Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Agrément or not Agrément ?

09 oct. 2017 - 13:09,
Tribune - Par Me Omar Yahia
Telle est la question qui m’a été posée. A l’origine du questionnement une chronique juridique, issue des informations mensuelles du CISME, intitulée Activité des SSTI et obligations juridiques, dans laquelle il est indiqué que :

« On rappellera sur ce sujet que le dépôt des données de Santé à caractère personnel doit se faire auprès de structures agréées, dont la liste officielle figure sur le site de l’ASIP. Cette obligation demeure, mais la loi dite "Santé" a ajouté une disposition qui concerne toutes les personnes qui hébergent de telles données. La lecture de l’article reproduit ci-après fait donc conclure que les SSTI sont concernés et vont avoir, à compter du 1er janvier 2019, à s’engager à ce titre dans la démarche de certification afférente ».

Rappelons les termes exacts de l’article L.1111-8 du code de la santé publique qui énonce que « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

L’expression « personnes physiques ou morales à l’origine de la production ou du recueil » ne pose pas de difficulté dès lors qu’elle désigne respectivement, et sans ambiguïté possible, les professionnels de santé (personnes physiques) et les établissements de santé (personnes morales).

En revanche, l’expression « pour le compte de » employée à deux reprises, en référence aux professionnels et établissements de santé, d’une part, et au patient lui-même, d’autre part, sème assurément le trouble.

Appliquées au contexte des GHT, ces dispositions légales sont diversement appréciées. Deux thèses s’affrontent grosso modo.

La première thèse consiste à soutenir que les « personnes physiques ou morales à l'origine de la production ou du recueil » des données de santé à caractère personnel ne sont pas tenues de recourir à un tiers hébergeur puisque ces données sont d’ores et déjà hébergées dans leur système d’information. Autrement dit, un établissement membre d’une convention de GHT serait dispensé de recourir aux services d’un tiers agréé HDS, ou même d’être lui-même agréé HDS, au motif qu’il héberge lui-même les données de santé du patient dont il a la charge.

Pourquoi, en effet, faire héberger des données par un tiers quand on peut les héberger soi-même ? C’est une position pragmatique et réaliste qui a le mérite d’éviter d’engager des dépenses considérées comme étant inutiles.

La seconde thèse, qui est celle défendue par l’article susmentionné, soutient, au contraire, que « toute personne qui héberge des données de santé (…) pour le compte du patient lui-même (…) », c’est-à-dire dans son propre système d’information, doit être lui-même agréée HDS. L’établissement qui admet un patient en son sein, pour le soigner, héberge nécessairement les données de son patient dans son système d’information.

On peut regretter, à cet égard, l’usage maladroit de l’expression « pour le compte de » qui évoque le contrat de mandat, lequel n’est pas adapté à la relation établissement de santé public/patient, ce dernier ayant la qualité d’usager du service public hospitalier et non pas de contractant, à la différence des cliniques privées.

Il n’en demeure pas moins que si cette seconde interprétation était retenue, cela signifierait que peu importerait la qualité de l’établissement, qu’il soit membre ou support d’une convention de GHT : tous les établissements de santé publics seraient soumis à l’obligation de recourir à la procédure d’agrément, ou plutôt de certification.

Au plan économique, cette solution serait difficilement applicable.

Il existe une troisième interprétation qui est le fruit de ma propre réflexion et qui consiste à dire que le législateur a modifié les règles d’hébergement de santé en prévision de la fusion des établissements de santé membre de GHT et en vue de la création d’un GHT, non plus en tant qu’outil conventionnel mais en tant qu’outil organique, autrement dit une personne morale.

Alors, et alors seulement, la seconde thèse prendrait tout son sens puisque le patient serait admis dans un GHT, seul et unique HADS, ce qui serait plus économiquement supportable à l’échelle d’un GHT.

omar_yahiaPar Me Omar Yahia

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.