Conseil d'État, 1ère - 4ème chambres réunies, 25/11/2020, 428451
Conseil d'État, 1ère - 4ème chambres réunies, 25/11/2020, 428451
Conseil d'État - 1ère - 4ème chambres réunies
- N° 428451
- ECLI:FR:CECHR:2020:428451.20201125
- Mentionné dans les tables du recueil Lebon
Lecture du
mercredi
25 novembre 2020
- Rapporteur
- M. Damien Pons
- Avocat(s)
- SCP MATUCHANSKY, POUPOT, VALDELIEVRE
Texte intégral
RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et un nouveau mémoire, enregistrés les 27 février et 24 avril 2019 et les 28 janvier et 9 septembre 2020 au secrétariat du contentieux du Conseil d'Etat, le Conseil national de l'ordre des médecins demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale ;
2°) de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de commerce ;
- le code pénal ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Damien Pons, maître des requêtes en service extraordinaire,
- les conclusions de Mme Marie Sirinelli, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Matuchansky, Poupot, Valdelièvre, avocat du Conseil national de l'ordre des médecins ;
Considérant ce qui suit :
1. Aux termes de l'article L. 6113-7 du code de la santé publique : " Les établissements de santé, publics ou privés, procèdent à l'analyse de leur activité. / Dans le respect du secret médical et des droits des malades, ils mettent en oeuvre des systèmes d'information qui tiennent compte notamment des pathologies et des modes de prise en charge en vue d'améliorer la connaissance et l'évaluation de l'activité et des coûts et de favoriser l'optimisation de l'offre de soins. / Les praticiens exerçant dans les établissements de santé publics et privés transmettent les données médicales nominatives nécessaires à l'analyse de l'activité et à la facturation de celle-ci au médecin responsable de l'information médicale pour l'établissement dans des conditions déterminées par voie réglementaire après consultation du Conseil national de l'ordre des médecins. / (...) Le praticien responsable de l'information médicale est un médecin désigné par le directeur d'un établissement public de santé ou l'organe délibérant d'un établissement de santé privé s'il existe, après avis de la commission médicale ou de la conférence médicale. Les conditions de cette désignation et les modes d'organisation de la fonction d'information médicale, en particulier les conditions dans lesquelles des personnels placés sous l'autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l'article L. 6145-16 peuvent contribuer au traitement de données, sont fixés par décret (...) ".
2. Pour l'application de ces dispositions, le décret du 26 décembre 2018 relatif aux départements d'information médicale autorise et encadre l'accès aux données médicales des patients pour les besoins de l'analyse de l'activité, de sa facturation et du contrôle de cette facturation, d'une part, par des prestataires extérieurs et, d'autre part, par des commissaires aux comptes. Le Conseil national de l'ordre des médecins demande l'annulation pour excès de pouvoir de ce décret.
Sur la légalité externe :
3. En premier lieu, ni le III de l'article L. 1112-1 du code de la santé publique, qui prévoit la consultation du Conseil national de l'ordre des médecins sur les dispositions réglementaires qui fixent des modalités selon lesquelles les personnes soignées ainsi que certains médecins ont accès aux informations détenues par les établissements de santé sur les personnes qu'ils accueillent, ni celles de l'article L. 6113-7 du même code, citées au point 1, n'imposaient la consultation du Conseil national sur le décret attaqué. La circonstance que ce décret comporterait des modifications apportées après que le Conseil eut rendu son avis sur le projet est par suite sans incidence sur sa légalité. Est également inopérant le moyen tiré de ce que le décret attaqué ne mentionne pas cette consultation dans ses visas.
