Publicité en cours de chargement...
Protection des données de santé : le Conseil d’État annule un décret sur les DIM
Le décret du 26 décembre 2018 portant sur les DIM autorisait et encadrait l’accès aux données médicales des patients pour les besoins de l’analyse de l’activité des établissements de santé, de la facturation et du contrôle de cette dernière. Le 25 novembre 2020, le Conseil d’État a prononcé l’annulation de ce décret pour absence de garanties suffisantes quant à la protection des données individuelles de santé, notamment lors de l’accès des prestataires extérieurs et des commissaires aux comptes aux dossiers médicaux des patients.
Une demande d’annulation du Cnom au motif d’un excès de pouvoir
Ce décret répondait à la Commission nationale de l’informatique et des libertés (Cnil) qui avait soulevé un risque juridique sur la protection des données médicales lors du codage ou de l’audit des données du programme de médicalisation des systèmes d’information (PMSI). Son objectif était donc de sécuriser l’accès aux données médicales nécessaire à l’analyse de l’activité, à la facturation et à son contrôle, tant pour les prestataires extérieurs que pour les commissaires aux comptes dans leur mission de certification des comptes de l’établissement.
Il précisait les modes d’organisation du département d’information médicale en autorisant et en encadrant l’accès aux dossiers médicaux des patients au bénéfice, d’une part, des prestataires extérieurs dans le cadre de l’élaboration du PMSI et de l’optimisation du codage des actes et, d’autre part, des commissaires aux comptes.
En avril 2019, le Conseil national de l’ordre des médecins (Cnom) a saisi le Conseil d’État pour demander l’annulation, pour excès de pouvoir, de ce décret dont il n’avait pas réussi à obtenir de clarification quant à sa réglementation.
L’accès aux données médicales des commissaires aux comptes
Pour le Haut Conseil du commissariat aux comptes, l’accès à l’ensemble des données de santé issues du dossier médical des patients est nécessaire à l’accomplissement de la mission des commissaires aux comptes. Analyser un échantillon de dossiers permettrait d’analyser la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.
Dans sa décision, le Conseil d’État objecte qu’il est possible de se limiter aux données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expert, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données prévue dans le RGPD.
En l’absence de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical, le Conseil d’État demande l’annulation du décret.
L’accès aux données médicales des prestataires externes
Le texte du décret précise que les personnels placés sous l’autorité du praticien responsable de l’information médicale pour l’établissement peuvent contribuer au traitement des données personnelles de santé recueillies par ce médecin au titre de l’analyse de l’activité et de la facturation, en dérogeant au respect du secret médical. Le Cnom avait demandé que les prestataires extérieurs à l’établissement, dotés le cas échéant de la qualité de sous-traitants, en soient exclus. Ce point n’a pas été retenu par le Conseil d’État.
Dans la même logique que celle qui a prévalu à l’égard des commissaires aux comptes, il note en revanche que le décret ne prévoit pas de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir que les prestataires extérieurs accomplissent effectivement leurs activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu.
Un accès limité aux données pseudonymisées
Le Conseil d’État donne donc partiellement raison au Conseil de l’ordre en demandant l’annulation du décret dans l’attente que soit édictée la réglementation complémentaire. D’ici là, en respect du droit au respect du secret médical des personnes concernées, les commissaires aux comptes ne peuvent avoir accès qu’à des données pseudonymisées, à moins de recourir au service d’un médecin expert, notamment un médecin DIM d’un autre établissement. Le Conseil d’État invite également le praticien responsable de l’information médicale des établissements de santé à organiser et à contrôler le travail confié aux éventuels prestataires extérieurs placés sous sa responsabilité.
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.