Vous vous rappelez que le décret n° 2023-498 du 22 juin 2023 relatif au traitement des données à caractère personnel nécessaires à l’analyse de l’activité médicale des établissements de santé a été pris à la suite de la décision n° 4284513 du Conseil d’État d’annulation du précédent décret sur le même sujet.
Source : Décret n° 2023-498 du 22 juin 2023 relatif au traitement des données à caractère personnel nécessaires à l’analyse de l’activité médicale des établissements de santé
Je vous en rappelle les principales modifications
L’article R6113-4 a été modifié (Modifié par Décret n°2023-498 du 22 juin 2023 – art. 1 ) ==> pour que le PAQ ne soit plus sous la seule coordination du DIM :
« Le praticien responsable d’une structure médicale ou médico-technique ou le praticien ayant dispensé les soins est garant, pour ce qui le concerne, de l’exhaustivité et de la qualité des informations qu’il transmet pour traitement au médecin responsable de l’information médicale dans l’établissement ou, pour les établissements parties à un groupement hospitalier de territoire, dans l’établissement support.
Le médecin responsable de l’information médicale contribue à l’élaboration et à la mise en œuvre du plan d’assurance qualité des recettes, destiné à garantir l’exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l’établissement. Le plan d’assurance qualité des recettes est présenté chaque année à la conférence ou la commission médicale d’établissement pour information.
Ce médecin conseille les praticiens pour la production des informations. Il veille à la qualité des données qu’il confronte, en tant que de besoin, avec les dossiers médicaux et les fichiers administratifs.
Les praticiens de l’établissement ont un droit d’accès et de rectification quant aux informations relatives aux soins qu’ils ont dispensés ou qui ont été dispensés dans une structure médicale ou médico-technique dont ils ont la responsabilité. Ils sont régulièrement destinataires des résultats des traitements de ces informations. »
L’article R6113-5 a été modifié pour réaffirmer que, dans les établissements de santé, la consultation des données médicales se fait soit par l’intermédiaire d’un médecin, soit sous la responsabilité du médecin responsable de l’information médicale :
Les médecins chargés de la collecte des données médicales nominatives ou du traitement des fichiers comportant de telles données sont soumis à l’obligation de secret dont la méconnaissance est punie conformément aux articles226-13 et 226-14 du code pénal.
Sont également soumis à l’obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal :
1° Les personnes de l’établissement de santé ou de l’établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 sous l’autorité du médecin responsable de l’information médicale : l’équipe du DIM
2° Les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel mentionnées à l’article R. 6113-1 : l’équipe de la DSI
3° Les commissaires aux comptes qui reçoivent communication, par l’intermédiaire d’un médecin agissant sous leur responsabilité à titre d’expert, de données à caractère personnel mentionnées à l’article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l’article L. 6145-16 et dans les conditions prévues à l’article R. 6113-5-1 ;
4° Les prestataires extérieurs qui contribuent, sous la responsabilité et le contrôle du médecin responsable de l’information médicale de l’établissement de santé, au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 dans le cadre de leur contrat de sous-traitance et ont accès à cet effet, dans les conditions prévues à l’article R. 6113-5-2, à ces données.
Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l’article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions. »
L’article R. 6113-5-1, créé par le décret, concerne les commissaires aux comptes et comporte sept paragraphes :
Le I limite la consultation des données médicales
I.-Le commissaire aux comptes ne reçoit communication, par l’intermédiaire d’un médecin agissant sous sa responsabilité à titre d’expert, que des seules données à caractère personnel mentionnées à l’article R. 6113-1 qui sont nécessaires à la vérification, par sondage sur la base d’échantillons pertinents de dossiers, de la fiabilité et de la traçabilité des données utilisées pour le calcul des recettes de l’établissement.
Le II définit les conditions nécessaires à l’exercice de la fonction de médecin d’information médicale (MIM) expert.
II.-Le médecin mentionné au I à qui le commissaire aux comptes fait appel doit :
1° Exercer ou avoir exercé des fonctions au sein d’un service chargé de l’information médicale dans un autre établissement ;
2° Présenter toutes les garanties de compétence, d’indépendance et d’impartialité requises pour l’exercice des missions qui lui sont confiées par le présent article.
Les indemnités dues et les modalités de réalisation de sa mission sont fixées par convention avec le commissaire aux comptes.Le III fixe que le commissaire aux comptes doit définir le délai et les catégories de données nécessaires à la réalisation de sa mission avant toute communication de données, que le IV définit comme ne devant pas excéder celles strictement nécessaires à l’exercice de sa mission.
III. Préalablement à toute communication de données, le commissaire aux comptes définit :
1° Le périmètre et les objectifs de la mission de certification justifiant la communication de données à caractère personnel mentionnées à l’article R. 6113-1 ;
2° Le délai de la réalisation de cette mission ;
3° Les catégories de données nécessaires à son accomplissement.IV.- Après que le médecin mentionné au I a vérifié que les catégories de données dont la communication est demandée n’excèdent pas le champ de celles qui sont strictement nécessaires à l’exercice de la mission de certification, le commissaire aux comptes notifie au directeur d’établissement les éléments mentionnés au III.
Le V fixe que le directeur de l’établissement de santé habilite le MIM expert qui, selon le VI, peut seul avoir accès en lecture aux données personnelles. S’il est nécessaire de mettre à disposition du commissaire aux comptes une partie de ces données, elles doivent être pseudonymisées.
V.-Le directeur d’établissement habilite individuellement et spécialement le médecin mentionné au I à accéder aux données mentionnées au 3° du III.
Le directeur d’établissement peut saisir le médecin mentionné au I, à tout moment, de toute demande d’information relative aux données sollicitées.VI.- Seul le médecin mentionné au I peut accéder directement aux données traitées par l’établissement de santé, pour consultation uniquement et sans possibilité de création ou de modification.
Avant de mettre à disposition du commissaire aux comptes les données nécessaires à l’exercice de sa mission, le médecin mentionné au I procède à leur pseudonymisation en supprimant en particulier les données mentionnées au 1° de l’article R. 6113-1 relatives aux personnes concernées et les communique au commissaire aux comptes dans des conditions sécurisées.
La communication de toute donnée complémentaire est réalisée dans les mêmes conditions.VII.-A l’issue de la mission de certification, le directeur d’établissement met fin à l’habilitation d’accès du médecin mentionné au I.
Ce dernier efface, dans des conditions sécurisées, toute donnée transmise au commissaire aux comptes dans le cadre de sa mission.