4. En second lieu, si, aux termes du a) du 4° du I de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable à la date du décret attaqué, la Commission nationale de l'informatique et des libertés " est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données ", ce n'est que dans les cas prévus aux articles 26 et 27 de la loi et " lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission " que les mêmes dispositions imposent que cet avis soit publié avec le décret ou l'arrêté. Au surplus, quand la publication de l'avis de la Commission nationale de l'informatique et des libertés doit intervenir en même temps que celle du décret ou de l'arrêté, la méconnaissance de cette obligation ne peut en tout état de cause qu'être sans incidence sur la légalité de ce dernier. Par suite, le Conseil de l'ordre des médecins ne peut utilement soutenir que l'absence de publication de l'avis rendu par la Commission nationale de l'informatique et des libertés, dont la consultation ne s'imposait pas en l'espèce en vertu d'une disposition législative autre que celle de l'article 11 de la loi du 6 janvier 1978 citée ci-dessus, entacherait d'illégalité le décret attaqué.
Sur la légalité interne :
En ce qui concerne le cadre juridique applicable :
5. Il résulte des dispositions de l'article L. 6113-7 du code de la santé publique citées au point 1 que la mise en oeuvre, par les établissements de santé, des systèmes d'information pour l'analyse de leur activité doit s'effectuer dans le respect du secret médical et des droits des malades. En vertu du I de l'article L. 1110-4 de ce code : " Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d'exercice ou les activités sont régies par le présent code (...) a droit au respect de sa vie privée et du secret des informations la concernant. / Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes, et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé ". Les dispositions suivantes de ce même article précisent les conditions dans lesquelles les informations ainsi protégées peuvent être partagées entre professionnels d'une même équipe de soins ou échangées entre les professionnels mentionnés au I pour la prise en charge d'une même personne.
6. Il résulte par ailleurs des dispositions de l'article L. 6113-7 du code de la santé publique que le praticien responsable de l'information médicale est seul destinataire des données médicales nominatives nécessaires à l'analyse de l'activité et à la facturation que lui transmettent à cette fin les praticiens exerçant dans l'établissement. Ces données sont énumérées par l'article R. 6113-1 du code, qui dispose que : " Pour l'analyse de leur activité médicale, les établissements de santé, publics et privés, procèdent, dans les conditions fixées par la présente section, à la synthèse et au traitement informatique de données figurant dans le dossier médical mentionné à l'article L. 1112-1 qui sont recueillies, pour chaque patient, par le praticien responsable de la structure médicale ou médico-technique ou par le praticien ayant dispensé des soins au patient et qui sont transmises au médecin responsable de l'information médicale pour l'établissement, mentionné à l'article L. 6113-7. / Ces données ne peuvent concerner que : / 1° L'identité du patient et son lieu de résidence ; / 2° Les modalités selon lesquelles les soins ont été dispensés, telles qu'hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ; / 3° L'environnement familial ou social du patient en tant qu'il influe sur les modalités du traitement de celui-ci ; / 4° Les modes et dates d'entrée et de sortie ; / 5° Les unités médicales ayant pris en charge le patient ; / 6° Les pathologies et autres caractéristiques médicales de la personne soignée ; / 7° Les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l'établissement. / Les données mentionnées au 1° ne sont pas recueillies lorsqu'une personne peut légalement être admise dans un établissement de santé ou y recevoir des soins en gardant l'anonymat ".
7. Il résulte enfin des dispositions de L. 6113-7 du code de la santé publique que des personnels placés sous l'autorité du praticien responsable ainsi que des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes des établissements publics de santé peuvent contribuer au traitement de données médicales nominatives, dans des conditions qu'il incombe au pouvoir réglementaire de fixer sous le contrôle du juge. A cet égard, l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ou règlement général sur la protection des données, définit le " traitement " comme " toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction " et les " données concernant la santé" comme " les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ". Le 3 de l'article 9 de ce règlement n'autorise le traitement des données relatives à la santé nécessaire à la gestion des systèmes et services de soins de santé ou de protection sociale que par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité ou par une autre personne également soumise à une obligation de secret, en permettant aux Etats membres de maintenir ou d'introduire des conditions ou limitations supplémentaires. Le 6° du II de l'article 8 de la loi du 6 janvier 1978, dans sa rédaction applicable à la date du décret, impose qu'un tel traitement soit mis en oeuvre par un membre d'une profession de santé ou par une autre personne à laquelle s'impose, en raison de ses fonctions, l'obligation de secret professionnel prévue par l'article 226-13 du code pénal. L'article 6 de cette loi, dans sa rédaction alors applicable, prévoit en outre que : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (...) ".
