Décret n° 2018-1254 du 26 décembre 2018 relatif aux DIM


Durant les vacances de Noel un décret est sorti pour préciser les conditions d’accès aux données des Commissaires aux comptes et aux prestataires « PMSI » 
Pour mémoire la SOFIME et le SDIM avait demandé que l’accès au dossier soit réservé à un médecin en cas de certification aux comptes , mais finalement le Ministère n’a pas retenue cette formulation 
Texte applicable à compter du 1er mars 2019 
Publics concernés : établissements de santé. 
Objet : modalités d’organisation de la fonction d’information médicale. 
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication. 
Notice : le décret précise les modes d’organisation de la fonction d’information médicale. En particulier, il autorise et encadre l’accès aux dossiers médicaux des patients au bénéfice, d’une part, des prestataires extérieurs, pour leurs missions d’élaboration du programme de médicalisation des systèmes d’information (PMSI) et d’optimisation du codage des actes et, d’autre part, des commissaires aux comptes. 
Références : les dispositions du code de la santé publique modifiées par le présent décret peuvent être consultées, dans leur rédaction résultant de cette modification, sur le site Légifrance
Le décret est pris pour l’application de l’article 16 de la loi n° 2018-493 du 20 juin 2018.

Le Premier ministre,
Sur le rapport de la ministre des solidarités et de la santé,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment ses articles L. 6113-7, L. 6113-14 et L. 6145-16 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 13 décembre 2018 ;
Le Conseil d’Etat (section sociale) entendu,
Décrète :
Article 1


Le code de la santé publique est ainsi modifié :
1° Après le premier alinéa de l’article R. 6113-4, il est inséré un alinéa ainsi rédigé :

« Le médecin responsable de l’information médicale coordonne l’élaboration et contribue à la mise en œuvre du plan d’assurance qualité des recettes, destiné à garantir l’exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l’établissement.
Le plan d’assurance qualité des recettes est présenté chaque année par le médecin responsable de l’information médicale à la conférence ou la commission médicale d’établissement pour information. » ;

Article R. 6113-4
Le praticien responsable d’une structure médicale ou médico-technique ou le praticien ayant dispensé les soins est garant, pour ce qui le concerne, de l’exhaustivité et de la qualité des informations qu’il transmet pour traitement au médecin responsable de l’information médicale dans l’établissement.
Le médecin responsable de l’information médicale coordonne l’élaboration et contribue à la mise en œuvre du plan d’assurance qualité des recettes, destiné à garantir l’exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l’établissement.
Le plan d’assurance qualité des recettes est présenté chaque année par le médecin responsable de l’information médicale à la conférence ou la commission médicale d’établissement pour information.
Ce médecin conseille les praticiens pour la production des informations. Il veille à la qualité des données qu’il confronte, en tant que de besoin, avec les dossiers médicaux et les fichiers administratifs.
Les praticiens de l’établissement ont un droit d’accès et de rectification quant aux informations relatives aux soins qu’ils ont dispensés ou qui ont été dispensés dans une structure médicale ou médico-technique dont ils ont la responsabilité. Ils sont régulièrement destinataires des résultats des traitements de ces informations.
2° A l’article R. 6113-5 :

a) Le deuxième alinéa est remplacé par les dispositions suivantes :

« Sont soumis à l’obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal :
« 1° Les personnes de l’établissement de santé ou de l’établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 sous l’autorité du médecin responsable de l’information médicale ;
« 2° Les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel mentionnées à l’article R. 6113-1 ;
« 3° Les commissaires aux comptes qui ont accès, pour consultation uniquement et sans possibilité de création ou de modification, à des données à caractère personnel mentionnées à l’article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l’article L. 6145-16 ;
« 4° Les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l’information médicale au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 dans le cadre de leur contrat de sous-traitance. » ;

b) Il est ajouté un alinéa ainsi rédigé :
« Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l’article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions. » ;
Pour mémoire l’article R6113-1 mentionne le Résumé (UM – HS – IMP – PPS)

Pour l’analyse de leur activité médicale, les établissements de santé, publics et privés, procèdent, dans les conditions fixées par la présente section, à la synthèse et au traitement informatique de données figurant dans le dossier médical mentionné à l’article L. 1112-1 qui sont recueillies, pour chaque patient, par le praticien responsable de la structure médicale ou médico-technique ou par le praticien ayant dispensé des soins au patient et qui sont transmises au médecin responsable de l’information médicale pour l’établissement, mentionné à l’article L. 6113-7.

Ces données ne peuvent concerner que :

  1. L’identité du patient et son lieu de résidence ;
  2. Les modalités selon lesquelles les soins ont été dispensés, telles qu’hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ;
  3. L’environnement familial ou social du patient en tant qu’il influe sur les modalités du traitement de celui-ci ;
  4. Les modes et dates d’entrée et de sortie ;
  5. Les unités médicales ayant pris en charge le patient ;
  6. Les pathologies et autres caractéristiques médicales de la personne soignée ;
  7. Les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l’établissement.

Les données mentionnées au 1° ne sont pas recueillies lorsqu’une personne peut légalement être admise dans un établissement de santé ou y recevoir des soins en gardant l’anonymat.

Article R 6113-5 
Les médecins chargés de la collecte des données médicales nominatives ou du traitement des fichiers comportant de telles données sont soumis à l’obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal.
Sont soumis à l’obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal :
« 1° Les personnes de l’établissement de santé ou de l’établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 sous l’autorité du médecin responsable de l’information médicale ;
« 2° Les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel mentionnées à l’article R. 6113-1 ;
« 3° Les commissaires aux comptes qui ont accès, pour consultation uniquement et sans possibilité de création ou de modification, à des données à caractère personnel mentionnées à l’article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l’article L. 6145-16 ;
« 4° Les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l’information médicale au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 dans le cadre de leur contrat de sous-traitance.
Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l’article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions.

3° Au 2° de l’article R. 6113-7 :
a) Après les mots : « médecin responsable de l’information médicale », il est inséré les mots : « et aux personnes intervenant sous son autorité » ;
b) Après les mots : « secret médical », il est ajouté les mots : « ; et que ces mêmes données donnant lieu à facturation peuvent faire l’objet d’une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l’établissement ; » ;

Article R 6113-7

Les établissements de santé, publics ou privés, procèdent à l’analyse de leur activité.

Dans le respect du secret médical et que ces mêmes données donnant lieu à facturation peuvent faire l’objet d’une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l’établissement ; et des droits des malades, ils mettent en oeuvre des systèmes d’information qui tiennent compte notamment des pathologies et des modes de prise en charge en vue d’améliorer la connaissance et l’évaluation de l’activité et des coûts et de favoriser l’optimisation de l’offre de soins.

Les praticiens exerçant dans les établissements de santé publics et privés transmettent les données médicales nominatives nécessaires à l’analyse de l’activité et à la facturation de celle-ci au médecin responsable de l’information médicale et aux personnes intervenant sous son autorité  pour l’établissement dans des conditions déterminées par voie réglementaire après consultation du Conseil national de l’ordre des médecins.

Les praticiens transmettent les données mentionnées au troisième alinéa dans un délai compatible avec celui imposé à l’établissement.

Sous l’autorité des chefs de pôle, les praticiens sont tenus, dans le cadre de l’organisation de l’établissement, de transmettre toutes données concernant la disponibilité effective des capacités d’accueil et notamment des lits. A la demande du directeur, ce signalement peut se faire en temps réel.

Le praticien responsable de l’information médicale est un médecin désigné par le directeur d’un établissement public de santé ou l’organe délibérant d’un établissement de santé privé s’il existe, après avis de la commission médicale ou de la conférence médicale. Les conditions de cette désignation et les modes d’organisation de la fonction d’information médicale, en particulier les conditions dans lesquelles des personnels placés sous l’autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 peuvent contribuer au traitement de données, sont fixés par décret.

