Code de la santé publique
Sous-section 1 : Dispositions générales
Ces données ne peuvent concerner que :
1° L'identité du patient et son lieu de résidence ;
2° Les modalités selon lesquelles les soins ont été dispensés, telles qu'hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ;
3° L'environnement familial ou social du patient en tant qu'il influe sur les modalités du traitement de celui-ci ;
4° Les modes et dates d'entrée et de sortie ;
5° Les unités médicales ayant pris en charge le patient ;
6° Les pathologies et autres caractéristiques médicales de la personne soignée ;
7° Les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l'établissement.
Les données mentionnées au 1° ne sont pas recueillies lorsqu'une personne peut légalement être admise dans un établissement de santé ou y recevoir des soins en gardant l'anonymat.
1° Les données dont le recueil et le traitement ont un caractère obligatoire ;
2° Les nomenclatures et classifications à adopter ;
3° Les modalités et la durée minimale de conservation des fichiers.
Ce médecin conseille les praticiens pour la production des informations. Il veille à la qualité des données qu'il confronte, en tant que de besoin, avec les dossiers médicaux et les fichiers administratifs.
Les praticiens de l'établissement ont un droit d'accès et de rectification quant aux informations relatives aux soins qu'ils ont dispensés ou qui ont été dispensés dans une structure médicale ou médico-technique dont ils ont la responsabilité. Ils sont régulièrement destinataires des résultats des traitements de ces informations.
Le médecin responsable de l'information médicale coordonne l'élaboration et contribue à la mise en œuvre du plan d'assurance qualité des recettes, destiné à garantir l'exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l'établissement. Le plan d'assurance qualité des recettes est présenté chaque année par le médecin responsable de l'information médicale à la conférence ou la commission médicale d'établissement pour information.
Ce médecin conseille les praticiens pour la production des informations. Il veille à la qualité des données qu'il confronte, en tant que de besoin, avec les dossiers médicaux et les fichiers administratifs.
Les praticiens de l'établissement ont un droit d'accès et de rectification quant aux informations relatives aux soins qu'ils ont dispensés ou qui ont été dispensés dans une structure médicale ou médico-technique dont ils ont la responsabilité. Ils sont régulièrement destinataires des résultats des traitements de ces informations.
Le médecin responsable de l'information médicale contribue à l'élaboration et à la mise en œuvre du plan d'assurance qualité des recettes, destiné à garantir l'exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l'établissement. Le plan d'assurance qualité des recettes est présenté chaque année à la conférence ou la commission médicale d'établissement pour information.
Ce médecin conseille les praticiens pour la production des informations. Il veille à la qualité des données qu'il confronte, en tant que de besoin, avec les dossiers médicaux et les fichiers administratifs.
Les praticiens de l'établissement ont un droit d'accès et de rectification quant aux informations relatives aux soins qu'ils ont dispensés ou qui ont été dispensés dans une structure médicale ou médico-technique dont ils ont la responsabilité. Ils sont régulièrement destinataires des résultats des traitements de ces informations.
Il en est de même des personnels placés ou détachés auprès de ces médecins et qui travaillent à l'exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données.
Sont soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal :
1° Les personnes de l'établissement de santé ou de l'établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 sous l'autorité du médecin responsable de l'information médicale ;
2° Les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel mentionnées à l'article R. 6113-1 ;
3° Les commissaires aux comptes qui ont accès, pour consultation uniquement et sans possibilité de création ou de modification, à des données à caractère personnel mentionnées à l'article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l'article L. 6145-16 ;
4° Les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l'information médicale au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 dans le cadre de leur contrat de sous-traitance.
Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l'article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions.
