Certains établissements publics de santé, identifiés par un décret n°2013-1239 du 23 décembre 2013, ont l’obligation de faire certifier leurs comptes chaque année par un commissaire aux comptes, en application de la loi n°2009-879 du 21 juillet 2009 et de l’article L.6145-16 du Code de la santé publique.

Au cours de l’exercice de ses missions, le commissaire aux comptes peut être amené à consulter des dossiers médicaux, et donc à accéder à des données à caractère personnel de patients. Le décret n°2018-1254 du 26 décembre 2018, pris en application de l’article 16 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, a notamment pour objet d’encadrer cet accès.

Le décret, applicable depuis le 29 décembre 2018, vient préciser l’application de l’article L.6113-7 du Code de la santé publique. Il dispose en son alinéa 6 que « […] les conditions dans lesquelles […] des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 peuvent contribuer au traitement de données, sont fixés par décret. »

L’encadrement de l’accès aux données par le commissaire aux comptes

Aux termes de l’article R.6113-5 du Code de la santé publique, le commissaire aux comptes :

  • Est soumis au secret, dans les conditions fixées aux articles 226-13 et 226-14 du Code pénal ;
  • Ne doit disposer que de la faculté de consulter les données à caractère personnel. Il ne doit pas pouvoir en créer ou en modifier ;
  • Ne peut accéder qu’aux données mentionnées à l’article R.6113-1 du Code de la santé publique, dans la stricte limite de ce qui est nécessaire à ses missions.

Ainsi, le commissaire aux comptes ne pourra accéder qu’à la synthèse, sous format numérique, des dossiers de patients. Cette synthèse ne peut contenir que les données suivantes :

  • L’identité du patient et son lieu de résidence, sauf si une personne peut être légalement admise dans l’établissement ou y recevoir des soins en gardant l’anonymat ;
  • Les modalités selon lesquelles les soins ont été dispensés, telles qu’hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ;
  • L’environnement familial ou social du patient si cela influe sur les modalités du traitement de celui-ci ;
  • Les modes d’entrée et de sortie, ainsi que leurs dates ;
  • Les unités médicales ayant pris en charge le patient ;
  • Les pathologies et autres caractéristiques médicales de la personne soignée ;
  • Les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l’établissement.

Le décret précise en outre que le commissaire aux comptes conserve les données pour la durée strictement nécessaire à la certification annuelle des comptes (article R. 6113-9-1 alinéa 2 du Code de la santé publique).

L’information des patients précisée

Le responsable d’un traitement est tenu d’une obligation d’information à l’égard des personnes concernées, aujourd’hui encadrée principalement par les articles 12 à 14 du Règlement général sur la protection des données (RGPD). Dans certaines hypothèses, la loi peut encadrer plus avant l’obligation d’information du responsable du traitement et en préciser les modalités.

C’est notamment le cas pour les établissements de santé, à qui l’article R.6113-7 du Code de la santé publique impose de communiquer des informations complémentaires. Le décret y ajoute une précision. Les patients doivent en effet être informés que les « données donnant lieu à facturation peuvent faire l’objet d’une consultation aléatoire de traçabilité par le commissaire aux comptes dans sa fonction de certificateur des comptes annuels de l’établissement ».

Il s’agit ici de les informer que le commissaire aux comptes est l’un des destinataires de leurs données à caractère personnel.

Quels réflexes pour les établissements de santé ?

A la suite de ce décret, les établissements de santé faisant certifier annuellement leurs comptes par un commissaire aux comptes doivent s’assurer de définir strictement les habilitations informatiques de ce dernier. Ainsi :

  • Il ne doit avoir accès qu’aux données à caractère personnel listées plus haut, dans la limite de ce qui est strictement nécessaire à l’exercice de sa mission ;
  • Ses accès ne doivent lui permettre que de consulter les données. En aucun cas il ne doit disposer d’un droit de création ou de modification des fichiers.

De plus, les établissements de santé concernés doivent penser à mettre à jour les mentions d’information à destination de leurs patients, afin de les informer que le commissaire aux comptes de l’établissement est susceptible de consulter leurs données dans le cadre de sa fonction.