Protection des données de santé : le Conseil d’État annule un décret sur les DIM

Le décret du 26 décembre 2018 portant sur les DIM autorisait et encadrait l’accès aux données médicales des patients pour les besoins de l’analyse de l’activité des établissements de santé, de la facturation et du contrôle de cette dernière. Le 25 novembre 2020, le Conseil d’État a prononcé l’annulation de ce décret pour absence de garanties suffisantes quant à la protection des données individuelles de santé, notamment lors de l’accès des prestataires extérieurs et des commissaires aux comptes aux dossiers médicaux des patients.

Une demande d’annulation du Cnom au motif d’un excès de pouvoir

Ce décret répondait à la Commission nationale de l’informatique et des libertés (Cnil) qui avait soulevé un risque juridique sur la protection des données médicales lors du codage ou de l’audit des données du programme de médicalisation des systèmes d’information (PMSI). Son objectif était donc de sécuriser l’accès aux données médicales nécessaire à l’analyse de l’activité, à la facturation et à son contrôle, tant pour les prestataires extérieurs que pour les commissaires aux comptes dans leur mission de certification des comptes de l’établissement.

Il précisait les modes d’organisation du département d’information médicale en autorisant et en encadrant l’accès aux dossiers médicaux des patients au bénéfice, d’une part, des prestataires extérieurs dans le cadre de l’élaboration du PMSI et de l’optimisation du codage des actes et, d’autre part, des commissaires aux comptes.

En avril 2019, le Conseil national de l’ordre des médecins (Cnom) a saisi le Conseil d’État pour demander l’annulation, pour excès de pouvoir, de ce décret dont il n’avait pas réussi à obtenir de clarification quant à sa réglementation.

L’accès aux données médicales des commissaires aux comptes

Pour le Haut Conseil du commissariat aux comptes, l’accès à l’ensemble des données de santé issues du dossier médical des patients est nécessaire à l’accomplissement de la mission des commissaires aux comptes. Analyser un échantillon de dossiers permettrait d’analyser la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

Dans sa décision, le Conseil d’État objecte qu’il est possible de se limiter aux données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expert, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données prévue dans le RGPD.

En l’absence de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical, le Conseil d’État demande l’annulation du décret.

L’accès aux données médicales des prestataires externes

Le texte du décret précise que les personnels placés sous l’autorité du praticien responsable de l’information médicale pour l’établissement peuvent contribuer au traitement des données personnelles de santé recueillies par ce médecin au titre de l’analyse de l’activité et de la facturation, en dérogeant au respect du secret médical. Le Cnom avait demandé que les prestataires extérieurs à l’établissement, dotés le cas échéant de la qualité de sous-traitants, en soient exclus. Ce point n’a pas été retenu par le Conseil d’État.

Dans la même logique que celle qui a prévalu à l’égard des commissaires aux comptes, il note en revanche que le décret ne prévoit pas de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir que les prestataires extérieurs accomplissent effectivement leurs activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu.

Un accès limité aux données pseudonymisées

Le Conseil d’État donne donc partiellement raison au Conseil de l’ordre en demandant l’annulation du décret dans l’attente que soit édictée la réglementation complémentaire. D’ici là, en respect du droit au respect du secret médical des personnes concernées, les commissaires aux comptes ne peuvent avoir accès qu’à des données pseudonymisées, à moins de recourir au service d’un médecin expert, notamment un médecin DIM d’un autre établissement. Le Conseil d’État invite également le praticien responsable de l’information médicale des établissements de santé à organiser et à contrôler le travail confié aux éventuels prestataires extérieurs placés sous sa responsabilité.