Je dois éliminer un dossier patient qui est à la fois sur support papier et numérique dans mon hôpital.
Quel est le cadre réglementaire ? Quelles sont les obligations issues du RGPD ? Suis-je obligé d’éliminer les deux supports papier et numérique ?
Le dossier patient est régi par des textes législatifs et réglementaires
1. Le code du patrimoine qui définit les archives de dossier patient comme archives publiques.
Les archives du dossier patient sont des archives publiques.
- « Les archives sont l’ensemble des documents, quels que soient leur date, leur forme et leur support matériel, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité.» (art. L211-1 du code du patrimoine)
- « Les archives publiques sont :
a) Les documents qui procèdent de l’activité, dans le cadre de leur mission de service public, de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public ou des personnes de droit privé chargées d’une telle mission. (…) » (art. L211-4 du code du patrimoine)
2. le Code du Patrimoine qui prévoit l’élimination d’archives publiques dans certaines conditions :
« … La liste des documents ou catégories de documents destinés à l’élimination ainsi que les conditions de leur élimination sont fixées par accord entre l’autorité qui les a produits ou reçus et l’administration des archives. » (art. L212-2 Code du Patrimoine )
3. le Code de santé publique qui définit les délais de conservation du dossier patient.
- « 20 ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein
- Si la durée de conservation d’un dossier s’achève (au bout de 20 ans) avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu’à cette date. C’est-à-dire jusqu’à l’âge de 28 ans du titulaire.
- Si la personne titulaire du dossier décède moins de 10 ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de 10 ans à compter de la date du décès. Ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux […] ».
- « La mention des actes transfusionnels pratiqués et, le cas échéant, la copie de la fiche d’incident transfusionnel qui doivent figurer dans le dossier médical en vertu du l) du 1° de l’article R. 1112-2 du code de la santé publique doivent y être conservées pendant une durée de trente ans conformément aux termes de l’article 4 de la directive européenne précitée du 30 septembre 2005 » (art. R1112-7 du Code de la Santé publique).
Ces délais de conservation sont des minima légaux. Les établissements de santé peuvent choisir de conserver plus longtemps.
Le Règlement général de protection des données personnelles s’applique, aux établissements hospitaliers depuis le 28 mai 2018
Un des principes les plus importants est la limitation de la durée de conservation des données personnelles. Les établissements de santé sont donc tenus de tout mettre en œuvre pour respecter ce principe. S’ils font appel à des sous-traitants, ces obligations s’imposent à eux :
- « (…) assister et conseiller votre client dans sa conformité à certaines obligations prévues par le règlement européen (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). »
- « (…) offrir à vos clients les garanties nécessaires afin que le traitement que vous mettez en œuvre pour leur compte réponde aux exigences du règlement européen et protège les droits des personnes concernées. Cela signifie notamment :
- de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée [1]
La plupart des éditeurs de logiciel dossier patient n’ont pas prévu l’effacement définitif des données. Elles peuvent être masquées mais elles restent dans le système.
Le directeur des archives départementales (AD) doit donner son accord avant toute élimination d’archives publiques
Or cette élimination doit être réalisée sur tous les supports existants, papiers comme numériques. Si l’établissement n’est pas en mesure de respecter cette obligation, le directeur des AD pourra suspendre son accord.
Cette situation oblige les établissements producteurs à conserver les dossiers tant qu’ils ne peuvent pas éliminer l’intégralité du dossier patient. A ce jour, il n’y a pas de texte règlementaire imposant clairement l’élimination sur les deux supports. En cas d’élimination du volet papier uniquement, cela pourrait aboutir à un risque contentieux sur la notion de « dossiers incomplets », qui seraient soumis à communication en cas de demande.
A l’inverse, le fait de prolonger la conservation pourrait également amener un contentieux, puisque les délais définis ne sont plus respectés.
En conclusion, le principe de la limitation de la durée de conservation des données n’est pas simple à respecter pour les établissements de santé qui se trouvent confrontés à des difficultés techniques et règlementaires. Il reste à leur conseiller de s’adresser en premier lieu à leurs archives départementales, pour être accompagné dans cette démarche d’élimination d’archives publiques. |
[1]https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf