Cette décision du Conseil d’Etat fait suite au recours intenté par le Conseil national de l’ordre des médecins (CNOM) en annulation pour excès de pouvoir du décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d'information médicale.
Pour mémoire, il est prévu par les textes que les commissaires aux comptes doivent seulement, dans le cadre de leur mission de certifications des comptes des établissements de santé, être en mesure de justifier de la sincérité et régularités des comptes annuels et rendre compte des opérations de l’exercice écoulé ainsi que de la situation financière et de leur patrimoine. Pour cela, l’accès à l’ensemble des données de santé des patients (d’un échantillon) est nécessaire pour l’accomplissement de cette mission. « En revanche, il n'en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l'objet de mesures de protection techniques et organisationnelles adéquates, telles que […] la pseudonymisation des données, […] et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées ».
Le Conseil d’Etat a ainsi considéré que ce décret qui autorise et encadre l'accès aux données médicales des patients pour les besoins de l'analyse de l'activité, de sa facturation et du contrôle de cette facturation, d'une part, par des prestataires extérieurs et, d'autre part, par des commissaires aux comptes est « entaché d'illégalité en tant qu'il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical ».
Il précise également que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel sont placés sous la responsabilité du médecin responsable de l'information médicale et peuvent accéder « aux seules données à caractère personnel nécessaires (...) dans la stricte limite de ce qui est nécessaire à leurs missions ». Ils sont soumis à l’obligation de secret médical. « Toutefois, il n'est pas prévu de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités de traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement ces activités sous l'autorité du praticien responsable de l'information médicale. Pour ce qui est des commissaires aux comptes, qui ont accès pour consultation uniquement et sans possibilité de création ou de modification, il s'agit bien de l'absence de mesures de protection techniques et organisationnelles garantissant l'absence de données identifiantes ».
Pour éviter une attaque injustifiée au droit au respect du secret médical des personnes après cette annulation et dans l’attente d’une réglementation complémentaire, le Conseil d’Etat prévoit que « les commissaires aux comptes, s'ils n'ont pas recours au service d'un médecin expert, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions ».