Quand le RGPD assure la protection du PMSI

Pour mémoire, il lui était reproché deux séries de manquements : un manquement à l’obligation de respecter la vie privée et les libertés individuelles, d’une part, et un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données de santé, d’autre part. 

Sur le premier grief, la CNIL avait relevé que non seulement les dossiers en versions papier et numérique étaient librement accessibles au personnel non médecin de la société prestataire, mais encore hors la présence constante et continue du médecin du DIM ou d’un membre de son équipe. Bien que le personnel et le prestataire soient soumis à une clause de confidentialité, ils n’étaient pas placés sous l’autorité du médecin DIM de l’établissement. La CNIL en avait conclu que le prestataire était un tiers non autorisé, dès lors qu’il n’était pas placé sous l’autorité du médecin DIM et qu’il ne participait pas à la prise en charge des patients, ce qui contrevenait, à l’époque, aux dispositions de l’article 34 de la loi n°78-17 du 6 janvier 1978 et de l’article R.6113-5 du code de la santé publique (CSP).

Sur le second grief, la CNIL avait constaté que l’établissement malouin avait donné accès au prestataire chargé de l’analyse de l’activité de l’établissement à des données individuelles de santé, notamment par des moyens informatiques, « sans que celui-ci ne participe à la prise en charge du patient, ni puisse être regardé comme faisant partie de l’équipe de soins ou ayant la qualité de médecin. » La CNIL en avait conclu que les dispositions de l’article L.1110-4 du CSP et de l’article 1^erde la loi du 6 janvier 1978 avaient été méconnues dès lors que le prestataire ne pouvait bénéficier du secret partagé du fait de son positionnement vis-à-vis de l’établissement public hospitalier. 

Plus de 5 ans après cette affaire, le législateur a pris, au visa du RGPD, du code de la santé publique et de la loi Informatique et Libertés, un décret n°2018-1254 du 26 décembre 2018, précisant les modes d'organisation de la fonction d'information médicale, applicable à compter du 1^ermars 2019.

Le choix de cette date ne doit rien au hasard puisqu’elle correspond à l’entrée en vigueur de l’arrêté fixant traditionnellement, et chaque année, le tarif des prestations d’hospitalisation. 

Ce décret autorise et encadre, en particulier, l'accès aux dossiers médicaux des patients au bénéfice, d'une part, des prestataires extérieurs, pour leurs missions d'élaboration du PMSI et d'optimisation du codage des actes et, d'autre part, des commissaires aux comptes. 

On sait que les établissements de santé publics ou privés sont tenus de procéder à l’analyse de leur activité et que, dans le respect du secret médical et des droits des malades, ils mettent en œuvre des systèmes d’information tenant notamment compte des pathologies et modes de prise en charge en vue d’améliorer la connaissance et l’évaluation de l’activité et des coûts et de favoriser l’optimisation de l’offre de soins (art. L.6113-7 du CSP). 

C’est sous la responsabilité du médecin DIM qu’est réalisée cette analyse d’activité. Ce dernier reçoit du praticien responsable de la structure médicale ou médico-technique ou du médecin qui a dispensé les soins, les données de santé dont ils garantissent l’exhaustivité et la qualité. 

Le décret vient préciser la fonction du médecin responsable du DIM, qui « coordonne l’élaboration et contribue à la mise en œuvre du plan d’assurance qualité des recettes, destiné à garantir l’exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l’établissement », ajoutant qu’il « présente chaque année, pour information, un plan d’assurance qualité des recettes à la conférence ou la commission médicale d’établissement. » 

Dans le cadre de sa mission de conseil aux praticiens pour la production des informations concernées et de surveillance de la qualité des données collectées, le médecin DIM n’agit pas seul. Il est secondé par le personnel de son service mais également les fournisseurs des logiciels et matériels utilisés ou bien encore les sous-traitant contribuant au traitement des données. 

C’est pourquoi le décret du 26 décembre 2018 soumet à l’obligation du secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal : 

 1°- les personnes de l’établissement de santé et de l’établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel sous l’autorité du médecin responsable de l’information médicale, 

2°- les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel ; 

3°- les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l’information médicale au traitement des données à caractère personnel dans le cadre de leur contrat de sous-traitance. 

Également soumis à l’obligation de secret, le commissaire aux comptes a accès aux données, sans possibilité de création ou de modification, et uniquement pour les besoins de sa mission de certificateur des comptes de l’établissement, qu’il ne peut conserver que pour la durée de certification des comptes annuels. 

Le respect des droits des patients est renforcé par la création d’un article R.6113-9-2 du CSP qui dispose que « les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservés pendant une durée de six mois glissants par l’établissement de santé ». Les établissements de santé n’oublieront donc pas d’adapter en conséquence le livret d’accueil ou document d’information des patients. 

Finalement, il a fallu attendre l’entrée en vigueur du RGPD pour clore (définitivement ?) l’épisode malouin. 

Par Me Omar Yahia
Avocat associé chez YAHIA Avocats
[email protected]  

[1] BARRE Isabelle, Les hôpitaux soignent mal le secret médical, Canard Enchaîné, 18 septembre 2013.

[2] Par exemple : TRIBAULT Géraldine, Avenir hospitalier et le SNPHAR-E déposent plainte contre X pour violation du secret médical, Hospimedia, 3 octobre 2013 ; TRIBAULT Géraldine, La Cnil met en demeure le CH de Saint-Malo pour non-respect de la confidentialité des données, Hospimedia, 7 octobre 2013.

[3 ]CNIL, décision n°2013-037 du 25 septembre 2013.