Pour l'analyse de leur activité médicale, les établissements de santé, publics et privés, procèdent, dans les conditions fixées par la présente section, à la synthèse et au traitement informatique de données figurant dans le dossier médical mentionné à l'article L. 1112-1 qui sont recueillies, pour chaque patient, par le praticien responsable de la structure médicale ou médico-technique ou par le praticien ayant dispensé des soins au patient et qui sont transmises au médecin responsable de l'information médicale pour l'établissement, mentionné à l'article L. 6113-7.

Ces données ne peuvent concerner que :

1° L'identité du patient et son lieu de résidence ;

2° Les modalités selon lesquelles les soins ont été dispensés, telles qu'hospitalisation avec ou sans hébergement, hospitalisation à temps partiel, hospitalisation à domicile, consultation externe ;

3° L'environnement familial ou social du patient en tant qu'il influe sur les modalités du traitement de celui-ci ;

4° Les modes et dates d'entrée et de sortie ;

5° Les unités médicales ayant pris en charge le patient ;

6° Les pathologies et autres caractéristiques médicales de la personne soignée ;

7° Les actes de diagnostic et de soins réalisés au profit du patient au cours de son séjour dans l'établissement.

Les données mentionnées au 1° ne sont pas recueillies lorsqu'une personne peut légalement être admise dans un établissement de santé ou y recevoir des soins en gardant l'anonymat.

Des arrêtés des ministres chargés de la santé et de la sécurité sociale, déterminent, en fonction de la catégorie de l'établissement dans lequel les soins sont dispensés et de la nature de ces soins tels qu'ils sont définis à l'article L. 6111-2 :

1° Les données dont le recueil et le traitement ont un caractère obligatoire ;

2° Les nomenclatures et classifications à adopter ;

3° Les modalités et la durée minimale de conservation des fichiers.

Le praticien responsable d'une structure médicale ou médico-technique ou le praticien ayant dispensé les soins est garant, pour ce qui le concerne, de l'exhaustivité et de la qualité des informations qu'il transmet pour traitement au médecin responsable de l'information médicale dans l'établissement ou, pour les établissements parties à un groupement hospitalier de territoire, dans l'établissement support.

Le médecin responsable de l'information médicale contribue à l'élaboration et à la mise en œuvre du plan d'assurance qualité des recettes, destiné à garantir l'exhaustivité et la qualité des données transmises et à fiabiliser les recettes de l'établissement. Le plan d'assurance qualité des recettes est présenté chaque année à la conférence ou la commission médicale d'établissement pour information.

Ce médecin conseille les praticiens pour la production des informations. Il veille à la qualité des données qu'il confronte, en tant que de besoin, avec les dossiers médicaux et les fichiers administratifs.

Les praticiens de l'établissement ont un droit d'accès et de rectification quant aux informations relatives aux soins qu'ils ont dispensés ou qui ont été dispensés dans une structure médicale ou médico-technique dont ils ont la responsabilité. Ils sont régulièrement destinataires des résultats des traitements de ces informations.

Les médecins chargés de la collecte des données médicales nominatives ou du traitement des fichiers comportant de telles données sont soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal.

Sont également soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal :

1° Les personnes de l'établissement de santé ou de l'établissement support du groupement hospitalier de territoire qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 sous l'autorité du médecin responsable de l'information médicale ;

2° Les personnes intervenant sur le matériel et les logiciels utilisés pour le traitement des données à caractère personnel mentionnées à l'article R. 6113-1 ;

3° Les commissaires aux comptes qui reçoivent communication, par l'intermédiaire d'un médecin agissant sous leur responsabilité à titre d'expert, de données à caractère personnel mentionnées à l'article R. 6113-1, dans le cadre de leur mission légale de certification des comptes des établissements de santé mentionnée à l'article L. 6145-16 et dans les conditions prévues à l'article R. 6113-5-1 ;

4° Les prestataires extérieurs qui contribuent, sous la responsabilité et le contrôle du médecin responsable de l'information médicale de l'établissement de santé, au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 dans le cadre de leur contrat de sous-traitance et ont accès à cet effet, dans les conditions prévues à l'article R. 6113-5-2, à ces données.

Les commissaires aux comptes et les prestataires extérieurs mentionnés aux deux alinéas précédents peuvent accéder aux seules données à caractère personnel nécessaires mentionnées à l'article R. 6113-1 dans la stricte limite de ce qui est nécessaire à leurs missions.