Sont également soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal :
1° Les personnes de l'établissement de santé ou de l'établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 sous l'autorité du médecin responsable de l'information médicale ;
2° Les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel mentionnées à l'article R. 6113-1 ;
3° Les commissaires aux comptes qui reçoivent communication, par l'intermédiaire d'un médecin agissant sous leur responsabilité à titre d'expert, de données à caractère personnel mentionnées à l'article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l'article L. 6145-16 et dans les conditions prévues à l'article R. 6113-5-1 ;
4° Les prestataires extérieurs qui contribuent, sous la responsabilité et le contrôle du médecin responsable de l'information médicale de l'établissement de santé, au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 dans le cadre de leur contrat de sous-traitance et ont accès à cet effet, dans les conditions prévues à l'article R. 6113-5-2, à ces données.
Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l'article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions.
II.-Le médecin mentionné au I à qui le commissaire aux comptes fait appel doit :
1° Exercer ou avoir exercé des fonctions au sein d'un service chargé de l'information médicale dans un autre établissement ;
2° Présenter toutes les garanties de compétence, d'indépendance et d'impartialité requises pour l'exercice des missions qui lui sont confiées par le présent article.
Les indemnités dues et les modalités de réalisation de sa mission sont fixées par convention avec le commissaire aux comptes.
III.-Préalablement à toute communication de données, le commissaire aux comptes définit :
1° Le périmètre et les objectifs de la mission de certification justifiant la communication de données à caractère personnel mentionnées à l'article R. 6113-1 ;
2° Le délai de la réalisation de cette mission ;
3° Les catégories de données nécessaires à son accomplissement.
IV.-Après que le médecin mentionné au I a vérifié que les catégories de données dont la communication est demandée n'excèdent pas le champ de celles qui sont strictement nécessaires à l'exercice de la mission de certification, le commissaire aux comptes notifie au directeur d'établissement les éléments mentionnés au III.
V.-Le directeur d'établissement habilite individuellement et spécialement le médecin mentionné au I à accéder aux données mentionnées au 3° du III.
Le directeur d'établissement peut saisir le médecin mentionné au I, à tout moment, de toute demande d'information relative aux données sollicitées.
VI.-Seul le médecin mentionné au I peut accéder directement aux données traitées par l'établissement de santé, pour consultation uniquement et sans possibilité de création ou de modification.
Avant de mettre à disposition du commissaire aux comptes les données nécessaires à l'exercice de sa mission, le médecin mentionné au I procède à leur pseudonymisation en supprimant en particulier les données mentionnées au 1° de l'article R. 6113-1 relatives aux personnes concernées et les communique au commissaire aux comptes dans des conditions sécurisées.
La communication de toute donnée complémentaire est réalisée dans les mêmes conditions.
VII.-A l'issue de la mission de certification, le directeur d'établissement met fin à l'habilitation d'accès du médecin mentionné au I. Ce dernier efface, dans des conditions sécurisées, toute donnée transmise au commissaire aux comptes dans le cadre de sa mission.
II.-Le contrat signé avec le directeur d'établissement dans les conditions prévues par l'article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 comporte en outre la liste des prestations concernées, le délai et les lieux d'exercice de leur réalisation, ainsi que la liste et la qualité des personnels autorisés à traiter les données à caractère personnel.
Le contrat est transmis au médecin responsable de l'information médicale avant tout accès aux données. Ce médecin peut demander au prestataire extérieur toute information utile quant aux conditions de réalisation des activités de traitement concernées.
III.-Le directeur d'établissement habilite individuellement et spécialement les personnels du prestataire extérieur autorisés à accéder aux données mentionnées au I.
Le médecin responsable de l'information médicale s'assure que les données auxquelles les personnels accèdent effectivement n'excèdent pas celles qui sont strictement nécessaires à l'exercice de leurs missions.
IV.-Les personnels du prestataire extérieur accèdent aux données mentionnées au I au sein du système d'information de l'établissement de santé.
Lorsque les caractéristiques de la prestation ne permettent pas de la réaliser au sein du système d'information de l'établissement, les données nécessaires à cette prestation peuvent, dans des conditions sécurisées, en être extraites et mises à disposition du prestataire extérieur.
V.-A l'issue des activités de traitement de données prévues par le contrat mentionné au II, le directeur d'établissement met fin à l'habilitation d'accès des personnels du prestataire extérieur.
