Article R6113-5-2 of the French Public Health Code

November 1, 2023
9:04 am

I.- External service providers who assist the doctor responsible for medical information in the performance of his duties under article R. 6113-4 may only access, under the latter’s responsibility and control, the personal data mentioned in article R. 6113-1 that is strictly necessary for the performance of their own duties.

II.-The contract signed with the director of the establishment under the conditions provided for in Article 28 of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 shall also include the list of services concerned, the timeframe and the places where they are to be carried out, as well as the list and status of the staff authorised to process personal data.

The contract shall be sent to the doctor responsible for medical information prior to any access to the data. This doctor may ask the external service provider for any useful information regarding the conditions under which the processing activities concerned are carried out.

III.-The director of the establishment shall individually and specifically authorise the staff of the external service provider authorised to access the data referred to in I.

The doctor responsible for medical information shall ensure that the data to which the staff actually have access does not exceed that which is strictly necessary for the performance of their duties.

IV.-The staff of the external service provider have access to the data mentioned in I within the health care organisation’s information system.

When the characteristics of the service do not allow it to be carried out within the health care organisation’s information system, the data required for this service may, under secure conditions, be extracted from it and made available to the external service provider.

V.-At the end of the data processing activities provided for in the contract referred to in II, the director of the institution shall terminate the access authorisation of the external service provider’s staff.

The same shall apply at any time if such staff fail to comply with the provisions of this article.

Original in French 🇫🇷

Article R6113-5-2

I.-Les prestataires extérieurs qui assistent le médecin responsable de l’information médicale dans l’exercice de ses missions prévues à l’article R. 6113-4 ne peuvent accéder, sous la responsabilité et le contrôle de ce dernier, qu’aux seules données à caractère personnel mentionnées à l’article R. 6113-1 strictement nécessaires à l’exercice de leurs propres missions.

II.-Le contrat signé avec le directeur d’établissement dans les conditions prévues par l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 comporte en outre la liste des prestations concernées, le délai et les lieux d’exercice de leur réalisation, ainsi que la liste et la qualité des personnels autorisés à traiter les données à caractère personnel.

Le contrat est transmis au médecin responsable de l’information médicale avant tout accès aux données. Ce médecin peut demander au prestataire extérieur toute information utile quant aux conditions de réalisation des activités de traitement concernées.

III.-Le directeur d’établissement habilite individuellement et spécialement les personnels du prestataire extérieur autorisés à accéder aux données mentionnées au I.

Le médecin responsable de l’information médicale s’assure que les données auxquelles les personnels accèdent effectivement n’excèdent pas celles qui sont strictement nécessaires à l’exercice de leurs missions.

IV.-Les personnels du prestataire extérieur accèdent aux données mentionnées au I au sein du système d’information de l’établissement de santé.

Lorsque les caractéristiques de la prestation ne permettent pas de la réaliser au sein du système d’information de l’établissement, les données nécessaires à cette prestation peuvent, dans des conditions sécurisées, en être extraites et mises à disposition du prestataire extérieur.

V.-A l’issue des activités de traitement de données prévues par le contrat mentionné au II, le directeur d’établissement met fin à l’habilitation d’accès des personnels du prestataire extérieur.

Il en est de même, à tout moment, lorsque ces personnels méconnaissent les dispositions du présent article.

Need help with this article? Get help from a French lawyer

Our French business lawyers are here to help.
We offer a FREE evaluation of your case.
Call us at +33 (0) 1 84 88 31 00 or send us an email.

Call Us + 33 1 84 88 31 00

Call Us + 33 1 84 88 31 00

Article R6113-5-2 of the French Public Health Code