Base de jurisprudence

Analyse n° 428451
Conseil d'État

N° 428451
Mentionné aux tables du recueil Lebon

Lecture du mercredi 25 novembre 2020



26-03-10 : Droits civils et individuels- Libertés publiques et libertés de la personne- Secret de la vie privée-

Secret médical (art. L. 1110-4 du CSP) - Accès aux données du dossier médical des patients - 1) Accès des commissaires aux comptes - Méconnaissance, en tant que ne sont pas prévues des mesures techniques et organisationnelles propres à garantir le respect du secret médical - 2) Accès des prestataires extérieurs - Illégalité, en tant qu'il n'est pas assorti de garanties suffisantes pour assurer que l'accès n'excède pas celui strictement nécessaire à l'exercice de leur mission - 3) Conséquences de l'annulation.




Décret n° 2018-1254 du 26 décembre 2018 prévoyant l'accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et de prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l'identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l'établissement. 1) Il résulte de l'article L. 823-9 du code de commerce que les commissaires aux comptes doivent seulement, pour l'accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l'exercice écoulé ainsi que de leur situation financière et de leur patrimoine. Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l'article R. 625-3 du code de justice administrative, que l'accès à l'ensemble des données de santé, issues du dossier médical des patients, mentionnées à l'article R. 6113-1 du code de la santé publique (CSP), est nécessaire à l'accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l'établissement, depuis l'admission du patient jusqu'à la facturation. En revanche, il n'en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l'objet de mesures de protection techniques et organisationnelles adéquates, telles que - à défaut du recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement - la pseudonymisation des données, dont l'article 25 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) prévoit la mise en oeuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées. Par suite, si le décret attaqué a pu, sans méconnaître la portée de l'article L. 6113-7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d'une part, à prévoir qu'ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l'obligation de secret à laquelle ils sont soumis et, d'autre part, à limiter leur accès aux seules données "nécessaires (?) dans la stricte limite de ce qui est nécessaire à leurs missions", sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d'illégalité en tant qu'il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l'article L. 1110-4 du CSP. 2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 du CSP sont placés sous la responsabilité du médecin responsable de l'information médicale, qu'ils interviennent dans le cadre de leur contrat de sous-traitance, qu'ils sont soumis à l'obligation de secret, dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal, qu'ils peuvent accéder "aux seules données à caractère personnel nécessaires (?) dans la stricte limite de ce qui est nécessaire à leurs missions" et qu'ils ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement ces activités sous l'autorité du praticien responsable de l'information médicale, quel qu'en soit le lieu, le décret attaqué n'a pas prévu de garanties suffisantes pour assurer que l'accès aux données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi. 3) Dans l'attente que soit édictée la réglementation complémentaire qu'implique nécessairement l'exécution de l'annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d'une part, que les commissaires aux comptes, s'ils n'ont pas recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l'impose l'article L. 6113-7 du CSP, ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.





26-07-01-02-02 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Conditions de légalité du traitement- Données adéquates, pertinentes et non excessives-

Accès de prestataires extérieurs aux données du dossier médical des patients - Caractère excessif - Existence, en tant qu'il n'est pas assorti de garanties suffisantes pour assurer que l'accès n'excède pas celui strictement nécessaire à l'exercice de leur mission.




Décret n° 2018-1254 du 26 décembre 2018 prévoyant l'accès de prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l'identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l'établissement. En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 du code de la santé publique (CSP) sont placés sous la responsabilité du médecin responsable de l'information médicale, qu'ils interviennent dans le cadre de leur contrat de sous-traitance, qu'ils sont soumis à l'obligation de secret, dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal, qu'ils peuvent accéder "aux seules données à caractère personnel nécessaires (?) dans la stricte limite de ce qui est nécessaire à leurs missions" et qu'ils ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement ces activités sous l'autorité du praticien responsable de l'information médicale, quel qu'en soit le lieu, le décret attaqué n'a pas prévu de garanties suffisantes pour assurer que l'accès aux données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi.





54-06-07-005 : Procédure- Jugements- Exécution des jugements- Effets d'une annulation-

Annulation d'un décret prévoyant l'accès des commissaires aux comptes et de prestataires extérieurs aux données du dossier médical des patients, en tant qu'il ne prévoit pas des mesures propres à garantir le respect du secret médical et que l'accès n'excède pas celui strictement nécessaire à l'exercice de leur mission - Conséquences.




Annulation du décret n° 2018-1254 du 26 décembre 2018 prévoyant l'accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et de prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, en tant, s'agissant de l'accès des commissaires aux comptes, qu'il ne prévoit pas des mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical et, s'agissant de l'accès des prestataires extérieurs, qu'il n'est pas assorti garanties suffisantes pour assurer que l'accès n'excède pas celui strictement nécessaire à l'exercice de leur mission. Dans l'attente que soit édictée la réglementation complémentaire qu'implique nécessairement l'exécution de l'annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d'une part, que les commissaires aux comptes, s'ils n'ont pas recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l'impose l'article L. 6113-7 du code de la santé publique (CSP), ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.