Communiqué du SNPHAR-E sur l’accès aux données médicales de sociétés externes aux hôpitaux

PARIS, 21 juin 2011 (APM) - La mise à disposition par les départements de
l'information médicale (DIM) de données de santé non anonymisées issues du
codage à des prestataires externes chargées d'un audit en vue d'optimiser le
codage suscite la polémique et l'inquiétude chez les médecins responsables
des DIM.

Le Syndicat national des praticiens hospitaliers anesthésistes réanimateurs
élargi (SNPHAR-E) a saisi l'Ordre des médecins et la Commission nationale de
l'informatique et des libertés (Cnil) du problème posé par l'accès à des
données médicales nominatives par des sociétés extérieures au processus de
soins, invoquant une possible violation du code de la santé publique.

Dans deux courriers mis en ligne sur son site internet reprenant une
problématique évoquée dans un communiqué du 7 juin, le SNPHAR-E explique aux
deux instances avoir été alerté par plusieurs médecins DIM "pris dans un
conflit avec leur administration, qui leur demande de fournir des données
non anonymisées issues du PMSI à des sociétés extérieures à l'établissement,
dans un but d'audit de codage", ou un accès complet au dossier du patient
afin d'optimiser le codage.

En l'absence de précisions dans la réglementation sur la confidentialité des
données et le secret médical sur ce type d'externalisation, le SNPHAR-E
réclame à l'Ordre des médecins de rendre un avis officiel sur la question.

Le SNPHAR-E sollicite la Cnil sur la même problématique, en faisant
indirectement allusion au centre hospitalier de Melun, qui a confié à un
prestataire externe les missions de son ancien DIM (cf dépêche APM
VGOEB003).

LES DONNES DE SANTE TRAITEES "COMME LE MENAGE OU LA RESTAURATION"

Dans son communiqué, le SNPHAR-E s'indignait de cette situation, se
demandant comment "les données médicales pouvaient être traitées comme le
ménage ou la restauration". Il s'inquiétait de l'essor de ce marché
suscitant l'apparition de "sociétés spécialisées dans le codage externalisé,
avec primes au rendement pour des employés qui n'ont rien à voir avec la
santé et ses principes".

Cette problématique concerne une grande partie des CHU ayant conclu des
contrats de performance avec l'Agence nationale de l'appui à la performance
des établissements de santé et médico-sociaux (Anap) prévoyant
l'optimisation du codage à travers des audits externes, a expliqué à l'APM
le DIM d'un CHU qui souhaite conserver l'anonymat.

Par ailleurs, plusieurs établissements auraient recours à des prestataires
externes pour effectuer un "rattrapage" du codage des séjours. Cela implique
pour le DIM une transmission du résumé de sortie standardisé (RSS) sans
autorisation de la Cnil.

La question aurait fait l'objet d'un vif débat lors de la dernière réunion
de la commission médicale d'établissement (CME) des Hospices civils de Lyon
(HCL), ajoute la même source.

"Depuis plusieurs années, nous sommes confrontés à des demandes de
l'administration de transmettre ces données à ces sociétés externes",
témoigne ce DIM. Il évoque la situation inconfortable des DIM, "coincés
entre notre rôle de garant de la confidentialité des données, et le reproche
qu'on pourrait nous faire de vouloir préserver notre pré carré et d'être
accusés de faire de l'obstruction pour refuser l'évaluation et l'audit".

Il estime qu'il n'est "pas facile" de s'opposer aux demandes de
l'administration et que les DIM sont soumis de ce point de vue à des
pressions très fortes. Or, le code de la santé publique et la
réglementation, qui prévoient la garantie de la confidentialité des données
au niveau de l'établissement, n'incluent pas dans l'équipe de soins
d'éventuels intervenants extérieurs, note-t-il.

LA CNIL CIRCONSPECTE

Sollicitée une première fois sur la demande d'une société d'audit en matière
d'analyse du codage de l'activité PMSI, la Cnil avait rappelé dans un avis
du 27 août 2010, dont APM a eu copie, que les établissements de santé
étaient tenus de procéder à l'analyse de leur activité dans le respect du
secret médical et des droits des malades.

La Cnil expliquait toutefois au médecin DIM qui l'avait saisie, que les
données traitées "sont couvertes par le secret professionnel". Elle lui
signifiait qu'il ne pouvait "pas les transmettre à des tiers non autorisés
dès lors qu'elles sont susceptibles d'identifier même indirectement un
patient (ce qui est notamment le cas avec les RSS)".

Si la possibilité de transmettre des données du PMSI indirectement
identifiantes existe, c'est "sous réserve notamment qu'elles ne comportent
ni le nom, ni le prénom du patient, ni son numéro de sécurité sociale". La
transmission peut intervenir après avis de la Cnil, qui tient compte de la
nécessité de recourir à ces informations ainsi que sa "pertinence au regard
de sa finalité déclarée".

Dans le cas d'espèce, la Cnil avait recommandé au médecin DIM de ne pas
transmettre à la société d'audit les données demandées faute d'autorisation,
et rappelé qu'en cas de transfert des données via internet, la communication
devait être chiffrée.

Joint le 9 juin par l'APM, le Dr Jacques Lucas, vice-président du Cnom,
estimait qu'il n'était "pas acceptable" pour un DIM de communiquer des
données non anonymisées issues du PMSI à des sociétés externes.

L'Ordre des médecins estime que seul le médecin DIM (statutairement ou
contractuellement) est garant de la confidentialité des données et du secret
médical, et que l'article L6113-7 du code de la santé publique ne "peut être
abusivement étendu" aux médecins de sociétés externes. Une analyse juridique
devrait être confiée au conseiller d'Etat du Cnom sur ce point.

vg/eh/APM polsan
redaction@apmnews.com