ECLI:FR:CECHR:2020:428451.20201125

Le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale (NOR : SSAH1832351D) est annulé en tant qu'il ne prévoit pas, lors de l'accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l'analyse de l'activité, de mesures de protection techniques et organisationnelles propres à garantir l'absence de traitement de données identifiantes et, lors de l'accès des prestataires extérieurs à ces données, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement et de dispositions destinées à garantir qu'ils accomplissent effectivement leurs activités sous l'autorité du praticien responsable de l'information médicale.
Cette annulation comporte les obligations suivantes :
Dans l'attente que soit édictée la réglementation complémentaire qu'implique nécessairement l'exécution de l'annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d'une part, que les commissaires aux comptes, s'ils n'ont pas recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l'impose l'article L. 6113-7 du code de la santé publique, ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.