Un décret encadre l'accès des prestataires extérieurs aux dossiers médicaux

Un décret, publié au Journal officiel (JO) du 28 décembre autorise et encadre l'accès aux dossiers médicaux des patients pour les prestataires extérieurs pour leurs missions d'élaboration du programme de médicalisation des systèmes d'information (PMSI) et d'optimisation du codage des actes. Il organise aussi l'accès des commissaires aux comptes.

Pris dans le cadre de la loi sur la protection des données personnelles, ce décret précise que les commissaires aux comptes ont accès à des données à caractère personnel "pour consultation uniquement et sans possibilité de création ou de modification" et ceci pour leur mission légale de certification des comptes des établissements de santé. Pour ce qui est des prestataires extérieurs, cet accès se fait dans le cadre de leur contrat de sous-traitance et sous la responsabilité du médecin responsable de l'information médicale.

Ils sont par ailleurs "soumis à l'obligation de secret", puni pénalement s'il est méconnu, au même titre que les personnes de l'établissement de santé ou support du groupement hospitalier de territoire (GHT) et qui contribuent au traitement de ces données personnelles. Les personnes intervenant sur le matériel et les logiciels utilisés pour ces traitements sont aussi concernés par cette disposition.

Le décret précise en outre que les commissaires aux comptes et les prestataires extérieurs ne peuvent accéder qu'aux seules données portant par exemple sur l'identité du patient, les modalités de dispensation des soins, les dates d'entrée et de sortie (article R.6113-1 du code de santé publique) et "dans la stricte limite de ce qui est nécessaire à leurs missions".

Le texte indique également que les prestataires extérieurs ne peuvent "conserver les données mises à disposition par l'établissement au delà de la durée strictement nécessaire aux activités qui lui ont été confiées par contrat" et le commissaire aux comptes au delà de la durée "strictement nécessaire à la certification annuelle des comptes". Les traces de tout accès mais aussi de consultation, création et modification de données relatives aux patients sont quant à elles conservées "pendant une durée de six mois glissants par l'établissement de santé".