I.-Le commissaire aux comptes ne reçoit communication, par l'intermédiaire d'un médecin agissant sous sa responsabilité à titre d'expert, que des seules données à caractère personnel mentionnées à l'article R. 6113-1 qui sont nécessaires à la vérification, par sondage sur la base d'échantillons pertinents de dossiers, de la fiabilité et de la traçabilité des données utilisées pour le calcul des recettes de l'établissement.

II.-Le médecin mentionné au I à qui le commissaire aux comptes fait appel doit :

1° Exercer ou avoir exercé des fonctions au sein d'un service chargé de l'information médicale dans un autre établissement ;

2° Présenter toutes les garanties de compétence, d'indépendance et d'impartialité requises pour l'exercice des missions qui lui sont confiées par le présent article.

Les indemnités dues et les modalités de réalisation de sa mission sont fixées par convention avec le commissaire aux comptes.

III.-Préalablement à toute communication de données, le commissaire aux comptes définit :

1° Le périmètre et les objectifs de la mission de certification justifiant la communication de données à caractère personnel mentionnées à l'article R. 6113-1 ;

2° Le délai de la réalisation de cette mission ;

3° Les catégories de données nécessaires à son accomplissement.

IV.-Après que le médecin mentionné au I a vérifié que les catégories de données dont la communication est demandée n'excèdent pas le champ de celles qui sont strictement nécessaires à l'exercice de la mission de certification, le commissaire aux comptes notifie au directeur d'établissement les éléments mentionnés au III.

V.-Le directeur d'établissement habilite individuellement et spécialement le médecin mentionné au I à accéder aux données mentionnées au 3° du III.

Le directeur d'établissement peut saisir le médecin mentionné au I, à tout moment, de toute demande d'information relative aux données sollicitées.

VI.-Seul le médecin mentionné au I peut accéder directement aux données traitées par l'établissement de santé, pour consultation uniquement et sans possibilité de création ou de modification.

Avant de mettre à disposition du commissaire aux comptes les données nécessaires à l'exercice de sa mission, le médecin mentionné au I procède à leur pseudonymisation en supprimant en particulier les données mentionnées au 1° de l'article R. 6113-1 relatives aux personnes concernées et les communique au commissaire aux comptes dans des conditions sécurisées.

La communication de toute donnée complémentaire est réalisée dans les mêmes conditions.

VII.-A l'issue de la mission de certification, le directeur d'établissement met fin à l'habilitation d'accès du médecin mentionné au I. Ce dernier efface, dans des conditions sécurisées, toute donnée transmise au commissaire aux comptes dans le cadre de sa mission.

I.-Les prestataires extérieurs qui assistent le médecin responsable de l'information médicale dans l'exercice de ses missions prévues à l'article R. 6113-4 ne peuvent accéder, sous la responsabilité et le contrôle de ce dernier, qu'aux seules données à caractère personnel mentionnées à l'article R. 6113-1 strictement nécessaires à l'exercice de leurs propres missions.

II.-Le contrat signé avec le directeur d'établissement dans les conditions prévues par l'article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 comporte en outre la liste des prestations concernées, le délai et les lieux d'exercice de leur réalisation, ainsi que la liste et la qualité des personnels autorisés à traiter les données à caractère personnel.

Le contrat est transmis au médecin responsable de l'information médicale avant tout accès aux données. Ce médecin peut demander au prestataire extérieur toute information utile quant aux conditions de réalisation des activités de traitement concernées.

III.-Le directeur d'établissement habilite individuellement et spécialement les personnels du prestataire extérieur autorisés à accéder aux données mentionnées au I.

Le médecin responsable de l'information médicale s'assure que les données auxquelles les personnels accèdent effectivement n'excèdent pas celles qui sont strictement nécessaires à l'exercice de leurs missions.

IV.-Les personnels du prestataire extérieur accèdent aux données mentionnées au I au sein du système d'information de l'établissement de santé.

Lorsque les caractéristiques de la prestation ne permettent pas de la réaliser au sein du système d'information de l'établissement, les données nécessaires à cette prestation peuvent, dans des conditions sécurisées, en être extraites et mises à disposition du prestataire extérieur.

V.-A l'issue des activités de traitement de données prévues par le contrat mentionné au II, le directeur d'établissement met fin à l'habilitation d'accès des personnels du prestataire extérieur.

Il en est de même, à tout moment, lorsque ces personnels méconnaissent les dispositions du présent article.

