La conservation sur support informatique des informations médicales mentionnées aux trois premiers alinéas de l'article L. 1110-4 par tout professionnel, tout établissements et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés. Ces référentiels s'imposent également à la transmission de ces informations par voie électronique entre professionnels.
Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixant le niveau de sécurité requis pour ces fonctions.
Ils décrivent notamment :
1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
2° Les modalités d'accès aux traitements, dont les mesures d'identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d'accès sécurisés ;
3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l'histoire des connexions ;
4° En cas de transmission par voie électronique entre professionnels, les mesures mises en oeuvre pour garantir la confidentialité des informations échangées, le cas échéant, par le recours à un chiffrement en tout ou partie de ces informations.
Pour chaque traitement mis en oeuvre par les personnes et les organismes mentionnés à l'article R. 1110-1 et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d'autorisation auprès de la Commission nationale de l'informatique et des libertés décrit les moyens retenus afin d'assurer la mise en conformité de ce traitement avec le référentiel le concernant.
Le responsable du traitement, au sens de l'article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, est chargé de veiller au respect du référentiel. Il lui appartient notamment de :
1° Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations ;
2° Mettre en oeuvre les procédés assurant l'identification et la vérification de la qualité des professionnels de santé dans les conditions garantissant la cohérence entre les données d'identification gérées localement et celles recensées par le groupement d'intérêt public mentionné à l'article R. 161-54 du code de la sécurité sociale ;
3° Porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement les principales dispositions prises pour garantir la conformité au référentiel correspondant.
En cas d'accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l'utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l'article L. 161-33 du code de la sécurité sociale est obligatoire.