Entrepôts de données de santé, quel avenir pour les médecins DIM ?
Partager l'article



*


Informations sur la gestion de vos données




référentiel entrepôt de données de santé : quel avenir pour les médecins DIM?

 

Article rédigé le 11 février 2022 par Me Laurence Huin

Dans son référentiel sur les entrepôts de données de santé, la CNIL mentionne à plusieurs reprises le médecin responsable de l’information médicale et les traitements de données personnelles mis en œuvre dans le cadre de ses missions. Plus qu’un simple renvoi à ce métier créé depuis la circulaire DH/PMSI n° 303 du 24 juillet 1989, ce nouveau référentiel de la CNIL sonne le début d’un renouveau des fonctions des médecins DIM.

 

Le médecin DIM cantonné initialement à des missions financières

 

Dans le cadre de leur obligation d’analyse de leur activité « en vue d’améliorer la connaissance et l’évaluation de l’activité et des coûts et de favoriser l’optimisation de l’offre de soins », les établissements de santé, publics ou privés, désignent un praticien responsable de l’information médicale (ci-après « médecin DIM ») (article L6113-7 du code de la santé publique).

 

Historiquement, la circulaire de 1989 précitée, prévoit que le département d’information médicale

« a la vocation d’être un lieu privilégié de l’information hospitalière. Avec ses outils informatiques et ses compétences, il est au service de tous les acteurs hospitaliers, pour ce qui concerne notamment :

  • la connaissance des activités cliniques ;
  • la liaison entre les données économiques et médicales ;
  • le suivi des soins infirmiers».

 

 

À ce titre, le médecin DIM est en charge de l’organisation, du traitement et de l’analyse de l’information médicale dans le cadre du programme de médicalisation des systèmes d’information (PMSI) et produit et exploite des statistiques permettant de suivre l’activité de l’établissement.

Plus récemment, les fonctions du médecin DIM se sont vues redéfinies par le décret n°2018-1254 du 26 décembre 2018, assignant au médecin DIM la fonction de contrôleur des recettes. En effet, un nouvel alinéa a été ajouté à l’article R6113-4 du Code de la Santé Publique précisant que le médecin DIM a pour mission de contribuer « à la mise en œuvre du plan d’assurance qualité des recettes, destiné à garantir l’exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l’établissement. Le plan d’assurance qualité des recettes est présenté chaque année par le médecin responsable de l’information médicale à la conférence ou la commission médicale d’établissement pour information » (article R6113-4 du code de la santé publique).

Cette nouvelle disposition consacre ainsi les missions financières du médecin DIM, très proches du contrôleur de gestion, participant ainsi à la gestion de l’efficience médico-économique de la prise en charge des patients et produisant des analyses et prévisions de rentabilité financière.

Or, il est important de noter que cette fonction de contrôleur des recettes est issue du décret n°2018-1254 du 26 décembre 2018 précité. Ce décret, déjà largement critiqué par le syndicat des DIM (SDIM) à l’époque de sa publication, a fait l’objet récemment d’une annulation par un arrêt du Conseil d’Etat en date du 25 novembre 2020 au motif que les dispositions encadrant le recours à des prestataires extérieurs intervenant sous la responsabilité du médecin DIM pour contribuer au traitement des données à caractère personnel étaient insuffisantes et ne prévoyaient pas « de garanties suffisantes pour assurer que l’accès aux données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi ».

Les motifs d’annulation concernaient donc spécifiquement les conditions d’accès des commissaires aux comptes et des prestataires extérieurs, aux données du dossier médical des patients. Selon notre analyse, les dispositions issues du décret précisant les missions financières du médecin DIM ne sont donc pas concernées par cette annulation et ne devraient donc pas être radicalement modifiées par la réglementation complémentaire qu’implique nécessairement l’annulation ainsi prononcée.

Le « confinement à des fonctions essentiellement financières » des médecins DIM, pour reprendre la formule du SDIM, pourrait connaitre un infléchissement majeur avec la création des entrepôts de données de santé au sein de leur établissement, voire même à l’échelle régionale lorsque le DIM a été mutualisé dans le cadre du GHT (article L. 6132-3 du code de la santé publique).

 

Utilisation des entrepôts de données de santé par les médecins DIM

 

Le référentiel publié par la CNIL concerne les entrepôts de données de santé constitués par des responsables de traitement qui souhaitent, dans le cadre d’une mission d’intérêt public, réunir des données en vue de leur réutilisation pour des finalités mentionnées à son article 3.1 (concernant le périmètre précis de ce référentiel voir notre article).

