Décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale

Dernière mise à jour des données de ce texte : 29 décembre 2018

NOR : SSAH1832351D

JORF n°0300 du 28 décembre 2018

ChronoLégi
Version en vigueur au 16 mai 2021

Par décision n°428451 du 25 novembre 2020 du Conseil d’Etat statuant au contentieux ECLI:FR:CECHR:2020:428451.20201125, le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale (NOR : SSAH1832351D) est annulé en tant qu’il ne prévoit pas, lors de l’accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l’analyse de l’activité, de mesures de protection techniques et organisationnelles propres à garantir l’absence de traitement de données identifiantes et, lors de l’accès des prestataires extérieurs à ces données, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement et de dispositions destinées à garantir qu’ils accomplissent effectivement leurs activités sous l’autorité du praticien responsable de l’information médicale. Cette annulation comporte les obligations suivantes : Dans l’attente que soit édictée la réglementation complémentaire qu’implique nécessairement l’exécution de l’annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d’une part, que les commissaires aux comptes, s’ils n’ont pas recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement, ne se voient remettre que des données pseudonymisées et, d’autre part, que chaque établissement de santé s’assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l’information médicale de chaque établissement de santé soit en mesure d’organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l’impose l’article L. 6113-7 du code de la santé publique, ce qui implique que soient connus la composition des équipes, le lieu d’exercice de l’activité et le détail des prestations réalisées, et qu’il puisse veiller à ce qu’ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.


Le Premier ministre,
Sur le rapport de la ministre des solidarités et de la santé,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment ses articles L. 6113-7, L. 6113-14 et L. 6145-16 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 13 décembre 2018 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


Fait le 26 décembre 2018.


Edouard Philippe
Par le Premier ministre :


La ministre des solidarités et de la santé,
Agnès Buzyn

Par décision n°428451 du 25 novembre 2020 du Conseil d’Etat statuant au contentieux ECLI:FR:CECHR:2020:428451.20201125, le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale (NOR : SSAH1832351D) est annulé en tant qu’il ne prévoit pas, lors de l’accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l’analyse de l’activité, de mesures de protection techniques et organisationnelles propres à garantir l’absence de traitement de données identifiantes et, lors de l’accès des prestataires extérieurs à ces données, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement et de dispositions destinées à garantir qu’ils accomplissent effectivement leurs activités sous l’autorité du praticien responsable de l’information médicale. Cette annulation comporte les obligations suivantes : Dans l’attente que soit édictée la réglementation complémentaire qu’implique nécessairement l’exécution de l’annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d’une part, que les commissaires aux comptes, s’ils n’ont pas recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement, ne se voient remettre que des données pseudonymisées et, d’autre part, que chaque établissement de santé s’assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l’information médicale de chaque établissement de santé soit en mesure d’organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l’impose l’article L. 6113-7 du code de la santé publique, ce qui implique que soient connus la composition des équipes, le lieu d’exercice de l’activité et le détail des prestations réalisées, et qu’il puisse veiller à ce qu’ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.

Retourner en haut de la page