Projet de loi Protection des données personnelles
Direction de la Séance
N°93
19 mars 2018
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 351 , 350 )
AMENDEMENT
| C | Sagesse du Sénat |
|---|---|
| G | Favorable |
| Adopté | |
présenté par
Le Gouvernement
ARTICLE 13
Consulter le texte de l'article ^
Compléter cet article par deux alinéas ainsi rédigés :
…° Après les mots : « de la conférence médicale. », la fin du sixième alinéa de l’article L. 6113-7 du code de la santé publique est ainsi rédigée :
« Les conditions de cette désignation et les modes d’organisation de la fonction d’information médicale en particulier les conditions dans lesquelles des personnels placés sous l’autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 du présent code peuvent contribuer au traitement des données, sont fixés par décret. »
Objet
La tarification à l’activité (T2A) impose à chaque établissement de santé concerné par ce mode de financement de rendre compte de son activité par une remontée de données quantifiées et standardisées relatives à la prise en charge des patients : c’est l’objet du programme de médicalisation des systèmes d’information (PMSI).
Le processus de codage, étapes par lesquelles les données propres à chaque patient sont retraitées en statistiques pseudonymisées, implique un accès à des données permettant, même indirectement, une identification. Au titre de l’article L.1110-4 du code de la santé publique (CSP), relatif au secret médical, seuls les professionnels de santé participant à la prise en charge d’un patient sont autorisés à accéder à ses données de santé. Pour mettre en œuvre le PMSI, et en dérogation à ce principe, l’article L.6113-7 CSP met cette production sous la responsabilité d’un médecin de l’information médicale nommé dans chaque établissement ; l’article R.6113-5 CSP étend la dérogation à l’ensemble des personnels travaillant auprès de lui ou placé sous son autorité, mais ne renvoie aucunement à des personnes salariées de sociétés prestataires autres que celles intervenant sur le matériel ou les logiciels.
Par ailleurs, face à la difficulté à recruter des médecins DIM (département d’information médicale) et à l’importance que revêt le codage pour le financement des établissements de santé par la T2A, ces derniers sont amenés à avoir recours à des prestataires extérieurs, soit pour la production initiale des données du PMSI, soit dans le cadre de procédures d’audit pour mettre en œuvre un contrôle des processus ou optimiser le codage, donc les ressources financières. Les audits sont en particulier réalisés dans le contexte de la certification des comptes des établissements publics de santé, dont la mission légale s’exerce selon les modalités fixées dans l’article L. 823-9, alinéa 1, du Code de commerce, et par les décrets n°1238 et n°1239 du 23 décembre 2013.
Au vu des enjeux, ce recours doit être garanti aux établissements publics comme privés.
Dans ce double cadre se pose la question des conditions réglementaires d’accès aux dossiers médicaux des patients par les prestataires extérieurs mandatés par l’établissement de santé, comme le soulignait la Commission nationale de l’informatique et des libertés.
Cet amendement vise à sécuriser le recours à des prestataires extérieurs pour le codage ou l’audit des données PMSI au travers d’un cadre juridique permettant de garantir la protection des données de santé à caractère personnel contenues dans des dossiers médicaux des patients. L’accès des prestataires extérieurs aux données de santé serait alors réalisé dans des conditions techniques renvoyant à la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), et ne serait autorisé que dans la stricte mesure de ce qui est nécessaire à leur mission.