Entrée en vigueur le 24 juin 2023
Modifié par : Décret n°2023-498 du 22 juin 2023 - art. 1
Lorsqu'un établissement de santé recourt à un prestataire extérieur mentionné au 4° du I de l'article R. 6113-5 pour la mise en œuvre des activités mentionnées au présent chapitre, ce prestataire ne peut conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui lui ont été confiées prévue par le contrat mentionné au I de l'article R. 6113-5-2. A l'issue de cette durée, le prestataire procède à l'effacement des données dans des conditions sécurisées et en apporte la preuve auprès du médecin responsable de l'information médicale.
Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition, par l'intermédiaire du médecin mentionné au I de l'article R. 6113-5-1, par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes. Le rapport de certification prévu à l'article R. 6145-61-5 ne comporte aucune donnée à caractère personnel traitée dans le cadre de cette mission.
Le décret précise qu'il est présenté par le médecin responsable du DIM (article R. 6113-4 CSP), mais sa rédaction repose sur le commissaire au compte, en vertu l'article L. 823-9, alinéa 1, du Code de commerce, « Les commissaires aux comptes certifient, […] pour l'exercice de leurs missions (article R. 6113-5 CSP). […] Plus particulièrement, « Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes. » (article R. 6113-9-1 CSP). […]
Lire la suite…Le décret précise qu'il est présenté par le médecin responsable du DIM (article R. 6113-4 CSP), mais sa rédaction repose sur le commissaire au compte, en vertu l'article L. 823-9, alinéa 1, du Code de commerce, « Les commissaires aux comptes certifient, […] pour l'exercice de leurs missions (article R. 6113-5 CSP). […] Plus particulièrement, « Le commissaire aux comptes dans le cadre de sa mission légale de certification des comptes des établissements de santé ne peut conserver les données mises à disposition par un établissement au-delà de la durée strictement nécessaire à la certification annuelle des comptes. » (article R. 6113-9-1 CSP). […]
Lire la suite…[…] ,,1) Il résulte de l'article L. 823-9 du code de commerce que les commissaires aux comptes doivent seulement, […] ,Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l'article R. 625-3 du code de justice administrative, que l'accès à l'ensemble des données de santé, issues du dossier médical des patients, mentionnées à l'article R. 6113-1 du code de la santé publique (CSP), […] Par suite, si le décret attaqué a pu, sans méconnaître la portée de l'article L. 6113-7 du CSP, […] Il précise également, par l'insertion dans le code d'un article R. 6113-9-1, […] par celle d'un article R. 6113-9-2, […]
Pour la certification des comptes, le traitement de données de santé est même expressément prévu par le Code de la Santé Publique. Surgit alors une question fondamentale : quel « rôle RGPD » attribuer aux certificateurs et auditeurs? La CNIL danoise aurait récemment considéré qu'un auditeur externe indépendant serait sous-traitant, au sens de l'article 28 RGPD (Datatilsynet, 14 novembre 2023, n° 2023-432-0022). […] Et la (récente) limitation de la durée de conservation des données par le CAC certificateur semble ainsi faire écho à l'article 28 du RGPD (Art. […] R6113-9-1 CSP). […]
Lire la suite…