Aller au contenu

RGPD : restrictions d’accès des commissaires aux comptes et des sous-traitants aux données de santé identifiantes

Par un arrêt en date du 25 novembre 2020, le Conseil d’Etat a dit pour droit que les commissaires aux comptes, dans l’exercice de leur mission de révision avant certification des comptes annuels des établissements de santé publics, n’ont pas le droit d’accéder à des données de santé non pseudonymisées, même lorsque les diligences ont trait à la vérification de conformité de la facturation par le département d’information médicale (DIM). Il en va de même des sous-traitants.

1. Les faits

Le ministre de la santé édicte le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale (DIM) des établissements de santé. Ce décret autorise et encadre notamment l’accès aux données médicales des patients pour les besoins de l’analyse de l’activité, de sa facturation et du contrôle de cette facturation, d’une part, par des prestataires extérieurs et, d’autre part, par des commissaires aux comptes.

Estimant qu’il s’agit là de l’organisation d’une violation du secret médical, le Conseil national de l’Ordre des médecins (CNOM) introduit un recours pour excès de pouvoir contre le texte.

2. Les moyens invoqués

Devant le conseil d’Etat, juge de la légalité des actes règlementaires de gouvernement, le CNOM fait valoir les arguments suivants :

  • s’agissant d’un règlement afférent aux activités de soins, le projet de décret aurait dû lui être préalablement soumis pour avis ;
  • s’agissant d’un décret autorisant l’accès à des données de santé au sens de l’article 31, II de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique & libertés) alors en vigueur, sa publication au Journal officiel aurait dû être accompagnée par celle de l’avis de la Commission nationale de l’informatique et des libertés (CNIL), ce qui n’a pas été le cas en l’espèce ;
  • ni les commissaires aux comptes, ni les prestataires extérieurs exerçant leur activité au profit du médecin DIM ne sont habilités à connaître de données de santé protégées par le secret médical.

L’arrêt n’évoque pas les moyens de défense présentés par le ministre.

3. La solution

En préambule à l’examen de la légalité externe et interne du décret attaqué, le Conseil d’Etat rappelle que les informations sur l’état de santé du patient sont couvertes par le secret médical et que le partage d’informations n’est permis que dans le respect de l’article L. 6113-7 du Code de la santé publique (CSP).

3.1. Sur la légalité externe

Les juges du Palais Royal considèrent que :

  • le décret attaqué n’avait pas à être soumis à l’avis préalable du CNOM au regard de la compétence que lui conférait l’article L. 1112-1, III du CSP alors en vigueur. Pour mémoire, ce texte subordonnait à l’avis du Conseil de l’Ordre l’adoption de tout texte règlementaire relatif aux modalités de protection des informations détenues par les établissements de santé sur les patients ainsi qu’à l’accès à ces informations par les membres de l’Inspection générale des affaires sociales (IGAS), les médecins inspecteurs de santé publique des agences régionales de santé (ARS) et des médecins conseils de l’assurance maladie. Ayant néanmoins été soumis pour avis au CNOM, le projet de décret a ensuite été modifié par l’Administration centrale avant publication mais cette modification n’a pas fait l’objet d’une nouvelle saisine pour avis. Or la procédure d’avis n’étant pas prescrite par la loi, l’absence de nouvelle saisine n’affecte pas la légalité du texte attaqué ;
  • la publication tardive de l’avis de la CNIL, c’est-à-dire postérieurement à celle du décret au Journal officiel, n’entache pas le décret d’illégalité. En effet, la Haute juridiction considère que l’article 11, I, 4° et les articles 26 et 27 la loi informatique & libertés n’imposent pas dans ce cas de figure une saisine pour avis de la Commission.

3.2. Sur la légalité interne

Le Conseil d’Etat débute son raisonnement par le rappel du droit applicable :

  • l’article L. 6113-7 du CSP détermine les conditions dans lesquelles le droit du patient d’un établissement de santé au respect de sa vie privée et du secret des informations le concernant s’applique au DIM chargé de l’analyse de l’activité et de la facturation des soins dans le cadre du programme de médicalisation des systèmes d’information (PMSI) ;
  • le même texte prescrit que le médecin DIM est seul destinataire des données médicales nominatives nécessaires à l’analyse de l’activité et à la facturation que lui transmettent à cette fin les praticiens exerçant dans l’établissement. Ces données sont exclusivement : 1°) l’identité du patient et son lieu de résidence ; 2°) les modalités selon lesquelles les soins ont été dispensés, telles qu’hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ; 3°) l’environnement familial ou social du patient en tant qu’il influe sur les modalités du traitement de celui-ci ; 4°) les modes et dates d’entrée et de sortie ; 5°) les unités médicales ayant pris en charge le patient ; 6°) les pathologies et autres caractéristiques médicales de la personne soignée ; 7°) les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l’établissement ;
  • le même texte précise que les personnels placés sous l’autorité du médecin DIM ainsi que les commissaires aux comptes intervenant au titre de la mission légale de certification des comptes des établissements de santé peuvent contribuer au traitement de données médicales nominatives, dans des conditions qu’il incombe au pouvoir réglementaire de fixer sous le contrôle du juge ;
  • l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données ou RGPD) définit le  » traitement  » comme  » toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction «  ;
  • le même texte définit les données de santé comme étant  » les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne «  ;
  • l’article 9, 3° du RGPD n’autorise le traitement des données relatives à la santé nécessaire à la gestion des systèmes et services de soins de santé ou de protection sociale que par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité ou par une autre personne également soumise à une obligation de secret, en permettant aux Etats membres de maintenir ou d’introduire des conditions ou limitations supplémentaires ;
  • l’article 8, II, 6° de la loi informatique & libertés dispose qu’un traitement de données de santé doit être mis en oeuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel prévue par l’article 226-13 du code pénal ;
  • l’article 6 de cette même loi, dans sa rédaction alors applicable, prévoit en outre qu’un traitement ne peut porter que sur des données à caractère personnel à la fois adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles ont été collectées et de celles de leurs traitements ultérieurs ;
  • l’article L. 6145-16 du CSP prévoit que les comptes des établissements publics de santé définis par décret sont certifiés et que les modalités de certification, par un commissaire aux comptes ou par la Cour des comptes, sont fixées par voie réglementaire.