En ce qui concerne les conditions fixées par le décret attaqué pour le traitement de données par des commissaires aux comptes ou par des prestataires extérieurs :
8. Le décret attaqué insère à l'article R. 6113-5 du code de la santé publique des dispositions prévoyant que : " Sont soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal : / (...) 3° Les commissaires aux comptes qui ont accès, pour consultation uniquement et sans possibilité de création ou de modification, à des données à caractère personnel mentionnées à l'article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l'article L. 6145-16 ; / 4° Les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l'information médicale au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 dans le cadre de leur contrat de sous-traitance " et que : " Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l'article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions ". Il rappelle que si le prestataire extérieur assure également l'hébergement des données de santé, il doit le faire dans le respect des conditions particulières à cette activité, prévues par l'article L. 1111-8 du même code. Il précise également, par l'insertion dans le code d'un article R. 6113-9-1, que les intéressés ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire à leur mission et, par celle d'un article R. 6113-9-2, que : " Les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservées pendant une durée de six mois glissants par l'établissement de santé ". Enfin, il prévoit, à l'article R. 6113-7 du code, que les personnes soignées dans l'établissement sont informées par le livret d'accueil ou un autre document écrit que les données les concernant sont transmises au médecin responsable de l'information médicale et aux personnes intervenant sous son autorité et peuvent, lorsqu'elles donnent lieu à facturation, " faire l'objet d'une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l'établissement ".
S'agissant des commissaires aux comptes :
9. L'article L. 6145-16 du code de la santé publique prévoit que : " Les comptes des établissements publics de santé définis par décret sont certifiés. / Les modalités de certification, par un commissaire aux comptes ou par la Cour des comptes, sont fixées par voie réglementaire ". Il résulte de ce qui a été dit aux points 5 à 7 que le législateur a entendu que les commissaires aux comptes puissent, lorsqu'ils interviennent au titre de cette mission légale de certification, accéder à des données personnelles de santé recueillies par le médecin responsable de l'information médicale pour l'établissement au titre de l'analyse de l'activité. Il n'a, toutefois, pas entendu permettre que soient apportées au respect du secret médical, rappelé par les dispositions citées ci-dessus de l'article L. 1110-4 du code de la santé publique, des restrictions qui ne seraient pas nécessairement impliquées par leur mission légale de certification. Il incombe dès lors au pouvoir réglementaire, lorsqu'il fixe les conditions dans lesquelles les commissaires aux comptes peuvent contribuer au traitement de ces données personnelles, de prévoir les garanties propres à assurer que l'accès à ces données n'excède pas celui qui est strictement nécessaire à l'exercice de cette mission.
10. Il résulte des dispositions de l'article L. 823-9 du code de commerce que les commissaires aux comptes doivent seulement, pour l'accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l'exercice écoulé ainsi que de leur situation financière et de leur patrimoine. Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes en application de l'article R. 625-3 du code de justice administrative, que l'accès à l'ensemble des données de santé, issues du dossier médical des patients, mentionnées à l'article R. 6113-1 du code de la santé publique cité au point 6, est nécessaire à l'accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l'établissement, depuis l'admission du patient jusqu'à la facturation. En revanche, il n'en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l'objet de mesures de protection techniques et organisationnelles adéquates, telles que - à défaut du recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement - la pseudonymisation des données, dont l'article 25 du règlement général sur la protection des données prévoit la mise en oeuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées. Par suite, si le décret attaqué a pu, sans méconnaître la portée de l'article L. 6113-7 du code de la santé publique, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d'une part, à prévoir qu'ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l'obligation de secret à laquelle ils sont soumis et, d'autre part, à limiter leur accès aux seules données " nécessaires (...) dans la stricte limite de ce qui est nécessaire à leurs missions ", sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d'illégalité en tant qu'il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par les dispositions citées ci-dessus de l'article L. 1110-4 du code de la santé publique.
