Oui, les professionnels peuvent stocker les données concernent leurs patients sur un espace de stockage externe (disque dur, clé USB, etc), mais des mesures de sécurité doivent être prises pour assurer la confidentialité des données.

Les données concernant les patients étant des données à caractère personnel, le RGPD[1] demande aux professionnels de santé de prendre des mesures pour assurer la confidentialité des données[2]. La liste des mesures à prendre n’est pas précisée, mais la CNIL[3] recommande, au minimum, de chiffrer les données contenues sur le support externe pour éviter qu’un tiers non autorisé accède aux données.

« la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté. »

Si, à l’inverse, les données sont confiées à un prestataire, le Code de la Santé Publique demande que cet hébergeur soit agréé et certifié[4].

« Si vous confiez le stockage des dossiers « patients » à un prestataire chargé d’en assurer la conservation, dans des serveurs à distance, celui-ci doit être hébergeur agréé ou certifié pour l’hébergement, le stockage, la conservation de données de santé conformément aux dispositions de l’article L. 1111-8 du code de la santé publique. »

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD demande aux personnes qui traitent des données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2).
  3. CNIL : Commission Nationale de l’Informatique et des Libertés.
  4. le Code de la Santé Publique demande que les hébergeurs de données de santé soient agréés et certifiées (source : Code de la santé publique, Article L1111-8).