Par Stéphane Astier et Thomas Lajudie
Le décret n°2018-1254 du 26 décembre 2018[1] apporte des précisions importantes sur les conditions de collecte et de traitement de données médicales dans le cadre du Programme de médicalisation des systèmes d’information (PMSI).
Pour mémoire, le PMSI consiste à collecter et traiter des données issues de l’activité des établissements publics et privés de santé et tenant notamment compte des pathologies et des modes de prise en charge.
L’analyse de ces données permet de quantifier, à des fins de standardisation, l’activité et les ressources des établissements en relation avec chaque pathologie ou mode de prise en charge. La responsabilité de la collecte et du traitement repose sur un praticien désigné comme responsable de l’information médicale par le directeur de l’établissement considéré.
Dans le cadre du PMSI, les analyses sont généralement effectuées par des prestataires extérieurs, qui doivent donc bénéficier d’un accès à la base de données, et donc à une quantité importante de données médicales des patients, listées à l’article R.6113-1 du code de la santé publique.
C’est dans un objectif d’encadrement de cet accès que le décret n°2018-1254 a été adopté, réformant les articles R.6113-4 et suivants du code de la santé publique[2].
Tout d’abord, le décret précise le rôle du médecin responsable de l’information médicale, qui « coordonne l'élaboration et contribue à la mise en œuvre du plan d'assurance qualité des recettes, destiné à garantir l'exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l'établissement. »
Le décret apporte ensuite une sécurité supplémentaire à la confidentialité des données en précisant les personnes soumises au secret concernant l’accès aux données.
Il s’agit en particulier des personnels placés sous la responsabilité du médecin responsable, des personnes intervenant sur les matériels et logiciels utilisés dans le traitement des données (Editeur, hébergeur, etc.) et les prestataires extérieurs procédant au traitement des données. Le commissaire aux comptes dans le cadre de sa mission de certificateur voit aussi son accès consacré par le décret du 26 décembre 2018.
Ces personnes sont soumises à une obligation de secret, dont la violation peut entraîner une condamnation à un an d’emprisonnement ainsi qu’à une amende de 15 000 euros, conformément à l’article 226-13 du code pénal[3].
Au-delà du secret professionnel, le Décret précise que l’accès fourni aux prestataires extérieurs en charge de l’analyse doit également être strictement limité à ce qui est nécessaire à leur mission.
Cet aspect rend notamment obligatoire la conception de solutions logicielles d’analyse cloisonnant l’accès aux données et satisfaisant ainsi le critère de Privacy by design de l’article 25 RGPD. Des analyses d’impact seront à mener conformément à l’article 35 du RGPD[4]. Un dispositif contractuel spécifique devra être également mis en place afin de justifier des garanties adéquates.
En outre, la durée de traitement des données par le prestataire extérieur chargé de l’analyse devra également être limitée à « la durée strictement nécessaire aux activités qui lui ont été confiées », cette obligation rejoignant le principe de limitation de la conservation des données disposé au sein du RGPD (article 5.1.e.).
Enfin, le décret impose la conservation des traces relatives à l’accès, la consultation, la création ou la modification de données concernant les patients pendant une durée de six mois glissants, garantissant la traçabilité[5] de toute action effectuée sur les données, pour certaines sensibles, auxquelles les acteurs du PMSI ont accès.
***
L’intervention d’un établissement de santé ou d’un prestataire dans le cadre du PMSI nécessite une réflexion en amont tant concernant l’édition des solutions logicielles que dans les opérations de traitement des données.
Le Cabinet HAAS Avocats intervient sur les problématiques inhérentes à l’e-santé[6] et accompagne les établissements de santé[7] comme les prestataires fournisseurs de solutions[8] en vue de la sécurisation juridique de leur activité. Audit, consolidations contractuelles, DPO externalisé ou assistance ponctuelle sont autant d’exemples justifiant l’intervention d’un professionnel du droit.
Vous voulez en savoir plus sur nos prestations dédiées à l’e-santé ? Cliquez ICI
[1] https://www.legifrance.gouv.fr/eli/decret/2018/12/26/2018-1254/jo/texte
[2] https://www.legifrance.gouv.fr/affichCode.do;jsessionid=40E7519FE033CA5B33A96DE5EA2BEBEF.tplgfr24s_3?idSectionTA=LEGISCTA000006190793&cidTexte=LEGITEXT000006072665&dateTexte=20091030
[3] https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=40E7519FE033CA5B33A96DE5EA2BEBEF.tplgfr24s_3?idArticle=LEGIARTI000006417945&cidTexte=LEGITEXT000006070719&dateTexte=20190110&categorieLien=id&oldAction=
[4] Cf. https://www.haas-avocats.com/data/lasip-sante-met-jour-son-referentiel-securite-pgssi-s/
[5] Cette obligation est à mettre en relation avec les dispositions relatives à la protection de l’intégrité des données de santé : https://www.haas-avocats.com/data/e-sante-mecanismes-protection-lintegrite-des-donnees-stockees/
[6] Cf. https://www.haas-avocats.com/ecommerce/cles-pour-reussir-votre-projet-e-sante/
[7] Cf. http://info.haas-avocats.com/droit-digital/e-sant%C3%A9-concilier-recherche-scientifique-et-rgpd-en-7-points
[8] Cf. https://www.haas-avocats.com/data/developpement-dispositifs-dapps-sante-les-bonnes-pratiques-adopter/