A l’égard des commissaires aux comptes, le Conseil d’Etat déduit que le législateur :

  • a entendu que les commissaires aux comptes puissent, lorsqu’ils interviennent au titre de leur mission légale de certification, accéder à des données personnelles de santé recueillies par le médecin DIM pour l’établissement au titre de l’analyse de l’activité ;
  • n’a, toutefois, pas entendu permettre que soient apportées au respect du secret médical des restrictions qui ne seraient pas nécessairement impliquées par leur mission légale de certification. Dès lors, incombe au ministre, lorsqu’il fixe les conditions dans lesquelles les commissaires aux comptes peuvent contribuer au traitement de ces données personnelles, de prévoir les garanties propres à assurer que l’accès à ces données n’excède pas celui qui est strictement nécessaire à l’exercice de cette mission.

Ceci étant, la Haute juridiction rappelle qu’aux termes l’article L. 823-9 du Code de commerce, les commissaires aux comptes doivent seulement, pour l’accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Elle constate, au vu des observations de caractère général qui avaient été présentées par le Haut Conseil du commissariat aux comptes sur le projet de décret, que l’accès à l’ensemble des données de santé issues du dossier médical des patients est nécessaire à l’accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

Le Conseil d’Etat considère que la mission légale des commissaires aux comptes peut être accomplie à partir de données ayant fait l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expert, au médecin DIM d’un autre établissement – la pseudonymisation des données, dont l’article 25 du RGPD prévoit la mise en oeuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, le décret attaqué est jugé illégal, s’agissant de l’intervention des commissaires aux comptes, en tant qu’il n’a pas prévu de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical.

Quant aux prestataires extérieurs, également concernés par le décret attaqué, la Haute juridiction rappelle qu’aux termes de l’article 28 du RGPD :

  • lorsqu’un traitement doit être effectué pour le compte du responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée ;
  • Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement ;
  • ce contrat ou cet autre acte juridique doit notamment prévoir que le sous-traitant : 1°) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ; 2°) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; 3°) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Pour les juges du Palais Royal, le législateur a entendu que les personnels placés sous l’autorité du médecin DIM puissent contribuer au traitement des données personnelles de santé recueillies par ce médecin au titre de l’analyse de l’activité et de la facturation, en dérogeant au respect du secret médical dans la seule mesure où l’exercice de leur mission l’impliquerait nécessairement. C’est pourquoi il incombe au pouvoir réglementaire, lorsqu’il fixe les conditions dans lesquelles ces prestataires peuvent contribuer au traitement de ces données personnelles, de prévoir les garanties propres à assurer que l’accès à ces données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi.

De la même manière que pour les commissaires aux comptes, le Conseil d’Etat dit pour droit que le décret attaqué est illégal en ce qu’il n’a pas prévu :

  • les mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes qui sont nécessaires au regard des finalités du traitement ;
  • les dispositions destinées à garantir qu’ils accomplissent effectivement ces activités sous l’autorité du médecin DIM quel qu’en soit le lieu.

En conclusion, le Conseil d’Etat énonce les principes suivants :

  • lors de l’accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l’analyse de l’activité, doivent être prises des mesures de protection techniques et organisationnelles propres à garantir l’absence de traitement de données identifiantes ;
  • lors de l’accès à ces données des prestataires extérieurs, d’une part il convient de mettre en oeuvre des mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement, d’autre part des dispositions doivent être prises pour garantir qu’ils accomplissent effectivement leurs activités sous l’autorité du médecin DIM.

Tirant les conséquences pratiques de ces principes au regard du décret illégal sur ces points, le Conseil d’Etat décide que, dans l’attente de la modification du décret et pour éviter une atteinte injustifiée au droit au respect du secret médical des patients :

– les commissaires aux comptes, s’ils n’ont pas recours au service d’un médecin expert, ne peuvent se faire remettre que des données pseudonymisées ;

  • les prestataires extérieurs doivent réaliser leurs prestations sous le contrôle du médecin DIM, ce dernier devant organiser et contrôler leur travail. Le médecin DIM doit donc connaître la composition des équipes, le lieu d’exercice de leur activité et le détail des prestations réalisées. Il doit de plus veiller à ce qu’ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.