S'agissant des prestataires extérieurs :
11. Aux termes de l'article 28 du règlement général sur la protection des données : " 1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. / (...) 3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant : / a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement (...) ; / b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; / (...) h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits (...) ".
12. Il résulte de ce qui a été dit aux points 5 à 7 que le législateur a entendu que les personnels placés sous l'autorité du praticien responsable de l'information médicale pour l'établissement puissent contribuer au traitement des données personnelles de santé recueillies par ce médecin au titre de l'analyse de l'activité et de la facturation, en dérogeant au respect du secret médical rappelé par les dispositions citées ci-dessus de l'article L. 1110-4 du code de la santé publique dans la seule mesure où l'exercice de la mission qui leur est reconnue par l'article L. 6113-7 du même code l'impliquerait nécessairement. Contrairement à ce que soutient le Conseil national de l'ordre des médecins, il ne résulte pas de ces dispositions qu'il aurait entendu exclure que ces personnels soient des prestataires extérieurs à l'établissement, ayant le cas échéant la qualité de sous-traitant au sens des dispositions citées au point précédent du règlement général sur la protection des données. Il incombe toutefois au pouvoir réglementaire, lorsqu'il fixe les conditions dans lesquelles ces prestataires peuvent contribuer au traitement de ces données personnelles, de prévoir les garanties propres à assurer que l'accès à ces données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi.
13. En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 du code de la santé publique sont placés sous la responsabilité du médecin responsable de l'information médicale, qu'ils interviennent dans le cadre de leur contrat de sous-traitance, qu'ils sont soumis à l'obligation de secret, dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal, qu'ils peuvent accéder " aux seules données à caractère personnel nécessaires (...) dans la stricte limite de ce qui est nécessaire à leurs missions " et qu'ils ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement ces activités sous l'autorité du praticien responsable de l'information médicale, quel qu'en soit le lieu, le décret attaqué n'a pas prévu de garanties suffisantes pour assurer que l'accès aux données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi.
14. Il résulte de tout ce qui précède que le Conseil national de l'ordre des médecins est seulement fondé à demander l'annulation du décret qu'il attaque en tant qu'il ne prévoit pas, lors de l'accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l'analyse de l'activité, de mesures de protection techniques et organisationnelles propres à garantir l'absence de traitement de données identifiantes et, lors de l'accès à ces données des prestataires extérieurs, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement leurs activités sous l'autorité du praticien responsable de l'information médicale.
15. Dans l'attente que soit édictée la réglementation complémentaire qu'implique nécessairement l'exécution de l'annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d'une part, que les commissaires aux comptes, s'ils n'ont pas recours au service d'un médecin expert dans les conditions citées au point 10, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l'impose l'article L. 6113-7 du code de la santé publique, ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.
Sur les frais de l'instance :
16. Il y a lieu, dans les circonstances de l'espèce, de mettre une somme de 2 000 euros à la charge de l'Etat au titre de l'article L. 761-1 du code de justice administrative pour les frais exposés par le Conseil national de l'ordre des médecins.
D E C I D E :
--------------
Article 1er : Le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale est annulé en tant qu'il ne prévoit pas, lors de l'accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l'analyse de l'activité, de mesures de protection techniques et organisationnelles propres à garantir l'absence de traitement de données identifiantes et, lors de l'accès des prestataires extérieurs à ces données, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement et de dispositions destinées à garantir qu'ils accomplissent effectivement leurs activités sous l'autorité du praticien responsable de l'information médicale. Cette annulation comporte les obligations énoncées au point 15 de la présente décision.
Article 2 : L'Etat versera une somme de 2 000 euros au Conseil national de l'ordre des médecins au titre de l'article L. 761-1 du code de justice administrative.
Article 3 : Le surplus des conclusions de la requête est rejeté.
