analyse de l’activité médicale : un nouvel encadrement de l’accès aux données personnelles
Article rédigé par Alice Agard et Laurence Huin
Un décret paru au Journal officiel du 23 juin dernier modifie les conditions d’accès aux données à caractère personnel nécessaires à l’analyse de l’activité médicale des établissements de santé. Il entend compléter les garanties encadrant l’accès à ces données par les commissaires aux comptes et par les prestataires extérieurs contribuant à cette analyse.
Ce décret fait suite à 2 décisions du Conseil d’Etat :
- La première, rendue le 25 novembre 2020, dans le cadre d’un recours contentieux contre le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale (ci-après « DIM ») formé par le Conseil national de l’ordre des médecins (Cnom) et par laquelle le Conseil d’Etat avait annulé ce décret ;
- La seconde, rendue le 9 mars 2023, par laquelle la haute juridiction a condamné l’Etat sous astreinte à prendre les mesures provisoires dans l’attente d’une réglementation complémentaire (voir notre Data actu).
Ce décret n°2023-498 du 22 juin 2023 relatif au traitement des données à caractère personnel nécessaires à l’analyse de l’activité médicale des établissements de santé constitue désormais la nouvelle réglementation.
Concernant les commissaires aux comptes, ce texte prévoit que ces derniers, dans le cadre de leur mission légale de certification des comptes des établissements de santé, ont accès à des « données pseudonymisées, préalablement identifiées au regard des objectifs de la mission de certification », par le biais d’un « médecin agissant à titre d’expert ».
Le médecin agit sous la responsabilité du commissaire aux comptes. Ce médecin doit :
– « exercer ou avoir exercé des fonctions au sein d’un service chargé de l’information médicale dans un autre établissement »
– « présenter toutes les garanties de compétence, d’indépendance et d’impartialité requises pour l’exercice des missions qui lui sont confiées (…) ».
Le décret précise que les indemnités dues et les modalités de réalisation de sa mission sont fixées par convention avec le commissaire aux comptes.
Le médecin est habilité « individuellement et spécialement » par le directeur d’établissement à accéder aux catégories de données, lequel peut le saisir à tout moment, de toute demande d’information relative aux données sollicitées. Seul ce médecin peut accéder directement aux données traitées par l’établissement et est chargé de procéder à leur pseudonymisation, en supprimant en particulier les données concernant l’identité du patient et son lieu de résidence. Il les communique au commissaire aux comptes « dans des conditions sécurisées ».
Le commissaire aux comptes ne reçoit communication, par l’intermédiaire du médecin, que des seules données nécessaires à « la vérification, par sondage sur la base d’échantillons pertinents de dossiers, de la fiabilité et de la traçabilité des données utilisées pour le calcul des recettes de l’établissement ».
Avant toute communication de données, le commissaire définit le périmètre et les objectifs de sa mission de certification justifiant cette communication, le délai de la réalisation de cette mission et les catégories de données nécessaires à son accomplissement.
Après vérification par le médecin que les catégories de données dont la communication est demandée n’excèdent pas le champ de celles qui sont strictement nécessaires à l’exercice de la mission de certification, le commissaire notifie au directeur d’établissement ces éléments.
Concernant les prestataires extérieurs « qui assistent le médecin responsable de l’information médicale dans l’exercice de ses missions » dans le cadre de leur contrat de sous-traitance sont également habilités par le directeur d’établissement à accéder aux données.
Ils ne peuvent accéder qu’aux seules données « strictement nécessaires à l’exercice de leurs propres missions », et toujours « sous la responsabilité et le contrôle » du médecin responsable. Afin d’assurer ce contrôle, les traces des actions réalisées par les prestataires sont mises à disposition du médecin responsable et font l’objet d’une exploitation régulière aux fins « d’identifier les irrégularités d’accès ou d’utilisation des données ». Il sera rappelé que les traces des actions constituent un traitement de données personnelles qu’il conviendra d’encadrer juridiquement.
Le contrat signé avec le directeur d’établissement doit comporter la « liste des prestations concernées, le délai et les lieux d’exercice de leur réalisation ainsi que la liste et la qualité des personnels autorisés à traiter les données à caractère personnel ». Le médecin peut en outre demander aux prestataires « toute information utile quant aux conditions de réalisation des activités de traitement concernées ».
Lorsque les caractéristiques de la prestation ne permettent pas de la réaliser au sein du système d’information de l’établissement, les données nécessaires peuvent en être « extraites et mises à disposition du prestataire » dans des conditions sécurisées.
Le décret précise que le rapport de certification ne comporte aucune donnée à caractère personnel.
Enfin, à l’issue de la mission de certification, le directeur d’établissement met fin à l’habilitation d’accès du médecin, lequel efface alors toute donnée transmise au commissaire dans le cadre de cette mission. De même, les prestataires extérieurs ne peuvent conserver les données au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées : ils doivent également effacer les données et en apporter la preuve auprès du médecin responsable de l’information médicale.
Le décret est entré en vigueur le 24 juin dernier.