Au sommaire :
Références
NOR : SPRH2312006D
ELI : https://www.legifrance.gouv.fr/eli/decret/2023/6/22/SPRH2312006D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2023/6/22/2023-498/jo/texte
Source : JORF n°0144 du 23 juin 2023, texte n° 25
Informations
Publics concernés : établissements de santé et leurs prestataires de services, commissaires aux comptes, médecins responsables de l’information médicale.
Objet : modification des conditions d’accès aux données à caractère personnel nécessaires à l’analyse de l’activité médicale des établissements de santé par les commissaires aux comptes et par les prestataires extérieurs contribuant à cette analyse.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret complète les garanties encadrant l’accès, par les commissaires aux comptes et les prestataires extérieurs contribuant à l’analyse de l’activité médicale des établissements de santé, aux données à caractère personnel nécessaires à cette analyse. Il prévoit que les commissaires aux comptes ont accès, par l’intermédiaire d’un médecin agissant à titre d’expert, à des données pseudonymisées, préalablement identifiées au regard des objectifs de la mission de certification et que le rapport de certification ne comporte aucune donnée à caractère personnel. Il fixe les mentions que doit comporter le contrat de sous-traitance établi entre le directeur d’établissement et les prestataires extérieurs contribuant à l’analyse de l’activité médicale et précise les modalités de contrôle, par le médecin responsable de l’information médicale, de l’activité de ces derniers.
Références : le décret et les dispositions du code de la santé publique qu’il modifie peuvent être consultés, dans leur rédaction issue de cette modification, sur le site Légifrance (https://www.legifrance.gouv.fr).
En-tête
La Première ministre,
Sur le rapport du ministre de la santé et de la prévention,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment son article L. 6113-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 13 avril 2023 ;
Le Conseil d’Etat (section sociale) entendu,
Décrète :
Article 1
Le code de la santé publique est ainsi modifié :
1° L’article R. 6113-3 est abrogé ;
2° Le deuxième alinéa de l’article R. 6113-4 est ainsi modifié :
a) A la première phrase, les mots : « coordonne l’élaboration et contribue » sont remplacés par les mots : « contribue à l’élaboration et » ;
b) A la deuxième phrase, les mots : « par le médecin responsable de l’information médicale » sont supprimés ;
3° L’article R. 6113-5 est ainsi modifié :
a) Au deuxième alinéa, après le mot : « Sont », est inséré le mot : « également » ;
b) Les 3° et 4° sont remplacés par les dispositions suivantes :
« 3° Les commissaires aux comptes qui reçoivent communication, par l’intermédiaire d’un médecin agissant sous leur responsabilité à titre d’expert, de données à caractère personnel mentionnées à l’article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l’article L. 6145-16 et dans les conditions prévues à l’article R. 6113-5-1 ;
« 4° Les prestataires extérieurs qui contribuent, sous la responsabilité et le contrôle du médecin responsable de l’information médicale de l’établissement de santé, au traitement des données à caractère personnel mentionnées à l’article R. 6113-1 dans le cadre de leur contrat de sous-traitance et ont accès à cet effet, dans les conditions prévues à l’article R. 6113-5-2, à ces données. » ;
4° Après l’article R. 6113-5, il est inséré deux articles R. 6113-5-1 et R. 6113-5-2 ainsi rédigés :
« Art. R. 6113-5-1. – I. – Le commissaire aux comptes ne reçoit communication, par l’intermédiaire d’un médecin agissant sous sa responsabilité à titre d’expert, que des seules données à caractère personnel mentionnées à l’article R. 6113-1 qui sont nécessaires à la vérification, par sondage sur la base d’échantillons pertinents de dossiers, de la fiabilité et de la traçabilité des données utilisées pour le calcul des recettes de l’établissement.
« II. – Le médecin mentionné au I à qui le commissaire aux comptes fait appel doit :
« 1° Exercer ou avoir exercé des fonctions au sein d’un service chargé de l’information médicale dans un autre établissement ;
« 2° Présenter toutes les garanties de compétence, d’indépendance et d’impartialité requises pour l’exercice des missions qui lui sont confiées par le présent article.
« Les indemnités dues et les modalités de réalisation de sa mission sont fixées par convention avec le commissaire aux comptes.
« III. – Préalablement à toute communication de données, le commissaire aux comptes définit :
« 1° Le périmètre et les objectifs de la mission de certification justifiant la communication de données à caractère personnel mentionnées à l’article R. 6113-1 ;
« 2° Le délai de la réalisation de cette mission ;
« 3° Les catégories de données nécessaires à son accomplissement.
« IV. – Après que le médecin mentionné au I a vérifié que les catégories de données dont la communication est demandée n’excèdent pas le champ de celles qui sont strictement nécessaires à l’exercice de la mission de certification, le commissaire aux comptes notifie au directeur d’établissement les éléments mentionnés au III.
« V. – Le directeur d’établissement habilite individuellement et spécialement le médecin mentionné au I à accéder aux données mentionnées au 3° du III.
« Le directeur d’établissement peut saisir le médecin mentionné au I, à tout moment, de toute demande d’information relative aux données sollicitées.
« VI. – Seul le médecin mentionné au I peut accéder directement aux données traitées par l’établissement de santé, pour consultation uniquement et sans possibilité de création ou de modification.
« Avant de mettre à disposition du commissaire aux comptes les données nécessaires à l’exercice de sa mission, le médecin mentionné au I procède à leur pseudonymisation en supprimant en particulier les données mentionnées au 1° de l’article R. 6113-1 relatives aux personnes concernées et les communique au commissaire aux comptes dans des conditions sécurisées.
« La communication de toute donnée complémentaire est réalisée dans les mêmes conditions.
« VII. – A l’issue de la mission de certification, le directeur d’établissement met fin à l’habilitation d’accès du médecin mentionné au I. Ce dernier efface, dans des conditions sécurisées, toute donnée transmise au commissaire aux comptes dans le cadre de sa mission.
« Art. R. 6113-5-2. – I. – Les prestataires extérieurs qui assistent le médecin responsable de l’information médicale dans l’exercice de ses missions prévues à l’article R. 6113-4 ne peuvent accéder, sous la responsabilité et le contrôle de ce dernier, qu’aux seules données à caractère personnel mentionnées à l’article R. 6113-1 strictement nécessaires à l’exercice de leurs propres missions.
« II. – Le contrat signé avec le directeur d’établissement dans les conditions prévues par l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 comporte en outre la liste des prestations concernées, le délai et les lieux d’exercice de leur réalisation, ainsi que la liste et la qualité des personnels autorisés à traiter les données à caractère personnel.
« Le contrat est transmis au médecin responsable de l’information médicale avant tout accès aux données. Ce médecin peut demander au prestataire extérieur toute information utile quant aux conditions de réalisation des activités de traitement concernées.
« III. – Le directeur d’établissement habilite individuellement et spécialement les personnels du prestataire extérieur autorisés à accéder aux données mentionnées au I.
« Le médecin responsable de l’information médicale s’assure que les données auxquelles les personnels accèdent effectivement n’excèdent pas celles qui sont strictement nécessaires à l’exercice de leurs missions.
« IV. – Les personnels du prestataire extérieur accèdent aux données mentionnées au I au sein du système d’information de l’établissement de santé.
« Lorsque les caractéristiques de la prestation ne permettent pas de la réaliser au sein du système d’information de l’établissement, les données nécessaires à cette prestation peuvent, dans des conditions sécurisées, en être extraites et mises à disposition du prestataire extérieur.
« V. – A l’issue des activités de traitement de données prévues par le contrat mentionné au II, le directeur d’établissement met fin à l’habilitation d’accès des personnels du prestataire extérieur.
