Code de la santé publique / Partie réglementaire / Sixième partie : Etablissements et services de santé / Livre Ier : Etablissements de santé / Titre Ier : Organisation des activités des établissements de santé / Chapitre III : Evaluation, accréditation et analyse de l'activité des établissements / Section 1 : Analyse de l'activité médicale / Sous-section 1 : Dispositions générales
Article R6113-5-2 du Code de la santé publique
Chronologie des versions de l'article
Entrée en vigueur le 24 juin 2023
Est créé par : Décret n°2023-498 du 22 juin 2023 - art. 1
I.-Les prestataires extérieurs qui assistent le médecin responsable de l'information médicale dans l'exercice de ses missions prévues à l'article R. 6113-4 ne peuvent accéder, sous la responsabilité et le contrôle de ce dernier, qu'aux seules données à caractère personnel mentionnées à l'article R. 6113-1 strictement nécessaires à l'exercice de leurs propres missions.
II.-Le contrat signé avec le directeur d'établissement dans les conditions prévues par l'article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 comporte en outre la liste des prestations concernées, le délai et les lieux d'exercice de leur réalisation, ainsi que la liste et la qualité des personnels autorisés à traiter les données à caractère personnel.
Le contrat est transmis au médecin responsable de l'information médicale avant tout accès aux données. Ce médecin peut demander au prestataire extérieur toute information utile quant aux conditions de réalisation des activités de traitement concernées.
III.-Le directeur d'établissement habilite individuellement et spécialement les personnels du prestataire extérieur autorisés à accéder aux données mentionnées au I.
Le médecin responsable de l'information médicale s'assure que les données auxquelles les personnels accèdent effectivement n'excèdent pas celles qui sont strictement nécessaires à l'exercice de leurs missions.
IV.-Les personnels du prestataire extérieur accèdent aux données mentionnées au I au sein du système d'information de l'établissement de santé.
Lorsque les caractéristiques de la prestation ne permettent pas de la réaliser au sein du système d'information de l'établissement, les données nécessaires à cette prestation peuvent, dans des conditions sécurisées, en être extraites et mises à disposition du prestataire extérieur.
V.-A l'issue des activités de traitement de données prévues par le contrat mentionné au II, le directeur d'établissement met fin à l'habilitation d'accès des personnels du prestataire extérieur.
Il en est de même, à tout moment, lorsque ces personnels méconnaissent les dispositions du présent article.