Conseil départemental de Paris CNIL, DÉONTOLOGIE ET EXERCICE DE LA MASSO-KINESITHERAPIE La loi informatique et libertés encadre la collecte et le traitement de toutes les données recueillies auprès des patients afin de les protéger. En effet, la divulgation de ces données ou leur mauvaise utilisation sont susceptibles de porter atteinte aux droits, aux libertés, ou la vie privée des patients. Cette loi assure une protection renforcée des informations de santé. Elle est applicable dès lors qu’au cours d’un traitement les données collectées - fichier informatique ou papier - contiennent des informations relatives à des personnes physiques. La loi définit également les principes relatifs aux devoirs du praticien et aux droits du patient. Quatre articles du Code de déontologie des masseurs-kinésithérapeutes traitent de ces questions : L’article R.4321-55 relatif au secret professionnel ; L’article R.4321-63 relatif à la collecte, l’enregistrement, le traitement et la transmission d’informations nominatives ; L’article R.4321-91 relatif au dossier médical personnel et au dossier du patient ; L’article R.4321-116 relatif à la protection des documents professionnels. INFORMATIONS CNIL - 1/4 Conseil départemental de l’Ordre de PARIS Le principe de finalité Les informations qui concernent les patients ne peuvent être recueillies et traitées que pour un usage déterminé et légitime. Le détournement de telles informations est passible de sanctions pénales (article 226-21 du Code pénal). Illustration : la création d’un fichier de patients, par un masseur-kinésithérapeute exerçant à titre libéral, peut lui permettre de gérer ses dossiers, d’éditer des feuilles de soins, de gérer les rendez-vous... Ce fichier ne peut être utilisé à d’autres fins (commerciales, politiques...) le principe de pertinence des données Seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis par le traitement. Illustration : l’enregistrement de la nationalité d’un patient dans le fichier du cabinet n’est pas pertinent. L’enregistrement des informations relatives aux habitudes de vie d’un patient peut être admis dans la mesure où ces informations sont nécessaires aux soins. Le principe d’une durée limitée de conservation des informations : le droit à l’oubli Les informations ne peuvent être conservées pour une durée illimitée. Elles doivent être conservées pendant une durée précise et déterminée en fonction de l’objet de chaque fichier. Cependant, le temps de conservation minimum du dossier du patient est de 10 ans (délai de prescription des actions en matière de responsabilité médicale). Ce délai court à compter de la consolidation du dommage. INFORMATIONS CNIL - 2/4 Conseil départemental de l’Ordre de PARIS Le principe de sécurité et de confidentialité des données Le professionnel de santé, comme tout responsable de fichier, est astreint à une obligation de sécurité : il doit prendre les mesures nécessaires pour garantir la confidentialité des informations et éviter leur divulgation à des tiers non autorisés. Illustration : chaque praticien doit disposer d’un mot de passe régulièrement renouvelé. Il peut également être utile de prévoir un mécanisme de verrouillage systématique des postes informatiques au-delà d’une courte période de veille. Dans les cabinets de groupe, l’accès aux données par un autre professionnel de santé ne peut se faire qu’après consentement du patient. Le principe du respect des droits des personnes Information des personnes Lors de la collecte des informations qui les concernent, les personnes doivent être clairement informées des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des destinataires et des modalités d’exercice de leurs droits au titre de la Loi « Informatique et Libertés » (droit d’accès, de rectification et d’opposition). Cette information peut être assurée de différentes manières : panneaux d’affichage, livret d’accueil de l’établissement de santé ou du cabinet, page « protection des données » ou « informatique et libertés » sur le site internet de l’établissement de santé ou du cabinet. Lorsque les informations sont recueillies par voie de questionnaire, papier ou informatisé, celui-ci doit comporter ces mentions légales. Droits d’accès et de rectification Toute personne peut demander au détenteur d’un fichier de lui communiquer toutes les informations qui la concernent. Elle a également le droit de faire rectifier ou supprimer les informations erronées. Illustration : Tout patient peut accéder à son dossier. INFORMATIONS CNIL - 3/4 Conseil départemental de l’Ordre de PARIS Formalités déclaratives Les kinésithérapeutes salariés d’une structure n’ont aucune démarche de déclaration à effectuer auprès de la CNIL. Les déclarations sont de la responsabilité de l’employeur. Pour tous les professionnels libéraux, une déclaration auprès de la CNIL est obligatoire pour tout fichier dont la finalité est la gestion administrative et médicale des patients. Elle se fait sous la forme d’une déclaration simplifiée (déclaration NS50). Elle peut se faire directement sur le site de la CNIL : http://www.cnil.fr. Dans les sociétés d’exercice (SCP ou SEL), il incombe à la société d’effectuer cette déclaration pour l’ensemble des membres de la société y exerçant. Les assistants-collaborateurs, les collaborateurs libéraux, les membres d’une société civile de moyens, doivent, individuellement, effectuer cette déclaration. Références : Commission nationale de l’informatique et des libertés, Guide professionnel de santé, série Les Guides de la CNIL, édition 2011 ; http://www.cnil.fr Code de déontologie, http://deontologie.ordremk.fr INFORMATIONS CNIL - 4/4 Conseil départemental de l’Ordre de PARIS