Or l’article 3.1 du référentiel vise expressément dans les finalités de réutilisation des données contenues dans l’entrepôt les missions du médecin DIM :

« Lorsqu’ils sont mis en œuvre exclusivement à partir des données de l’entrepôt par les personnels habilités du responsable de traitement et pour son usage exclusif, les traitements répondant aux finalités suivantes peuvent être mis en œuvre dans le cadre de la déclaration de conformité au présent référentiel :

    • la production d’indicateurs et le pilotage stratégique de l’activité, sous la responsabilité du médecin responsable de l’information médicale (département de l’information médicale – DIM) (p. ex : analyses médico-économiques de parcours de soins, évaluation de la qualité et de la pertinence des prises en charge) ;
    • l’amélioration de la qualité de l’information médicale ou l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI) […] ».

 

 

On comprend donc que le médecin DIM et l’ensemble des personnes intervenant sous sa responsabilité seront des utilisateurs naturels de l’entrepôt de données de santé, qui pourrait être constitué à l’échelle d’un établissement ou d’un territoire.

À ce titre, en tant qu’utilisateur, on rappellera de manière succincte sans que ce soit l’objet du présent article, que le médecin DIM en qualité d’utilisateur des données sera tenu notamment d’informer les personnes concernées par son traitement et de mettre en œuvre les mesures de sécurité nécessaires. A ce titre, dans sa décision annulant le décret du 26 décembre 2018 précitée, le Conseil d’Etat prévoit que :

« dans l’attente que soit édictée la réglementation complémentaire qu’implique nécessairement l’exécution de l’annulation ainsi prononcée, […] chaque établissement de santé s’assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l’information médicale de chaque établissement de santé soit en mesure d’organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l’impose l’article L. 6113-7 du CSP, ce qui implique que soient connus la composition des équipes, le lieu d’exercice de l’activité et le détail des prestations réalisées, et qu’il puisse veiller à ce qu’ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions ».

Une vigilance particulière devra donc être portée par le médecin DIM sur l’accès aux données du dossier médical des patients par les commissaires aux comptes et les prestataires extérieurs intervenant sous sa responsabilité.

 

 

La nécessaire intégration du médecin DIM à la gouvernance de l’entrepôt de données de santé

 

Le référentiel de la CNIL ne se contente pas d’envisager le médecin DIM comme un simple utilisateur de l’entrepôt des données de santé mais au contraire comme un véritable acteur à sa gouvernance.

Afin de pouvoir être complètement conforme au référentiel publié par la CNIL et ainsi être dispensé de l’obtention d’une autorisation de la CNIL ou du recueil du consentement des personnes concernées, le responsable de l’entrepôt de données de santé se doit de mettre en œuvre une gouvernance de l’entrepôt de données.

Cette gouvernance se fonde sur deux comités : une première instance (comité de pilotage ou équivalent) qui détermine les orientations stratégiques et scientifiques de l’entrepôt et une seconde instance (comité scientifique et éthique, ou équivalent) qui est amenée à rendre, de manière systématique, un avis préalable et motivé sur les propositions de projets nécessitant la réutilisation des données de l’entrepôt.

La CNIL dans son référentiel impose que le comité de pilotage devra nécessairement faire intervenir le médecin DIM si l’établissement mettant en œuvre l’entrepôt de données est doté d’un médecin DIM.

Dès lors, les médecins DIM vont donc voir leurs fonctions s’élargir, devenant des rouages indispensables au fonctionnement même de l’entrepôt de données de santé. Cette implication au sein du comité de pilotage prévue au sein du référentiel s’imposera obligatoirement aux responsables de traitement s’inscrivant dans ce référentiel (voir notre article sur le périmètre précis du référentiel) mais pas seulement. En effet, ce référentiel a également vocation à être une référence pour tout acteur souhaitant mettre en place un entrepôt de données de santé. A ce titre, la CNIL rappelle dans son référentiel que les principes et les mesures posés dans son référentiel peuvent également s’appliquer à l’ensemble des traitements de données de santé de même nature, indépendamment de leur encadrement juridique (référentiel, autorisation de la CNIL ou consentement).

La participation obligatoire des médecins DIM à la gouvernance des entrepôts de données de santé est annonciatrice d’une implication active de ces derniers dans les projets de recherche, les projets liés au fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge, intégrant ou non de l’intelligence artificielle. De nouvelles fonctions bien plus attrayantes qui faciliteront sans nul doute le recrutement !

 

 

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.