Après avis selon le cas de la commission médicale d'établissement, ou, pour les établissements parties à un groupement hospitalier de territoire, du collège médical ou de la commission médicale de groupement, ou de la conférence médicale, le représentant de l'établissement ou le représentant de l'établissement support pour les établissements partie à un groupement hospitalier de territoire prend toutes dispositions utiles, en liaison avec le président de ces instances et le médecin responsable de l'information médicale, afin de préserver la confidentialité des données médicales nominatives. Ces dispositions concernent notamment l'étendue, les modalités d'attribution et de contrôle des autorisations d'accès ainsi que l'enregistrement des accès.

Les personnes soignées dans l'établissement sont informées par le livret d'accueil ou un autre document écrit :

1° Que des données les concernant font l'objet d'un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

2° Que ces données sont transmises au médecin responsable de l'information médicale et aux personnes intervenant sous son autorité ou son contrôle dans l'établissement et sont protégées par le secret médical ; et que ces mêmes données donnant lieu à facturation peuvent faire l'objet d'une consultation aléatoire de traçabilité par le commissaire aux comptes, par l'intermédiaire du médecin mentionné au I de l'article R. 6113-5-1 et après pseudonymisation dans sa fonction de certificateur des comptes annuels de l'établissement ;

3° Qu'elles peuvent exercer leurs droits d'accès, de rectification, d'effacement, de limitation et d'opposition respectivement prévus par les articles 49,50,51,53 et 56 de la loi n° 78-17 du6 janvier 1978 précitée et que ces droits s'exercent, le cas échéant, auprès du médecin responsable de l'information médicale dans l'établissement, directement ou par l'intermédiaire du praticien responsable de la structure médicale dans laquelle ils ont reçu les soins ou du praticien ayant constitué leur dossier.

Le médecin responsable de l'information médicale transmet à la commission ou à la conférence médicale et au représentant de l'établissement les informations nécessaires à l'analyse de l'activité, tant en ce qui concerne l'établissement dans son ensemble que chacune des structures médicales ou ce qui en tient lieu. Au sein d'un groupement hospitalier de territoire, le médecin responsable du département d'information médicale de territoire transmet à la commission de l'établissement concerné, au collège médical ou à la commission médicale de groupement, ainsi qu'au représentant de l'établissement concerné et au représentant de l'établissement support du groupement, les informations nécessaires à l'analyse de l'activité, relative à l'établissement concerné et à l'ensemble des établissements parties au groupement. Ces informations sont transmises systématiquement ou à la demande. Elles consistent en statistiques agrégées ou en données par patient, constituées de telle sorte que les personnes soignées ne puissent être identifiées.

Dans le cas où une activité de soins est exploitée en commun par un groupement de coopération sanitaire dans les conditions prévues au 4° de l'article L. 6133-1, le médecin responsable de l'information médicale transmet également les informations nécessaires à l'analyse de cette activité à l'administrateur du groupement.

Les instances compétentes de l'établissement définissent, après avis de la commission ou de la conférence médicale, les modalités de mise en oeuvre du recueil, du traitement, de la validation et de la transmission interne des données médicales définies au 1° de l'article R. 6113-2 ou recueillies à l'initiative de l'établissement, et notamment les obligations des praticiens concernés quant à la transmission et au contrôle de la qualité des données ainsi que leur droit au retour d'informations.

Lorsqu'un établissement de santé recourt à un prestataire extérieur mentionné au 4° du I de l'article R. 6113-5 pour la mise en œuvre des activités mentionnées au présent chapitre, ce prestataire ne peut conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui lui ont été confiées prévue par le contrat mentionné au I de l'article R. 6113-5-2. A l'issue de cette durée, le prestataire procède à l'effacement des données dans des conditions sécurisées et en apporte la preuve auprès du médecin responsable de l'information médicale.

Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition, par l'intermédiaire du médecin mentionné au I de l'article R. 6113-5-1, par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes. Le rapport de certification prévu à l'article R. 6145-61-5 ne comporte aucune donnée à caractère personnel traitée dans le cadre de cette mission.

Les traces de tout accès, consultation, création et modification de données relatives aux patients sont conservées pendant une durée de six mois glissants par l'établissement de santé.

Les traces des actions réalisées par les prestataires mentionnés au 4° du I de l'article R. 6113-5, et notamment la date, l'heure, et l'identification du personnel concerné, sont mises à disposition du médecin responsable de l'information médicale, aux fins du contrôle mentionné à l'article R. 6113-5-2. Ces traces font l'objet d'une exploitation régulière aux fins d'identifier les irrégularités d'accès ou d'utilisation des données.