« Il en est de même, à tout moment, lorsque ces personnels méconnaissent les dispositions du présent article. » ;
5° L’article R. 6113-7 est ainsi modifié :
a) Au 2°, après les mots : « sous son autorité », sont insérés les mots : « ou son contrôle » et après les mots : « le commissaire aux comptes », sont insérés les mots : « , par l’intermédiaire du médecin mentionné au I de l’article R. 6113-5-1 et après pseudonymisation » ;
b) Le 3° est remplacé par les dispositions suivantes :
« 3° Qu’elles peuvent exercer leurs droits d’accès, de rectification, d’effacement, de limitation et d’opposition respectivement prévus par les articles 49, 50, 51, 53 et 56 de la loi n° 78-17 du6 janvier 1978 précitée et que ces droits s’exercent, le cas échéant, auprès du médecin responsable de l’information médicale dans l’établissement, directement ou par l’intermédiaire du praticien responsable de la structure médicale dans laquelle ils ont reçu les soins ou du praticien ayant constitué leur dossier. » ;
c) Le 4° est abrogé ;
6° L’article R. 6113-9-1 est ainsi modifié :
a) Le premier alinéa est remplacé par les dispositions suivantes :
« Lorsqu’un établissement de santé recourt à un prestataire extérieur mentionné au 4° du I de l’article R. 6113-5 pour la mise en œuvre des activités mentionnées au présent chapitre, ce prestataire ne peut conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui lui ont été confiées prévue par le contrat mentionné au I de l’article R. 6113-5-2. A l’issue de cette durée, le prestataire procède à l’effacement des données dans des conditions sécurisées et en apporte la preuve auprès du médecin responsable de l’information médicale. » ;
b) Au second alinéa, après les mots : « les données mises à disposition », sont insérés les mots : « , par l’intermédiaire du médecin mentionné au I de l’article R. 6113-5-1, » ;
c) Le second alinéa est complété par la phrase suivante : « Le rapport de certification prévu à l’article R. 6145-61-5 ne comporte aucune donnée à caractère personnel traitée dans le cadre de cette mission. » ;
7° L’article R. 6113-9-2 est complété par un alinéa ainsi rédigé :
« Les traces des actions réalisées par les prestataires mentionnés au 4° du I de l’article R. 6113-5, et notamment la date, l’heure, et l’identification du personnel concerné, sont mises à disposition du médecin responsable de l’information médicale, aux fins du contrôle mentionné à l’article R. 6113-5-2. Ces traces font l’objet d’une exploitation régulière aux fins d’identifier les irrégularités d’accès ou d’utilisation des données. » ;
8° L’article R. 6113-11-4 est ainsi modifié :
a) Au premier alinéa, les mots : « , R. 6113-5 » sont supprimés ;
b) Au troisième alinéa, les mots : « R. 6113-3, » sont supprimés ;
c) Après le quatrième alinéa, sont ajoutés cinq alinéas ainsi rédigés :
« Les dispositions des articles R. 6113-5, R. 6113-5-1 et R. 6113-5-2 sont applicables aux hôpitaux des armées sous réserve des dispositions suivantes :
« 1° Pour l’application de l’article R. 6113-5-1 :
« a) Le médecin mentionné au I de cet article est habilité par le ministre de la défense ;
« b) Sous réserve de l’adaptation prévue au a, le médecin-chef de l’hôpital des armées exerce les attributions du directeur de l’établissement ;
« 2° Pour l’application de l’article R. 6113-5-2, les personnels du prestataire extérieur sont habilités par le ministre de la défense et le contrat mentionné au II est signé par le ministre de la défense. »
Article 2
Le ministre des armées et le ministre de la santé et de la prévention sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Date et signature(s)
Fait le 22 juin 2023.
Élisabeth Borne
Par la Première ministre :
Le ministre de la santé et de la prévention,
François Braun
Le ministre des armées,
Sébastien Lecornu