Dépêche de la CNIL
Pour approfondir
"La Présidente de la CNIL a
adopté le 25 septembre 2013 une mise en demeure à l’encontre du Centre
hospitalier de Saint-Malo. Elle fait suite à une procédure de contrôle
qui a été engagée les 5 et 6 juin 2013. Ce contrôle a révélé qu’un
prestataire a pu accéder, avec le concours de l’établissement, aux
dossiers médicaux de plusieurs centaines de patients, méconnaissant
ainsi le code de la santé publique et la loi Informatique et Libertés.
En vertu du code de
la santé publique, les établissements de santé publics et privés
doivent procéder à l'analyse de leur activité. Les actes pratiqués à
l'occasion de la prise en charge des malades sont ainsi " codés " selon
une nomenclature particulière, de sorte qu'à chaque acte corresponde un
code de remboursement par l'assurance maladie.
Afin d'analyser leur activité et de détecter
d'éventuelles anomalies de codage, certains établissements ont recours à
l'expertise de sociétés extérieures pour procéder à la vérification et à
la correction de ces opérations. En effet, la précision du codage
constitue un enjeu stratégique pour les établissements dans la mesure où
cela influe directement sur leur financement
En application des dispositions prévues au chapitre X de la loi Informatique et Libertés,
les traitements de données à caractère personnel à des fins
d'évaluation ou d'analyse des activités de soins et de prévention sont
soumis à l'autorisation de la CNIL. C'est ainsi que la CNIL a pu
autoriser des sociétés prestataires à procéder à de tels traitements.
Toutefois, de tels actes doivent s'opérer dans le
respect du secret médical et des droits des malades. Ainsi, et
conformément à la loi, la CNIL veille à ce que ces traitements ne
portent pas sur les données nominatives des malades.
A la suite d'informations dont elle a eu
connaissance, la CNIL a, au mois de juin 2013, effectué un contrôle au
Centre hospitalier de Saint-Malo. Ce contrôle a permis de relever que le
prestataire mandaté par l'hôpital a pu accéder, avec le concours de
l'établissement, aux dossiers médicaux de 950 patients (informatisés ou
en version papier), méconnaissant ainsi le code de la santé publique et
la loi Informatique et Libertés qui oblige les responsables de
traitements à préserver la sécurité des données et empêcher que des
tiers non autorisés puissent y avoir accès (article 34).
Ces manquements ont conduit la CNIL à mettre en
demeure le Centre hospitalier de Saint-Malo de veiller à ce que les
dossiers des malades ne puissent pas être accessibles par des
tiers, notamment par les prestataires choisis pour l'optimisation du
codage.
La CNIL a décidé de rendre publique cette mise en
demeure en raison de la sensibilité des données (à savoir des données de
santé), de la gravité des manquements constatés, du nombre de personnes
concernées et de la nécessité de prévenir le renouvellement de tels
manquements.
La CNIL rappelle que cette mise en demeure
n'est pas une sanction. En effet, aucune suite ne sera donnée à cette
procédure si le Centre hospitalier de Saint-Malo se conforme à la loi
dans le délai imparti. Dans ce cas, la clôture de la procédure fera
l'objet d'une même publicité.
Par ailleurs, outre des contrôles engagés sur le
même sujet au sein d'autres établissements hospitaliers, la CNIL a
appelé l'attention de la ministre de la santé et des fédérations
hospitalières sur ces pratiques. Elle a insisté sur la nécessité d'y
remédier sans délai, en tenant compte des contraintes économiques
auxquelles doivent faire face les établissements de santé."