Sur la base et dans la limite des données fournies par les praticiens et transmises par le médecin responsable de l'information médicale dans les conditions fixées à l'article R. 6113-8, le représentant de l'établissement ou, pour les activités de soins exploitées en commun par un groupement de coopération sanitaire autorisé à facturer les soins dans les conditions fixées à l'article R. 6133-14, l'administrateur du groupement adresse aux services centraux ou déconcentrés des ministères de la santé et de la sécurité sociale et aux organismes d'assurance-maladie ainsi qu'aux agences régionales de santé des statistiques de caractère non nominatif, sous une forme et selon des modalités qui sont fixées par arrêté des ministres chargés de la santé et de la sécurité sociale pris après avis de la commission des systèmes d'information des établissements de santé.

La commission ou la conférence médicale reçoit préalablement communication de ces statistiques.

Chaque établissement de santé a accès, sur la demande de son représentant, aux informations le concernant, issues des données qu'il a transmises en application de l'article R. 6113-10, qui sont détenues par les services centraux ou déconcentrés des ministères de la santé et de la sécurité sociale et par les organismes d'assurance-maladie et les agences régionales de santé.

Le département de l'information médicale de territoire procède à l'analyse de l'activité de tous les établissements parties au groupement hospitalier de territoire.

I.-Le médecin responsable du département de l'information médicale de territoire est désigné par le directeur de l'établissement support sur proposition du président du collège médical ou de la commission médicale de groupement.

II.-Le médecin responsable du département de l'information médicale du territoire a autorité fonctionnelle sur les personnels du département d'information médicale.

III.-Le médecin responsable du département de l'information médicale de territoire coordonne les relations entre le département de l'information médicale de territoire et les instances médicales de chacun des établissements parties au groupement.

Un médecin référent du département de l'information médicale de territoire assiste à la commission médicale des établissements parties au groupement.

Le médecin responsable du département d'information médicale de territoire rend compte, au moins une fois par an, de l'activité des établissements parties au comité stratégique du groupement hospitalier de territoire.

Le médecin responsable du département d'information médicale de territoire assure les missions suivantes :

1° Préparer les décisions des instances compétentes des établissements parties, mentionnées à l'article R. 6113-9, afin d'assurer l'exhaustivité et la qualité des données transmises, au travers d'un plan d'action présenté devant le comité stratégique du groupement hospitalier de territoire ;

2° Participer à l'analyse médico-économique de ces données, en vue de permettre leur utilisation dans le cadre de l'élaboration et de la mise en œuvre du projet d'établissement des établissements parties et du projet médical partagé, ainsi que des missions définies à l'article R. 6113-8 ;

3° Contribuer à la mise en œuvre des dispositions relatives à la protection des données médicales nominatives des patients, dans les conditions définies à l'article R. 6113-6 ;

4° Contribuer aux travaux de recherche clinique, épidémiologique, informatique de santé et médico-économique des établissements parties au groupement hospitalier de territoire.

Les dispositions des articles R. 6113-2, R. 6113-4 et R. 6113-7 sont applicables aux hôpitaux des armées.

Pour l'application des dispositions des articles R. 6113-1, R. 6113-9-1 et R. 6113-11, les hôpitaux des armées sont regardés comme des établissements de santé.

Pour l'application des dispositions des articles R. 6113-4, R. 6113-6, R. 6113-8 et R. 6113-11-1, les hôpitaux des armées associés à un groupement hospitalier de territoire sont regardés comme des établissements parties à ce groupement hospitalier de territoire lorsque la convention constitutive le prévoit.

Pour l'application des dispositions des articles R. 6113-1, R. 6113-4 et R. 6113-10, les médecins désignés par le ministre de la défense assurent les missions exercées par le médecin responsable de l'information médicale dans l'établissement et par le représentant de l'établissement mentionné à l'article R. 6113-10.

Les dispositions des articles R. 6113-5, R. 6113-5-1 et R. 6113-5-2 sont applicables aux hôpitaux des armées sous réserve des dispositions suivantes :

1° Pour l'application de l'article R. 6113-5-1 :

a) Le médecin mentionné au I de cet article est habilité par le ministre de la défense ;

b) Sous réserve de l'adaptation prévue au a, le médecin-chef de l'hôpital des armées exerce les attributions du directeur de l'établissement ;

2° Pour l'application de l'article R. 6113-5-2, les personnels du prestataire extérieur sont habilités par le ministre de la défense et le contrat mentionné au II est signé par le ministre de la défense.

Le service de santé des armées prend toutes dispositions utiles afin de préserver la confidentialité des données médicales nominatives, relatives notamment à l'étendue, aux modalités d'attribution et de contrôle des autorisations d'accès ainsi qu'à l'enregistrement des accès.