Le 9 mars dernier, le Conseil d’Etat enjoignait au Gouvernement de clarifier les conditions d’accès aux dossiers médicaux par les commissaires aux comptes (CAC) et prestataires externes aidant à l’optimisation du PMSI (CE, 9 mars 2023, n° 468007). Trois mois et demi plus tard, les éclaircissements ont été publiés au Journal Officiel. Cette rare célérité des pouvoirs publics – le décret initial avait été annulé le 25 novembre 2020 – s’explique possiblement par le fait qu’une astreinte avait également été prévue.
Le nouveau dispositif tend à sécuriser les établissements de santé. Il conserve cependant quelques lacunes.
Reprenant un peu l’idée du « médecin hébergeur », le texte impose aux CAC de recourir aux services d’un médecin pour pseudonymiser les données requises pour la certification, avant leur transmission sécurisée. Comme dans la précédente mouture du texte, l’utilisation de l’expression « consultation des données » ne peut donc qu’être regrettée. En effet, la lecture de l’article 4, 2) du RGPD distingue clairement cette action de l’extraction et de la transmission des données.
Une inspiration par rapport aux pratiques de la recherche se devine également au travers de la nécessité pour le médecin du CAC d’être « habilité » par le directeur d’hôpital et de l’interdiction de mentionner dans le rapport final des données à caractère personnel. Ici, c’est la carence à déterminer le statut du CAC au regard du RGPD, qui est à déplorer : responsable de traitement (conjoint) ou sous-traitant? Ce silence est d’autant plus étonnant que s’agissant des prestataires aidant à l’optimisation du PMSI, l’exécutif n’a pas hésité : ils sont sous-traitants. L’enjeu est de taille, pour les parties au contrat.