Dans la continuité de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelle, un décret du 26 décembre 2018 vient autoriser et encadrer l’accès aux dossiers médicaux des patients au bénéfice, d’une part, des prestataires extérieurs, pour leurs missions d’élaboration du programme de médicalisation des systèmes d’information (PMSI) et d’optimisation du codage des actes et, d’autre part, des commissaires aux comptes.
Les données de santé sont des données personnelles protégées par la loi CNIL, dans sa version issue du RGPD. Leur traitement et conservation sont donc strictement encadrés. D’une part, elles ne peuvent être traitées ou conservées pour des fins autres que celles qui ont autorisées leurs recueils. D’autre part, les données sont couvertes par le secret et les personnels de l’établissement de santé ayant délivré les soins ou de l’établissement support du groupement hospitalier de territoire (qui assure le DIM des établissements parties du GHT) ne peuvent les dévoiler, le médecin responsable de l’information médicale en étant le garant, ce que rappelle le décret (article R. 6113-5 CSP).
Toutefois, l’amélioration des pratiques de codage a conduit d’autres acteurs à être en contact avec ces données sensibles. Tel est notamment le cas de prestataires extérieurs conseil en optimisation de codage, mais aussi des commissaires aux comptes pour l’élaboration du plan d’assurance qualité des recettes.
Instauré par la DGOS en 2017, ce plan s’inscrit dans la continuité de la certification des comptes des établissements. Le décret précise qu’il est présenté par le médecin responsable du DIM (article R. 6113-4 CSP), mais sa rédaction repose sur le commissaire au compte, en vertu l’article L. 823-9, alinéa 1, du Code de commerce, « Les commissaires aux comptes certifient, en justifiant de leurs appréciations, que les comptes annuels sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé, ainsi que de la situation financière et du patrimoine de la société à la fin de cet exercice ». Pour apprécier le cycle des recettes (notamment pour l’activité « séjours »), compte tenu de la volumétrie des opérations de facturation, le commissaire aux comptes fonde principalement son approche d’audit sur l’existence et les modalités de mise en œuvre du contrôle interne pour s’assurer que l’activité facturable est justifiée, prise en compte exhaustivement, et correctement valorisée. Le guide DGOS rappelle que, pour la réalisation de son audit, les données PMSI « peuvent faire l’objet d’une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l’établissement ». Il va donc auditer les recettes « séjours », justifiant l’intervention d’un Médecin de l’Information Médicale (MIM) expert.
Le décret vient donc étendre le secret à ces tiers, pour l’exercice de leurs missions (article R. 6113-5 CSP). Il en est ainsi :
- Des personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel ;
- Des commissaires aux comptes qui ont accès, pour consultation uniquement et sans possibilité de création ou de modification, à des données à caractère personnel dans le cadre de leur mission légale de certification des comptes des établissements de santé ;
- Des prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l’information médicale au traitement des données à caractère personnel dans le cadre de leur contrat de sous-traitance.
La violation du secret constitue une peine pénale (un an d’emprisonnement et de 15 000 euros d’amende – article 226-13 code pénal).
Le décret rappelle que, bien qu’autorisés à consulter ces données, les prestataires extérieurs ne peuvent « conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui lui ont été confiées par contrat, le cas échéant pour l’hébergement des données de santé en conformité avec les conditions prévues à l’article L. 1111-8. ». Plus particulièrement, « Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes. » (article R. 6113-9-1 CSP).
Enfin, pour répondre à l’obligation de transparence posée par le RGPD, « Les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservées pendant une durée de six mois glissants par l’établissement de santé. » (Art. R. 6113-9-2 CSP). Cette durée de six mois commence à s’appliquer au 1er mars 2019.
Si le décret assure une mise en conformité attendue des dispositions du CSP au RGPD, on ne peut que regretter qu’il ne précise pas expressément que le secret s’étend au MIM expert sur quel le commissaire aux comptes peut s’appuyer pour l’élaboration de son audit.
Source : Décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale
