Divers

Dossiers médicaux: conservation, protection, archivage

DOSSIERS MÉDICAUX – CONSERVATION – ARCHIVAGE

Rappel de l’article 41 27–45 du CSP : le médecin doit tenir pour chaque patient une fiche d’observation qui lui est personnelle ; cette fiche est confidentielle et comporte les éléments actualisés nécessaires aux décisions diagnostiques et thérapeutiques.

Dans tous les cas ces documents sont conservés sous la responsabilité du médecin.

Tout médecin doit, à la demande du patient ou avec son consentement, transmettre aux médecins qui participent à sa prise en charge ou qu’il entend consulter, les informations et documents utiles à la continuité des soins.

Il en va de même lorsque le patient porte son choix sur un autre médecin traitant.

Rappel de l’article R.4127-96 du CSP : sous réserve des dispositions applicables aux établissements de santé, les dossiers médicaux sont conservés sous la responsabilité du médecin qui les a établis.

La conservation des dossiers médicaux répond à plusieurs exigences.

  • Assurer la continuité des soins aux patients.
  • Répondre à une demande de communication du dossier formulée par le patient ou ses ayants droit.
  • Constituer un moyen de preuve en cas d’action de recherche en responsabilité.
  • Respecter la durée de conservation des dossiers.
  • S’adapter aux modalités d’archivage
  1. Assurer a continuité des soins :
  • Retraite ou arrêt d’activité programmé autre.
  • Le médecin a un successeur.

Il transmet ses dossiers à son successeur sous réserve du libre choix des patients.

  • Le médecin n’a pas de successeur.

Dans le cas d’une retraite ou d’un arrêt programmé il a le temps et le devoir d’avertir ses patients par tout moyen adapté : affichage dans la salle d’attente, par voie orale ou écrite.

Il transmet à la demande du patient son dossier au médecin qu’il lui désigne pour assurer la continuité des soins. Il restera un reliquat de dossiers dont il devra assurer l’archivage

  • Interruption brutale d’exercice (maladie, accident, décès).

Le Conseil Départemental de l’Ordre des Médecins apportera son aide au médecin ou à sa famille, pour la transmission du dossier au médecin désigné par les patients. L’archivage et le reliquat des dossiers resteront de la responsabilité de la famille (Il est essentiel que les ayants droit garde précieusement les coordonnées et le No de contrat de l’assurance en RCP du médecin concerné).

2) Réponse à une demande d’accès au dossier par le patient ou ses ayants droits.

L’article L–1111–7 introduit dans le CSP par la loi du 4 mars 2002 autorise l’accès du patient à ses données, via le médecin concerné, et sous certaines réserves de ses ayant droit ; ce droit d’accès est sans limitation dans le temps.

3) Moyen de preuve en cas de recherche en responsabilité.

Le dossier médical constitue un élément essentiel de la défense du médecin et de ses héritiers.

L’ensemble des données et des informations concernant le patient, l’évolution de son état de santé, les réponses que le médecin a apporté en termes d’information, de surveillance, de soins, de prescription d’examens ou de traitements et de leurs résultats, sont autant d’éléments de preuve en cas de recherche en responsabilité, soulignant l’importance du dossier médical tenu par le médecin.

4) Respecter la durée de conservation des dossiers médicaux.

  • Généralités
  • L’article L–1142–28 du CSP (loi du 4 mars 2002) concernant la responsabilité des professionnels de santé et des établissements de santé, publics ou privés, à l’occasion d’actes de prévention, de diagnostic ou de soins, prescrit à 10 ans la durée de conservation des dossiers médicaux à compter de la consolidation du dommage.
  • Cette loi diminue le délai de la durée de conservation des dossiers. Il était en effet d’usage, en l’absence de loi, de retenir un archivage de 30 ans, durée alignée sur le délai de recours en matière civile.
  • Cette réduction de 30 à 10 ans ne s’applique qu’aux actes ou aux dommages causés à partir de la publication de la loi du 5 mars 2002.
  • Le législateur a fixé comme point de départ de ce nouveau délai de 10 ans la consolidation du dommage et non pas la première constatation médicale du dommage.
  • Lorsque la consolidation n’est pas acquise des actions en responsabilité au-delà de 10 ans sont possibles.
  • Etablissements publics et privés
  •  L’étude de la durée relative de la conservation des archives médicales hospitalières publiques et privées est déterminée principalement en fonction des types d’affections rencontrées et du constat statistique du pourcentage de demandes de consultation des dossiers médicaux, au-delà d’un certain nombre d’années quel qu’en soit le motif.
  • L’article R. 1112-7 du CSP, décret 2006–6 du 4 janvier 2006, diminue de façon importante la durée de conservation des dossiers médicaux des établissements de santé publics et privés.
  • Le dossier médical mentionné à l’article R. 1112–2 est conservé pendant une durée de 20 ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein. Lorsqu’en application des dispositions qui précèdent, la durée de conservation d’un dossier s’achève avant le 28e anniversaire de son titulaire, la conservation du dossier et prorogée jusqu’à cette date. Dans tous les cas, si la personne titulaire du dossier décède moins de 10 ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de 10 ans à compter de la date du décès. Ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l’établissement de santé ou de professionnels de santé à raison de leur intervention au sein de l’établissement.
  • À l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait L’objet d’un hébergement en application de l’article L. 1111–huit, le dossier médical peut être éliminé.
  • Dossiers en médecine du travail

Le code du travail article L. 46 24–2 et 4624–46 impose la tenue d’un dossier médical dont le modèle est fixé par arrêté du ministre chargé du travail.