Article 4 : La présente décision sera notifiée au Conseil national de l'ordre des médecins et au ministre des solidarités et de la santé.
Copie en sera adressée au Premier ministre et au Haut Conseil du commissariat aux comptes.
ECLI:FR:CECHR:2020:428451.20201125
Par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et un nouveau mémoire, enregistrés les 27 février et 24 avril 2019 et les 28 janvier et 9 septembre 2020 au secrétariat du contentieux du Conseil d'Etat, le Conseil national de l'ordre des médecins demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale ;
2°) de mettre à la charge de l'Etat la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de commerce ;
- le code pénal ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Damien Pons, maître des requêtes en service extraordinaire,
- les conclusions de Mme Marie Sirinelli, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Matuchansky, Poupot, Valdelièvre, avocat du Conseil national de l'ordre des médecins ;
Considérant ce qui suit :
1. Aux termes de l'article L. 6113-7 du code de la santé publique : " Les établissements de santé, publics ou privés, procèdent à l'analyse de leur activité. / Dans le respect du secret médical et des droits des malades, ils mettent en oeuvre des systèmes d'information qui tiennent compte notamment des pathologies et des modes de prise en charge en vue d'améliorer la connaissance et l'évaluation de l'activité et des coûts et de favoriser l'optimisation de l'offre de soins. / Les praticiens exerçant dans les établissements de santé publics et privés transmettent les données médicales nominatives nécessaires à l'analyse de l'activité et à la facturation de celle-ci au médecin responsable de l'information médicale pour l'établissement dans des conditions déterminées par voie réglementaire après consultation du Conseil national de l'ordre des médecins. / (...) Le praticien responsable de l'information médicale est un médecin désigné par le directeur d'un établissement public de santé ou l'organe délibérant d'un établissement de santé privé s'il existe, après avis de la commission médicale ou de la conférence médicale. Les conditions de cette désignation et les modes d'organisation de la fonction d'information médicale, en particulier les conditions dans lesquelles des personnels placés sous l'autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l'article L. 6145-16 peuvent contribuer au traitement de données, sont fixés par décret (...) ".
2. Pour l'application de ces dispositions, le décret du 26 décembre 2018 relatif aux départements d'information médicale autorise et encadre l'accès aux données médicales des patients pour les besoins de l'analyse de l'activité, de sa facturation et du contrôle de cette facturation, d'une part, par des prestataires extérieurs et, d'autre part, par des commissaires aux comptes. Le Conseil national de l'ordre des médecins demande l'annulation pour excès de pouvoir de ce décret.
Sur la légalité externe :
3. En premier lieu, ni le III de l'article L. 1112-1 du code de la santé publique, qui prévoit la consultation du Conseil national de l'ordre des médecins sur les dispositions réglementaires qui fixent des modalités selon lesquelles les personnes soignées ainsi que certains médecins ont accès aux informations détenues par les établissements de santé sur les personnes qu'ils accueillent, ni celles de l'article L. 6113-7 du même code, citées au point 1, n'imposaient la consultation du Conseil national sur le décret attaqué. La circonstance que ce décret comporterait des modifications apportées après que le Conseil eut rendu son avis sur le projet est par suite sans incidence sur sa légalité. Est également inopérant le moyen tiré de ce que le décret attaqué ne mentionne pas cette consultation dans ses visas.
4. En second lieu, si, aux termes du a) du 4° du I de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable à la date du décret attaqué, la Commission nationale de l'informatique et des libertés " est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données ", ce n'est que dans les cas prévus aux articles 26 et 27 de la loi et " lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission " que les mêmes dispositions imposent que cet avis soit publié avec le décret ou l'arrêté. Au surplus, quand la publication de l'avis de la Commission nationale de l'informatique et des libertés doit intervenir en même temps que celle du décret ou de l'arrêté, la méconnaissance de cette obligation ne peut en tout état de cause qu'être sans incidence sur la légalité de ce dernier. Par suite, le Conseil de l'ordre des médecins ne peut utilement soutenir que l'absence de publication de l'avis rendu par la Commission nationale de l'informatique et des libertés, dont la consultation ne s'imposait pas en l'espèce en vertu d'une disposition législative autre que celle de l'article 11 de la loi du 6 janvier 1978 citée ci-dessus, entacherait d'illégalité le décret attaqué.
