Entre les finances hospitalières et les droits du patient, les priorités ne font plus de doute

Afin de répondre à l’un des motifs d’insécurité juridique, soulevés par la Cnil relative à l’accès aux données de santé des patients, le texte soumet à l’obligation du secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal, les acteurs suivants : 

1°- les personnes de l’établissement de santé et de l’établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel sous l’autorité du médecin responsable de l’information médicale, 

2°- les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel ; 

3°- les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l’information médicale au traitement des données à caractère personnel dans le cadre de leur contrat de sous-traitance. 

4°- le commissaire aux comptes, sans possibilité de création ou de modification, et uniquement pour les besoins de sa mission de certificateur des comptes de l’établissement, qu’il ne peut conserver que pour la durée de certification des comptes annuels. 

Cette liste appelle d’ores et déjà quelques observations. 

On peut regretter, avec le Syndicat des DIM, que ce texte « réduise le rôle du DIM à celui de facturier dont on estime dans ce texte que les seules fonctions concernent le contrôle des recettes ». 

On se souvient, en effet, que l’un des arguments invoqués par le Gouvernement en faveur de ce texte était tiré de « la difficulté à recruter des médecins DIM », d’où découle leur « obligation » de recourir à des prestataires extérieurs. 

Il y a donc fort à parier que l’évolution de la fonction DIM ne sera pas de nature à attirer des médecins spécialisés en information médicale mais plutôt des hommes du chiffre spécialisés en médecine. Et de se demander si c’est une bonne chose pour l’avenir de l’hôpital…

Les informations auxquelles les acteurs ci-dessus auront accès, énumérés à l’article R.6113-1 du code de la santé publique, porteront sur l’identité du patient et son lieu de résidence, celles relatives aux modalités selon lesquelles les soins ont été dispensés, à l’environnement familial et social du patient en tant qu’il influe sur les modalités du traitement, aux modes et dates d’entrée et de sortie, aux unités médicales l’ayant pris en charge, aux pathologies et autres caractéristiques médicales et aux actes de diagnostic et de soins réalisés au cours du séjour dans l’établissement. 

S’agissant des commissaires aux comptes et des prestataires extérieurs, le texte prévoit qu’ils ne peuvent accéder qu’aux seules données à caractère personnel dans la stricte limite de ce qui est nécessaire à leurs missions. 

La Compagnie nationale des commissaires aux comptes se saisira peut-être de cette question pour déterminer la liste précise des données personnelles auxquelles ses membres doivent avoir accès, afin d’éviter une application casuistique des dispositions de l’article précité. 

Quant aux prestataires extérieurs intervenant notamment sur les matériels et logiciels utilisés pour le traitement des données, il ne faudra compter que sur leur bonne volonté à mettre à disposition des outils adéquats, permettant l’anonymisation à la carte des données du patient. 

On réalise donc à quel point les finances hospitalières l’emportent sur le droit des patients en constatant que la règle de partage des données à caractère personnel est désormais moins stricte à l’égard des non-professionnels de santé qu’elle ne l’est entre ces derniers. 

Rappelons en effet qu’en application de l’article L.1110-4 du code de la santé publique, le partage, entre professionnels de santé ne faisant pas partie de la même équipe de soins, d’informations nécessaires à la prise en charge d’une personne requiert son consentement préalable. De plus, l’établissement doit l’informer de son droit de s’opposer à l’échange et au partage, à tout moment, d’informations la concernant. 

Or, le patient ne bénéficie pas d’un tel droit, lorsqu’il s’agit du partage de ses données avec les prestataires extérieurs et commissaires aux comptes visés par l’article R6113-1 du code de la santé publique. S’il prévoit l’information qui doit être donnée au patient quant au partage des données, l’article R6113-7, 2° du code précité ne soumet celui-ci ni à son consentement, ni ne lui accorde le droit de s’y opposer. 

Entre les finances hospitalières et les droits des patients, les priorités ne font plus de doute.    

(1) /article/3196/quand-le-rgpd-assure-la-protection-du-pmsi.html    

Par Me Emmanuelle Peletingeas
Avocat associé chez Yahia Avocats
www.yahia-avocats.fr