Ce dossier assure la continuité du suivi médical du travailleur et la traçabilité des conditions de travail, des expositions professionnelles et des données sanitaires.

Le dossier ne peut être communiqué qu’au médecin inspecteur régional du travail, au salarié, au médecin qu’il désigne et sous certaines conditions à un autre médecin du travail.

Le médecin du travail prendra les dispositions nécessaires, pour assurer la protection des données de santé de ses dossiers.

La durée de conservation des dossiers en médecine du travail renvoie aux exigences du CSP.

Il existe cependant des règles spécifiques en fonction de certains risques auxquels le salarié est exposé, exemple 50 ans après la fin d’exposition à des agents chimiques dangereux ou rayonnement ionisant.

Les dossiers du médecin du travail doivent être remis directement à son successeur. Comme tout médecin salarié il ne peut ni les détruire ni les emporter.

5) Modalités d’archivage

Les dossiers doivent être conservés dans des conditions permettant d’assurer leur confidentialité et leur pérennité

  • Dossier papier

Le reliquat des dossiers après transmission et tri peut s’avérer important et constituer un encombrement pour le médecin et sa famille, notamment en cas de déménagement. Il peut être fait appel à une société privée d’archivage. Le contrat alors souscrit (à communiquer au Conseil départemental de l’Ordre) devra préciser les conditions et durée de conservation ainsi que les modalités d’accès aux dossiers archivés

  • Dossier informatique

L’archivage des documents informatiques soulève la question différente de la valeur probante du document numérique. Une récente décision de la Cour de cassation (pourvoi n° 07-17622 du 4 décembre 2008) apporte des précisions : « Lorsqu’une partie n’a pas conservé l’original d’un document, la preuve de son existence peut être rapportée par la présentation d’une copie qui doit en être la reproduction non seulement fidèle mais durable (articles 1334 et 1348 du code civil). L’écrit sous forme électronique ne vaut preuve qu’à condition que son auteur puisse être dûment identifié et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité et porte la date de création du document. » Cette notion de fidélité et de durabilité a été traduite par le critère fonctionnel global « d’intégrité ». L’intégrité d’un document numérique peut être assurée, en pratique, par différents moyens techniques

Copie fidèle : Elle doit visuellement se présenter comme l’original avec les indications du papier à en-tête et la signature de l’expéditeur. Il convient d’opter pour des systèmes de stockage optique, horodaté, non réinscriptibles, ou disques magnétiques rendus non réinscriptibles à l’aide d’un logiciel.

Copie horodatée : le document n’a de valeur que si la preuve est apportée qu’il a été créé et stocké sous forme numérique au jour de son établissement.

Copie durable : Les documents doivent rester lisibles très longtemps. Il convient d’opter pour les formats électroniques standardisés (basés sur XML, PDF ou TIFF, pour les images). Quand les documents archivés ne sont plus conformes, il peut être nécessaire de les convertir. Le support utilisé pour l’archivage doit lui aussi offrir des garanties de pérennité. Les supports non gravés, CD et DVD, n’offrent pas de garantie de pérennité. Le disque optique numérique non réinscriptible est la solution à privilégier, encore qu’on ne soit pas tout à fait assuré de la durée de vie, même des supports en verre au-delà de 5 à 10 ans.

Documentation du processus d’archivage généralement, appelée « politique d’archivage » : il s’agit d’une description précise des moyens mis en œuvre pour s’assurer que pendant l’ensemble de son cycle de vie, le document électronique n’aura pas subi de modification susceptible d’altérer son intégrité. L’existence de cette procédure régulièrement mise à jour permettra d’optimiser, en cas de litige, la valeur probante du document.

 

 

Conclusion et principes retenir

  • Après transmission et tri, le médecin a la responsabilité de la conservation de ses dossiers médicaux.
  • Aucun texte ne fixe pour les médecins libéraux, la durée de conservation de leurs archives ; cependant s’ils ont commencé leur activité avant le 5 mars 2002, ils restent soumis à la prescription trentenaire.
  • Si le délai de prescription a été ramené à 10 ans, le point de départ – la consolidation du dommage – fait planer une incertitude sur la durée de conservation ; l’alignement sur le délai de 20 ans retenu dans les établissements de santé pour la conservation des archives parait raisonnable et à recommander.
  • Qu’il s’agisse des dossiers « papiers » ou « informatiques », ils doivent être conservés dans des conditions qui garantissent leur confidentialité et leur intégrité ; II est indispensable de signaler au conseil départemental le sort et le lieu de conservation des dossiers.

 

 

 

DEVENIR DES DONNÉES MÉDICALES

RGPD est l’acronyme de Règlement Général pour la Protection des Données et désigne la dernière directive européenne concernant les données personnelles, publiée en 2016 et devant entrer en application dans les états membres le 25 mai 2018.

 

LE CNOM ET LA CNIL ONT PUBLIE UN GUIDE PRATIQUE EN JUIN 2018  SUR LE RGPD

RGPD et professionnels de santé libéraux : ce que vous devez savoir

Les dispositions du RGPD s’appliquent-ils uniquement à vos traitements informatiques (ex : logiciel utilisé pour le suivi de vos patients) et pas à vos dossiers papiers ?

 Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles(ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical, logiciel utilisé pour l’exploitation de votre pharmacie, de votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.) ou papier (ex : dossier patient papier).

Quelles informations sur les patients pouvez-vous collecter ?

Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

A titre d’exemple, la collecte d’informations sur la vie familiale d’un patient n’est en principe pas appropriée.

Pouvez-vous transmettre les données de vos patients à tous les professionnels, organismes ou autorités qui vous les demandent ?

Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci (ex : équipe de soins d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, secrétaire médicale, organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc.). Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission (ex : le secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier médical).

Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, etc.).

Combien de temps pouvez-vous conserver les données que vous collectez sur vos patients ?

Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée.

A titre d’exemple, les médecins libéraux conservent, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation.

Devez-vous informer les patients dont vous collectez et conservez les données de santé ?

Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge (soit dans votre logiciel de suivi, soit dans votre dossier papier). Cela peut être sous la forme d’une affiche, dans votre salle d’attente.

Devez-vous recueillir le consentement du patient pour collecter et conserver les données de santé que vous utilisez pour la mise en œuvre de votre activité ?

Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques).

Etes-vous responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de vos patients ?

Vous devez respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Pour ce faire vous devez mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données (ex : utilisation de la carte professionnel de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.).

Si vous passez par un prestataire qui traite des données en votre nom et pour votre compte (ex : hébergement de données par un hébergeur de données de santé agréé ou certifié, etc.), celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.

 Devez-vous toujours déclarer les traitements de données personnelles auprès de la CNIL ?

Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité (cabinet médical, d’infirmiers, d’orthophonistes, laboratoire de biologie médicale, officine pharmaceutique, opticien, etc.).

En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.

Etes-vous obligé de désigner un délégué à la protection des données (DPO) ?

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un DPO. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).

Devez-vous tenir un registre des activités de traitement ?

La constitution et le maintien d’un registre est une obligation prévue par le RGPD. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.

Dans la mesure où vous mettez en œuvre des traitements pour l’exercice de votre activité professionnelle (ex : pour la gestion de votre cabinet, pour l’exploitation de votre pharmacie, pour votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.), vous devez tenir un registre des activités de traitement et le renseigner.

La tenue de ce registre est l’occasion de se poser les bonnes questions et de limiter les risques au regard des principes du RGPD.

Une fois renseigné, devez-vous transmettre votre registre des activités de traitement à la CNIL ?

Votre registre doit être conservé en interne : il vous permet de documenter votre conformité au RGPD.

Ainsi, la CNIL n’est pas destinataire des registres des activités de traitement des professionnels de santé. Néanmoins, si vous faites l’objet d’un contrôle de la CNIL, vous devez être en mesure de le mettre à disposition des agents de la CNIL effectuant le contrôle.

Devez-vous mener une analyse d’impact pour tous les traitements que vous mettez en place dans le cadre de votre activité (ex : gestion du suivi du patient, fournisseurs, salariés, etc.) ?

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de mener une analyse d’impact pour les traitements que vous menez dans le cadre de votre activité.

Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez mener une analyse d’impact pour les traitements concernés.

HÉBERGEURS DE DONNÉES DE SANTÉ | 06 AOÛT 2018

La donnée de santé et ses enjeux pour les hébergeurs

Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes.

L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet »

   L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016

La certification des hébergeurs de données de santé

Une nouvelle législation* fait évoluer les procédures et conditions requises à l’hébergement des données de santé.

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.
Cette certification remplace l’agrément aujourd’hui délivré par le ministère de la Santé dans les conditions définies par le décret n°2006-6 du 4 janvier 2006.

Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. L’arrêté portant approbation des référentiels d’accréditation et de certification publié le 29 juin 2018 permet l’ouverture du schéma d’accréditation HDS. Les hébergeurs pourront déposer une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC

 

* cf. Article L.1111-8 du code de la santé publique, dans sa rédaction issue de l’ordonnance n° 2017-27 du 12 janvier

                                                                                                                  

 

                                                                                                                  

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s