Sur la légalité interne :
En ce qui concerne le cadre juridique applicable :
5. Il résulte des dispositions de l'article L. 6113-7 du code de la santé publique citées au point 1 que la mise en oeuvre, par les établissements de santé, des systèmes d'information pour l'analyse de leur activité doit s'effectuer dans le respect du secret médical et des droits des malades. En vertu du I de l'article L. 1110-4 de ce code : " Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d'exercice ou les activités sont régies par le présent code (...) a droit au respect de sa vie privée et du secret des informations la concernant. / Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes, et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé ". Les dispositions suivantes de ce même article précisent les conditions dans lesquelles les informations ainsi protégées peuvent être partagées entre professionnels d'une même équipe de soins ou échangées entre les professionnels mentionnés au I pour la prise en charge d'une même personne.
6. Il résulte par ailleurs des dispositions de l'article L. 6113-7 du code de la santé publique que le praticien responsable de l'information médicale est seul destinataire des données médicales nominatives nécessaires à l'analyse de l'activité et à la facturation que lui transmettent à cette fin les praticiens exerçant dans l'établissement. Ces données sont énumérées par l'article R. 6113-1 du code, qui dispose que : " Pour l'analyse de leur activité médicale, les établissements de santé, publics et privés, procèdent, dans les conditions fixées par la présente section, à la synthèse et au traitement informatique de données figurant dans le dossier médical mentionné à l'article L. 1112-1 qui sont recueillies, pour chaque patient, par le praticien responsable de la structure médicale ou médico-technique ou par le praticien ayant dispensé des soins au patient et qui sont transmises au médecin responsable de l'information médicale pour l'établissement, mentionné à l'article L. 6113-7. / Ces données ne peuvent concerner que : / 1° L'identité du patient et son lieu de résidence ; / 2° Les modalités selon lesquelles les soins ont été dispensés, telles qu'hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ; / 3° L'environnement familial ou social du patient en tant qu'il influe sur les modalités du traitement de celui-ci ; / 4° Les modes et dates d'entrée et de sortie ; / 5° Les unités médicales ayant pris en charge le patient ; / 6° Les pathologies et autres caractéristiques médicales de la personne soignée ; / 7° Les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l'établissement. / Les données mentionnées au 1° ne sont pas recueillies lorsqu'une personne peut légalement être admise dans un établissement de santé ou y recevoir des soins en gardant l'anonymat ".
7. Il résulte enfin des dispositions de L. 6113-7 du code de la santé publique que des personnels placés sous l'autorité du praticien responsable ainsi que des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes des établissements publics de santé peuvent contribuer au traitement de données médicales nominatives, dans des conditions qu'il incombe au pouvoir réglementaire de fixer sous le contrôle du juge. A cet égard, l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ou règlement général sur la protection des données, définit le " traitement " comme " toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction " et les " données concernant la santé" comme " les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ". Le 3 de l'article 9 de ce règlement n'autorise le traitement des données relatives à la santé nécessaire à la gestion des systèmes et services de soins de santé ou de protection sociale que par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité ou par une autre personne également soumise à une obligation de secret, en permettant aux Etats membres de maintenir ou d'introduire des conditions ou limitations supplémentaires. Le 6° du II de l'article 8 de la loi du 6 janvier 1978, dans sa rédaction applicable à la date du décret, impose qu'un tel traitement soit mis en oeuvre par un membre d'une profession de santé ou par une autre personne à laquelle s'impose, en raison de ses fonctions, l'obligation de secret professionnel prévue par l'article 226-13 du code pénal. L'article 6 de cette loi, dans sa rédaction alors applicable, prévoit en outre que : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (...) ".
