fins de la médecine préventive, des diagnostics médicaux, de l administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d une profession de santé, ou par une autre personne à laquelle s impose en raison de ses fonctions l obligation de secret professionnel dont l atteinte est réprimée par l article 226-13 du code pénal » (ce qui signifie qu il relève des articles 44, 1°, et 65, 1°, de la loi « Informatique et libertés »).

Toutefois, l absence de formalité préalable à la mise en œuvre d un tel traitement n exempte

pas les CPTS, en tant que responsables de traitement, de l obligation de pouvoir démontrer à tout moment le respect des règles relatives à la protection des données grâce notamment à : - la tenue d un registre des activités de traitement ; - la réalisation, le cas échéant, d une analyse

d impact relative à la protection des données (AIPD) ;

- l information des personnes concernées par le traitement.

Concernant ledit document de recueil des données : - les zones de commentaires libres doivent être

limitées au strict nécessaire, voire supprimées (la Cnil recommande, lorsque cela est possible, de prérenseigner ces zones de champs libres avec une information spécifique sur la manière dont ils doivent être complétés afin que seules les données strictement nécessaires à la recherche soient collectées) ;

- le document doit être transmis et conservé de manière sécurisée et sa durée de conservation devra être limitée (voir notamment en ce sens le « Guide de la sécurité des données personnelles » publié par la Cnil).

+ D INFOS Pour consulter des exemples de mentions d information des personnes concernées par le traitement des données : Cet article de la Cnil : www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation Le « Guide pratique sur la protection des données personnelles » corédigé avec le Cnom : www.cnil.fr/sites/default/files/atoms/files/guide- cnom-cnil.pdf Le guide pédagogique « Comment mettre en place le RGPD dans les services ? » rédigé par l Unaf et la CNIL www.unaf.fr/ressources/comment-mettre-en-place- rgpd-dans-services-pour-mieux-proteger-personnes- accompagnees

DR PIERRE MAURICE, Secrétaire général du Cnom