Il en est de même, à tout moment, lorsque ces personnels méconnaissent les dispositions du présent article.
1° Que des données les concernant font l'objet d'un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
2° Que ces données sont transmises au médecin responsable de l'information médicale dans l'établissement et sont protégées par le secret médical ;
3° Qu'elles peuvent exercer leur droit d'accès et de rectification et que ce droit s'exerce, le cas échéant, auprès du médecin responsable de l'information médicale dans l'établissement, directement ou par l'intermédiaire du praticien responsable de la structure médicale dans laquelle ils ont reçu des soins ou du praticien ayant constitué leur dossier ;
4° Qu'elles ont le droit de s'opposer pour des raisons légitimes au recueil et au traitement de données nominatives les concernant, dans les conditions fixées à l'article 38 de la loi n° 78-17 du 6 janvier 1978 précitée.
1° Que des données les concernant font l'objet d'un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
2° Que ces données sont transmises au médecin responsable de l'information médicale et aux personnes intervenant sous son autorité dans l'établissement et sont protégées par le secret médical ; et que ces mêmes données donnant lieu à facturation peuvent faire l'objet d'une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l'établissement ;
3° Qu'elles peuvent exercer leur droit d'accès et de rectification et que ce droit s'exerce, le cas échéant, auprès du médecin responsable de l'information médicale dans l'établissement, directement ou par l'intermédiaire du praticien responsable de la structure médicale dans laquelle ils ont reçu des soins ou du praticien ayant constitué leur dossier ;
4° Qu'elles ont le droit de s'opposer pour des raisons légitimes au recueil et au traitement de données nominatives les concernant, dans les conditions fixées à l'article 38 de la loi n° 78-17 du 6 janvier 1978 précitée.
1° Que des données les concernant font l'objet d'un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
2° Que ces données sont transmises au médecin responsable de l'information médicale et aux personnes intervenant sous son autorité ou son contrôle dans l'établissement et sont protégées par le secret médical ; et que ces mêmes données donnant lieu à facturation peuvent faire l'objet d'une consultation aléatoire de traçabilité par le commissaire aux comptes, par l'intermédiaire du médecin mentionné au I de l'article R. 6113-5-1 et après pseudonymisation dans sa fonction de certificateur des comptes annuels de l'établissement ;
3° Qu'elles peuvent exercer leurs droits d'accès, de rectification, d'effacement, de limitation et d'opposition respectivement prévus par les articles 49,50,51,53 et 56 de la loi n° 78-17 du6 janvier 1978 précitée et que ces droits s'exercent, le cas échéant, auprès du médecin responsable de l'information médicale dans l'établissement, directement ou par l'intermédiaire du praticien responsable de la structure médicale dans laquelle ils ont reçu les soins ou du praticien ayant constitué leur dossier.
Dans le cas où une activité de soins est exploitée en commun par un groupement de coopération sanitaire dans les conditions prévues au 4° de l'article L. 6133-1, le médecin responsable de l'information médicale transmet également les informations nécessaires à l'analyse de cette activité à l'administrateur du groupement.
Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes.
Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition, par l'intermédiaire du médecin mentionné au I de l'article R. 6113-5-1, par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes. Le rapport de certification prévu à l'article R. 6145-61-5 ne comporte aucune donnée à caractère personnel traitée dans le cadre de cette mission.
Les traces des actions réalisées par les prestataires mentionnés au 4° du I de l'article R. 6113-5, et notamment la date, l'heure, et l'identification du personnel concerné, sont mises à disposition du médecin responsable de l'information médicale, aux fins du contrôle mentionné à l'article R. 6113-5-2. Ces traces font l'objet d'une exploitation régulière aux fins d'identifier les irrégularités d'accès ou d'utilisation des données.
La commission ou la conférence médicale reçoit préalablement communication de ces statistiques.
La commission ou la conférence médicale reçoit préalablement communication de ces statistiques.
La commission ou la conférence médicale reçoit préalablement communication de ces statistiques.