En ce qui concerne les conditions fixées par le décret attaqué pour le traitement de données par des commissaires aux comptes ou par des prestataires extérieurs :
8. Le décret attaqué insère à l'article R. 6113-5 du code de la santé publique des dispositions prévoyant que : " Sont soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal : / (...) 3° Les commissaires aux comptes qui ont accès, pour consultation uniquement et sans possibilité de création ou de modification, à des données à caractère personnel mentionnées à l'article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l'article L. 6145-16 ; / 4° Les prestataires extérieurs qui contribuent sous la responsabilité du médecin responsable de l'information médicale au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 dans le cadre de leur contrat de sous-traitance " et que : " Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l'article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions ". Il rappelle que si le prestataire extérieur assure également l'hébergement des données de santé, il doit le faire dans le respect des conditions particulières à cette activité, prévues par l'article L. 1111-8 du même code. Il précise également, par l'insertion dans le code d'un article R. 6113-9-1, que les intéressés ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire à leur mission et, par celle d'un article R. 6113-9-2, que : " Les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservées pendant une durée de six mois glissants par l'établissement de santé ". Enfin, il prévoit, à l'article R. 6113-7 du code, que les personnes soignées dans l'établissement sont informées par le livret d'accueil ou un autre document écrit que les données les concernant sont transmises au médecin responsable de l'information médicale et aux personnes intervenant sous son autorité et peuvent, lorsqu'elles donnent lieu à facturation, " faire l'objet d'une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l'établissement ".
S'agissant des commissaires aux comptes :
9. L'article L. 6145-16 du code de la santé publique prévoit que : " Les comptes des établissements publics de santé définis par décret sont certifiés. / Les modalités de certification, par un commissaire aux comptes ou par la Cour des comptes, sont fixées par voie réglementaire ". Il résulte de ce qui a été dit aux points 5 à 7 que le législateur a entendu que les commissaires aux comptes puissent, lorsqu'ils interviennent au titre de cette mission légale de certification, accéder à des données personnelles de santé recueillies par le médecin responsable de l'information médicale pour l'établissement au titre de l'analyse de l'activité. Il n'a, toutefois, pas entendu permettre que soient apportées au respect du secret médical, rappelé par les dispositions citées ci-dessus de l'article L. 1110-4 du code de la santé publique, des restrictions qui ne seraient pas nécessairement impliquées par leur mission légale de certification. Il incombe dès lors au pouvoir réglementaire, lorsqu'il fixe les conditions dans lesquelles les commissaires aux comptes peuvent contribuer au traitement de ces données personnelles, de prévoir les garanties propres à assurer que l'accès à ces données n'excède pas celui qui est strictement nécessaire à l'exercice de cette mission.
10. Il résulte des dispositions de l'article L. 823-9 du code de commerce que les commissaires aux comptes doivent seulement, pour l'accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l'exercice écoulé ainsi que de leur situation financière et de leur patrimoine. Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes en application de l'article R. 625-3 du code de justice administrative, que l'accès à l'ensemble des données de santé, issues du dossier médical des patients, mentionnées à l'article R. 6113-1 du code de la santé publique cité au point 6, est nécessaire à l'accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l'établissement, depuis l'admission du patient jusqu'à la facturation. En revanche, il n'en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l'objet de mesures de protection techniques et organisationnelles adéquates, telles que - à défaut du recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement - la pseudonymisation des données, dont l'article 25 du règlement général sur la protection des données prévoit la mise en oeuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées. Par suite, si le décret attaqué a pu, sans méconnaître la portée de l'article L. 6113-7 du code de la santé publique, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d'une part, à prévoir qu'ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l'obligation de secret à laquelle ils sont soumis et, d'autre part, à limiter leur accès aux seules données " nécessaires (...) dans la stricte limite de ce qui est nécessaire à leurs missions ", sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d'illégalité en tant qu'il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par les dispositions citées ci-dessus de l'article L. 1110-4 du code de la santé publique.
