Ce décret d’application de l’article 16 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles sécurise le traitement des données à caractère personnel au sein des établissements, publics et privés, de santé par plusieurs mesures :
- L’élargissement du champ d’application de l’obligation de secret – article 1, 2°, a:
- Rappel : sont soumis à cette obligation
- les médecins chargés de la collecte et du traitement de ces données
- les personnels placés ou détachés auprès d’eux et qui travaillent à leur exploitation,
- les personnels intervenant sur le matériel et les logiciels utilisés pour leur recueil et leur traitement.
- Le décret élargit cette obligation aux prestataires extérieurs auxquels les établissements peuvent avoir recours pour le traitement des données à caractère personnel qu’ils collectent sous la responsabilité du médecin d’information médicale dans le cadre de contrat de sous-traitance ainsi qu’aux commissaires aux comptes qui ont accès à ces données dans le cadre de leur mission de certification des comptes.
- Rappel : sont soumis à cette obligation
- La restriction de l’accès aux données à caractère personnel : le décret prévoit que les prestataires extérieurs et les commissaires aux comptes ne peuvent avoir accès à ces données que dans la stricte limite de ce qui est nécessaire à leurs missions et ne peuvent les conserver que dans la durée strictement nécessaire à celles-ci – article 1, 2°, b et 4°.
- L’obligation de conservation des traces d’accès aux données : le décret impose la conservation des traces de tout accès, consultation, création et modification de données relatives aux patients pendant une durée de six mois glissants par les établissements (durée qui s’applique à compter du 1er mars 2019) – article 1, 4°.
- L’enrichissement de l’information des personnes soignées sur le traitement des données les concernant: parmi les informations qui doivent leur être transmises par le livret d’accueil ou tout autre document écrit (prévues à l’article R. 6113-7 du CSP), le décret ajoute deux points – article 1, 3° a et b :
- La transmission des données les concernant aux personnes intervenant sous l’autorité du médecin responsable de l’information médicale, le cas échéant,
- Et la faculté dont dispose le commissaire aux comptes, dans le cadre de sa mission de certification, de consulter aléatoirement ces données.
D’autre part, le décret impose l’élaboration d’un plan d’assurance qualité des recettes (préconisé aux DIM par le guide d’auditabilité des recettes T2A - MCO de la DGOS publié en novembre 2017).
Il confie au médecin responsable de l’information médicale, dont les missions et devoirs sont énumérés à l’article R.6113-4 du CSP, celle de coordonner l’élaboration et de contribuer à la mise en œuvre de ce plan. Il doit également le présenter, chaque année, à la conférence ou la commission médicale d’établissement pour information.
Vous trouverez, en lien à droite, le décret.