Agrément or not Agrément ?
« On rappellera sur ce sujet que le dépôt des données de Santé à caractère personnel doit se faire auprès de structures agréées, dont la liste officielle figure sur le site de l’ASIP. Cette obligation demeure, mais la loi dite "Santé" a ajouté une disposition qui concerne toutes les personnes qui hébergent de telles données. La lecture de l’article reproduit ci-après fait donc conclure que les SSTI sont concernés et vont avoir, à compter du 1er janvier 2019, à s’engager à ce titre dans la démarche de certification afférente ».
Rappelons les termes exacts de l’article L.1111-8 du code de la santé publique qui énonce que « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».
L’expression « personnes physiques ou morales à l’origine de la production ou du recueil » ne pose pas de difficulté dès lors qu’elle désigne respectivement, et sans ambiguïté possible, les professionnels de santé (personnes physiques) et les établissements de santé (personnes morales).
En revanche, l’expression « pour le compte de » employée à deux reprises, en référence aux professionnels et établissements de santé, d’une part, et au patient lui-même, d’autre part, sème assurément le trouble.
Appliquées au contexte des GHT, ces dispositions légales sont diversement appréciées. Deux thèses s’affrontent grosso modo.
La première thèse consiste à soutenir que les « personnes physiques ou morales à l'origine de la production ou du recueil » des données de santé à caractère personnel ne sont pas tenues de recourir à un tiers hébergeur puisque ces données sont d’ores et déjà hébergées dans leur système d’information. Autrement dit, un établissement membre d’une convention de GHT serait dispensé de recourir aux services d’un tiers agréé HDS, ou même d’être lui-même agréé HDS, au motif qu’il héberge lui-même les données de santé du patient dont il a la charge.
Pourquoi, en effet, faire héberger des données par un tiers quand on peut les héberger soi-même ? C’est une position pragmatique et réaliste qui a le mérite d’éviter d’engager des dépenses considérées comme étant inutiles.
La seconde thèse, qui est celle défendue par l’article susmentionné, soutient, au contraire, que « toute personne qui héberge des données de santé (…) pour le compte du patient lui-même (…) », c’est-à-dire dans son propre système d’information, doit être lui-même agréée HDS. L’établissement qui admet un patient en son sein, pour le soigner, héberge nécessairement les données de son patient dans son système d’information.
On peut regretter, à cet égard, l’usage maladroit de l’expression « pour le compte de » qui évoque le contrat de mandat, lequel n’est pas adapté à la relation établissement de santé public/patient, ce dernier ayant la qualité d’usager du service public hospitalier et non pas de contractant, à la différence des cliniques privées.
Il n’en demeure pas moins que si cette seconde interprétation était retenue, cela signifierait que peu importerait la qualité de l’établissement, qu’il soit membre ou support d’une convention de GHT : tous les établissements de santé publics seraient soumis à l’obligation de recourir à la procédure d’agrément, ou plutôt de certification.
Au plan économique, cette solution serait difficilement applicable.
Il existe une troisième interprétation qui est le fruit de ma propre réflexion et qui consiste à dire que le législateur a modifié les règles d’hébergement de santé en prévision de la fusion des établissements de santé membre de GHT et en vue de la création d’un GHT, non plus en tant qu’outil conventionnel mais en tant qu’outil organique, autrement dit une personne morale.
Alors, et alors seulement, la seconde thèse prendrait tout son sens puisque le patient serait admis dans un GHT, seul et unique HADS, ce qui serait plus économiquement supportable à l’échelle d’un GHT.
Par Me Omar Yahia
Avez-vous apprécié ce contenu ?
A lire également.
La Poste Ventures, fonds d’investissement du groupe La Poste, entre au capital de Yooli, start-up de la e-santé, spécialiste de la digitalisation du parcours patients
29 jan. 2026 - 10:34,
Actualité
- Rédaction, DSIHLa Poste annonce l’entrée de son fonds d’investissements La Poste Ventures au capital de Yooli. La start-up toulousaine a développé un portail numérique qui facilite le parcours de soin des patients et leur gestion par les établissements de santé. Cet investissement stratégique pour La Poste Santé &...
Le CHU de Bordeaux lance un projet 5G pour soutenir de nouveaux usages hospitaliers
23 jan. 2026 - 12:45,
Actualité
- Rédaction, DSIHLe CHU de Bordeaux a annoncé le lancement du projet 5MART HO5PITAL, reposant sur le déploiement d’une infrastructure 5G au sein de l’établissement. Mené avec Bouygues Telecom Business, le projet bénéficie d’un financement européen et vise à accompagner l’évolution des usages numériques hospitaliers.
Equasens renforce sa stratégie de formation digitale avec l’acquisition majoritaire d’Erevo
09 jan. 2026 - 10:23,
Brève
- Rédaction, DSIHLe groupe Equasens poursuit le renforcement de son positionnement dans les services numériques à destination des professionnels de santé. L’éditeur de solutions logicielles a annoncé, le 5 janvier 2026, l’acquisition de 80 % du capital d’Erevo, acteur français spécialisé dans la formation en ligne p...
La société Nexpublica France sanctionnée par la Cnil
06 jan. 2026 - 07:56,
Actualité
- Damien Dubois, DSIHLe 22 décembre 2025, la Cnil a annoncé avoir infligé une amende de 1 700 000 euros à la société Nexpublica France pour manquement à l’obligation d’assurer la sécurité des données personnelles.