Lorsque les praticiens appartenant au personnel des établissements publics de santé ne satisfont pas aux obligations qui leur incombent en vertu des troisième et quatrième alinéas, leur rémunération fait l’objet de la retenue prévue à l’article 4 de la loi de finances rectificative pour 1961 (n° 61-825 du 29 juillet 1961).

Les modalités selon lesquelles les dispositions de cet article sont applicables aux hôpitaux des armées sont fixées par décret en Conseil d’Etat.

 4° Après l’article R. 6113-9, il est inséré deux articles R. 6113-9-1 et R. 6113-9-2 ainsi rédigés :

« Art. R. 6113-9-1. – Lorsque, pour la mise en œuvre des activités mentionnées au présent chapitre, un établissement de santé recourt à un prestataire extérieur, celui-ci ne peut conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui lui ont été confiées par contrat, le cas échéant pour l’hébergement des données de santé en conformité avec les conditions prévues à l’article L. 1111-8.
« Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes.
« Art. R. 6113-9-2. – Les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservées pendant une durée de six mois glissants par l’établissement de santé. » ;
Article R6113-9 
Les instances compétentes de l’établissement définissent, après avis de la commission ou de la conférence médicale, les modalités de mise en oeuvre du recueil, du traitement, de la validation et de la transmission interne des données médicales définies au 1° de l’article R. 6113-2 ou recueillies à l’initiative de l’établissement, et notamment les obligations des praticiens concernés quant à la transmission et au contrôle de la qualité des données ainsi que leur droit au retour d’informations.
Art. R. 6113-9-1. – Lorsque, pour la mise en œuvre des activités mentionnées au présent chapitre, un établissement de santé recourt à un prestataire extérieur, celui-ci ne peut conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui lui ont été confiées par contrat, le cas échéant pour l’hébergement des données de santé en conformité avec les conditions prévues à l’article L. 1111-8.
« Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes.
« Art. R. 6113-9-2. – Les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservées pendant une durée de six mois glissants par l’établissement de santé.
5° Au sein de la section première du chapitre III du titre Ier du livre Ier de la sixième partie, il est créé une sous-section 3 ainsi rédigée :
« Sous-section 3
« Application au service de santé des armées
« Art. R. 6113-11-4. – Les dispositions des articles R. 6113-2, R. 6113-4, R. 6113-5 et R. 6113-7 sont applicables aux hôpitaux des armées.
« Pour l’application des dispositions des articles R. 6113-1, R. 6113-9-1 et R. 6113-11, les hôpitaux des armées sont regardés comme des établissements de santé.
« Pour l’application des dispositions des articles R. 6113-3, R. 6113-4, R. 6113-6, R. 6113-8 et R. 6113-11-1, les hôpitaux des armées associés à un groupement hospitalier de territoire sont regardés comme des établissements parties à ce groupement hospitalier de territoire lorsque la convention constitutive le prévoit.
« Pour l’application des dispositions des articles R. 6113-1, R. 6113-4 et R. 6113-10, les médecins désignés par le ministre de la défense assurent les missions exercées par le médecin responsable de l’information médicale dans l’établissement et par le représentant de l’établissement mentionné à l’article R. 6113-10.
« Le service de santé des armées prend toutes dispositions utiles afin de préserver la confidentialité des données médicales nominatives, relatives notamment à l’étendue, aux modalités d’attribution et de contrôle des autorisations d’accès ainsi qu’à l’enregistrement des accès. »
Article 2

La durée de six mois glissants prévue au 4° de l’article 1er du présent décret s’applique à compter du 1er mars 2019.
Article 3

La ministre des solidarités et de la santé est chargée de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait le 26 décembre 2018.