S'agissant des prestataires extérieurs :
11. Aux termes de l'article 28 du règlement général sur la protection des données : " 1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. / (...) 3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant : / a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement (...) ; / b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; / (...) h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits (...) ".
12. Il résulte de ce qui a été dit aux points 5 à 7 que le législateur a entendu que les personnels placés sous l'autorité du praticien responsable de l'information médicale pour l'établissement puissent contribuer au traitement des données personnelles de santé recueillies par ce médecin au titre de l'analyse de l'activité et de la facturation, en dérogeant au respect du secret médical rappelé par les dispositions citées ci-dessus de l'article L. 1110-4 du code de la santé publique dans la seule mesure où l'exercice de la mission qui leur est reconnue par l'article L. 6113-7 du même code l'impliquerait nécessairement. Contrairement à ce que soutient le Conseil national de l'ordre des médecins, il ne résulte pas de ces dispositions qu'il aurait entendu exclure que ces personnels soient des prestataires extérieurs à l'établissement, ayant le cas échéant la qualité de sous-traitant au sens des dispositions citées au point précédent du règlement général sur la protection des données. Il incombe toutefois au pouvoir réglementaire, lorsqu'il fixe les conditions dans lesquelles ces prestataires peuvent contribuer au traitement de ces données personnelles, de prévoir les garanties propres à assurer que l'accès à ces données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi.
13. En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 du code de la santé publique sont placés sous la responsabilité du médecin responsable de l'information médicale, qu'ils interviennent dans le cadre de leur contrat de sous-traitance, qu'ils sont soumis à l'obligation de secret, dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal, qu'ils peuvent accéder " aux seules données à caractère personnel nécessaires (...) dans la stricte limite de ce qui est nécessaire à leurs missions " et qu'ils ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement ces activités sous l'autorité du praticien responsable de l'information médicale, quel qu'en soit le lieu, le décret attaqué n'a pas prévu de garanties suffisantes pour assurer que l'accès aux données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi.
14. Il résulte de tout ce qui précède que le Conseil national de l'ordre des médecins est seulement fondé à demander l'annulation du décret qu'il attaque en tant qu'il ne prévoit pas, lors de l'accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l'analyse de l'activité, de mesures de protection techniques et organisationnelles propres à garantir l'absence de traitement de données identifiantes et, lors de l'accès à ces données des prestataires extérieurs, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement leurs activités sous l'autorité du praticien responsable de l'information médicale.
15. Dans l'attente que soit édictée la réglementation complémentaire qu'implique nécessairement l'exécution de l'annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d'une part, que les commissaires aux comptes, s'ils n'ont pas recours au service d'un médecin expert dans les conditions citées au point 10, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l'impose l'article L. 6113-7 du code de la santé publique, ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.
Sur les frais de l'instance :
16. Il y a lieu, dans les circonstances de l'espèce, de mettre une somme de 2 000 euros à la charge de l'Etat au titre de l'article L. 761-1 du code de justice administrative pour les frais exposés par le Conseil national de l'ordre des médecins.
D E C I D E :
--------------
Article 1er : Le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale est annulé en tant qu'il ne prévoit pas, lors de l'accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l'analyse de l'activité, de mesures de protection techniques et organisationnelles propres à garantir l'absence de traitement de données identifiantes et, lors de l'accès des prestataires extérieurs à ces données, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement et de dispositions destinées à garantir qu'ils accomplissent effectivement leurs activités sous l'autorité du praticien responsable de l'information médicale. Cette annulation comporte les obligations énoncées au point 15 de la présente décision.
Article 2 : L'Etat versera une somme de 2 000 euros au Conseil national de l'ordre des médecins au titre de l'article L. 761-1 du code de justice administrative.
Article 3 : Le surplus des conclusions de la requête est rejeté.
Article 4 : La présente décision sera notifiée au Conseil national de l'ordre des médecins et au ministre des solidarités et de la santé.
Copie en sera adressée au Premier ministre et au Haut Conseil du commissariat aux comptes.