4. L’intérêt de l’arrêt

Alors que la jurisprudence commence à s’approprier les dispositions du RGPD et de la loi informatique & libertés modifiée (voir notre commentaire de l’ordonnance du juge des référés du Conseil d’Etat du 26 juin 2020), cet arrêt présente – y compris à l’égard des organismes gestionnaires d’établissements et services sociaux et médico-sociaux (ESSMS) – un grand intérêt pratique pour les responsables de traitement et les responsables de la protection des données (DPO), intérêt alimenté par le raisonnement suivi par le Conseil d’Etat à propos de la légalité interne du décret en cause.

En effet, il détermine les modalités de protection des données de santé à l’égard des tiers à l’activité au titre de laquelle ces données sont collectées et traitées.

Le principe général, clairement affirmé ici, est que l’intervention de tiers à l’activité impose l’adoption de mesures de protection techniques et organisationnelles propres à garantir l’absence de traitement, par leurs soins, de données identifiantes. C’est pourquoi, préalablement à leur intervention, un retraitement des données doit être pratiqué sous la responsabilité du responsable du traitement ou du DPO, afin que toutes ces données soient remplacées par des données pseudonymisées.

Par ailleurs, s’agissant des interventions des sous-traitants intervenant dans les processus supports du système d’information, la règle est que le responsable du traitement – par délégation, le DPO – doit connaître précisément :

  • la composition de l’équipe de prestataires,
  • le lieu d’exercice de leur activité,
  • le détail des prestations réalisées et notamment l’inventaire exhaustif des données de santé traitées.

Le responsable du traitement ou le DPO doit de plus veiller à ce que les sous-traitants n’aient connaissance de données identifiantes que dans la stricte limite de ce qui est nécessaire à la délivrance de leurs prestations.

Il est dès lors opportun que les contrats conclus avec ces sous-traitants organisent les modalités du contrôle effectif de l’activité des sous-traitants, ce qui passe d’abord par la désignation nominative des professionnels extérieurs appelés à intervenir, aussi bien sur place que dans leurs locaux ou dans d’autres lieux.

Ces enseignements jurisprudentiels seront très utiles aux professionnels du secteur social et médico-social car il est juridiquement avéré que les données à caractère personnel concernant les usagers ont le statut de données de santé. En témoigne la liste d’activités soumises à AIPD dressée par la CNIL à partir des lignes directrices du Comité européen de protection des données (CEPD). Dans le secteur social et médico-social, sont ainsi considérées comme des données de santé :

  • les données de collectées et traitées par les ESSMS pour la prise en charge des personnes ;
  • les données à caractère personnel ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire (procédures de signalement d’acte de maltraitance, de déclaration d’EIG ou d’EIGS) ;
  • les données à caractère personnel ayant pour finalité l’accompagnement social ou médico-social des personnes.

A leur égard, il convient de rappeler que :

  • les données de santé sont des données à caractère sensible ;
  • leur traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques et doit donc donner lieu, en préalable, à une analyse d’impact relative à la protection des données (AIPD).

La prise en cause de ces éléments impose nécessairement l’actualisation des règlements de fonctionnement qui, faut-il le rappeler, doivent notamment décrire les modalités pratiques du respect des droits des personnes accueillies et accompagnées en matière de protection des informations qui les concernent.

Par ailleurs, il est important que les organismes gestionnaires informent leurs commissaires aux comptes des restrictions qui seront nécessairement apportées à leur diligences d’audit de certification des comptes annuels ; en particulier, l’accès :

  • aux factures nominatives émises pour la perception des prix de journée – à destination aussi bien du payeur que des personnes elles-mêmes dans certains cas ;
  • aux pièces comptables nominatives concernant, dans les foyers pour personnes adultes handicapées, les reversements de la contribution aux frais d’hébergement et d’entretien ;
  • aux pièces comptables nominatives concernant le paiement de la rémunération garantie aux travailleurs d’établissement et de service d’aide par le travail (ESAT) ;

ne leur est pas permise. Du coup, il faudra anticiper leurs diligences en procédant préalablement aux retraitements nécessaires pour aboutir à la mise à disposition de données pseudonymisées.

De même, la réalisation de tout audit – notamment les due diligences accomplies dans la perspective d’un mandat de gestion ou d’un transfert d’autorisation – et de toute évaluation externe est subordonnée au respect de ces conditions.

Enfin, dans la mesure où les travaux entrepris par SERAFIN-PH pourraient aboutir à la mise en oeuvre d’un dispositif analogue à celui du PMSI sanitaire, il conviendrait de veiller particulièrement à ce que le responsable du traitement ou le DPO s’acquitte de ses obligations dans des conditions analogues à celles qu’observerait le médecin DIM d’un établissement de santé pour faire le lien entre prestation et tarif.

CE, 1ère-4ème Ch. Réunies, 25 novembre 2020, Conseil national de l’Ordre des médecins, n° 428451