Les professionnels de santé ou les établissements de santé ou le patient lui-même ont la possibilité de remettre certaines informations de santé qui sont personnelles et qui ont été obtenues à loccasion dactes de soin, auprès de personnes physiques ou morales agréées pour héberger ces données. Ces données, peuvent être conservées sur un support papier ou informatique. La conservation doit bien sur être autorisée expressément par la personne concernée et doit apporter toutes les garanties de respect du secret médical.
Seules sont ensuite autorisées à accéder aux données qui ont fait lobjet dun hébergement les personnes concernées et les professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignés par les personnes concernées.
Pour la mise en uvre dun dossier médical informatisé il faut combiner les règles relatives à la protection des données à caractère personnel issues de la règlementation européenne et les règles de droit médical, telles celles relatives au secret médical. Par ailleurs, la législation relative à la protection de la vie privée sapplique à toutes les données à caractère personnel. Elle accorde dailleurs une protection accrue aux données médicales en raison de leur nature particulièrement sensibles. Ce caractère sensible nécessite donc que lhébergement de ces données soit entouré de garanties particulièrement strictes. La sécurité et la confidentialité doivent être assurées. La loi interdit en principe le traitement de données à caractère personnel notamment relatives à la santé des personnes, toutefois elle prévoit trois exceptions lorsque : la personne concernée (le patient) a donné son consentement par écrit ; lorsque le traitement est nécessaire pour la survie de la personne concernée, par exemple, le patient se trouve dans l'incapacité physique de donner son consentement ; et enfin dernière exception, lorsque le traitement est nécessaire dans le cadre thérapeutique : diagnostics médicaux, administration de soins ou de traitements, par exemple. Dans cette hypothèse, le traitement doit être réalisé sous lencadrement d'un professionnel des soins de santé.
La loi prévoit que l'hébergeur de données médicales à caractère personnel doit être agréé par le ministre de la santé. La prestation d'hébergement devra faire l'objet d'un contrat dont copie devra être fournie avec la demande d'agrément. D'autre part, l'hébergeur devra disposer d'une politique de confidentialité et de sécurité permettant de garantir : le respect des droits des personnes concernées, la sécurité de l'accès aux informations, la pérennité des données hébergées, et l'organisation de contrôle interne.
Enfin, l'hébergeur ne doit en aucun cas céder, y compris à titre gratuit même avec l'autorisation de la personne concernée, les données de santé, qui permettraient didentifier de manière directe ou indirecte les patients sous peine de sanctions pénales. Seules peuvent accéder à ces données le patient et le professionnel de santé. Chaque bénéficiaire de lassurance maladie disposera dun dossier, c'est-à-dire, selon la réglementation actuelle, toute personne âgée de plus de 16 ans. Le dossier contiendra les informations permettant le suivi des actes et des prestations de soins. La création de ce dossier médical personnel devrait voir le jour courant 2010.
La législation européenne a mis en place une autorité de protection des données à caractère personnelles, il sagit du Contrôleur européen de la protection des données. Ce CEPD est chargé du contrôle de la protection des données personnelles et des problèmes relatifs à la protection de la vie privée que celles-ci peuvent susciter. Il désigne des délégués à la protection des données qui sont tenus de tenir des registres de tous les traitements qui impliquent des données personnelles. Les registres liés à la santé font ainsi lobjet dune attention particulière. Les personnes dont les données personnelles sont traitées par une institution ou un organe européen peuvent, sils estiment leur droit au respect de leur vie privée a été violé, déposer une plainte auprès des délégués des données personnelles.