Hébergement de données de santé : quoi de neuf ?
06 déc. 2022 - 09:50,
Tribune
- Marguerite Brac de La Perrière & Cédric CartauLa vision juridique de l’exemption des GHT
L’exemption figurant dans la doctrine du numérique en santé 2021 était la suivante :
« L’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la coresponsabilité et lui en confie l’hébergement. La convention GHT doit prévoir explicitement, au moyen d’un avenant, la délégation d’activité d’hébergement à l’établissement hébergeur. En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérés comme coresponsables de traitement au sens du RGPD. »
Faut-il s’inquiéter alors de ne pas retrouver cette exemption relative à l’établissement hébergeur du GHT dans la doctrine du numérique 2022 en concertation ?
À titre liminaire, il sera rappelé que la doctrine du numérique en santé n’a pas de valeur réglementaire. De sorte, l’exemption qui y figurait avait pour simple vocation de faire état de l’interprétation de la loi, dans son ambition de « tenir l’écosystème de la santé numérique informé des évolutions et avancées de chaque chantier, d’informer sur les priorités à venir et les implications techniques qu’elles sous-tendent ».
Ainsi, l’exemption tirait sa valeur, non pas de sa présence dans une version de la doctrine du numérique en santé, mais de l’application de textes de loi. Or, ces textes n’ont pas évolué, de sorte que l’exemption devrait rester parfaitement applicable.
En substance, le raisonnement, qui découle de l’articulation de différents textes légaux concernant les GHT, l’équipe de soins et la protection des données, est le suivant :
Tous les professionnels de santé d’un GHT concourent à un projet médical partagé au bénéfice d’une prise en charge commune des patients, avec un dossier patient informatisé convergent ou commun entre les établissements, dans des conditions conformes aux référentiels d’interopérabilité et de sécurité, recréant une « bulle de sécurité » comparable à celle qui prévaut dans un établissement. D’ailleurs, les GHT constituent une équipe de soins, au sens de sa définition légale très extensive[3].
Dès lors, il est cohérent de considérer les établissements d’un GHT comme constituant, ensemble, une entité au sein de laquelle les finalités et moyens sont déterminés conjointement, et donc comme des responsables conjoints du traitement au sens de l’article 26 du RGPD. Dans cette approche, aucun des responsables conjoints n’agit pour le compte des autres, tous ont un rôle à jouer dans la conception et la mise en œuvre des traitements de données nécessaires à la prise en charge, selon une répartition des tâches pas nécessairement égalitaire, permettant tout à fait à l’un des établissements d’assurer uniquement la responsabilité de l’hébergement des données.
Ainsi, l’établissement hébergeur n’agissant pas « pour le compte » des autres selon les termes de l’article L1111-8 du Code de la santé publique, mais en tant que responsable conjoint des autres établissements du GHT, le critère d’application du régime relatif à l’hébergement de données de santé, tenant à son externalisation, n’est pas rempli, rendant ainsi inapplicable le régime juridique relatif à l’hébergement de données de santé, sous réserve bien sûr que la convention constitutive du GHT prévoie expressément la coresponsabilité des établissements parties au GHT et formalise une délégation d’activité d’hébergement à l’établissement l’assurant.
Si cette analyse assure la cohérence entre les dispositions légales relatives au GHT, à l’équipe de soins et à l’hébergement de données de santé, pour autant sa pertinence peut toujours être interrogée, notamment au regard du bilan des GHT et de la réalité de la prise en charge coordonnée.
En tout état de cause, sous réserve pour les établissements d’un GHT souhaitant la revendiquer de s’être assurés de son adéquation avec leur fonctionnement et leurs responsabilités, l’exemption reste tout aussi applicable qu’elle figure ou non dans la doctrine du numérique en santé.
Rappelons toutefois que, même à considérer cette exemption comme pertinente et applicable à un GHT donné, elle ne saurait en aucun cas permettre à l’établissement hébergeur de se soustraire aux exigences de sécurité figurant au référentiel de certification, lequel répertorie les « mesures techniques et organisationnelles appropriées » devant être mises en œuvre au sens du RGPD.
Force est de constater que le régime relatif à l’hébergement de données de santé continuera à faire couler beaucoup d’encre, comme il l’a toujours fait, en particulier par suite du décret de 2018 et ses dispositions relatives à l’activité 5, définie comme « L’administration et l’exploitation du système d’information contenant les données de santé ».
La vision opérationnelle du RSSI
Les curieux (ou les historiens ?) pourront se replonger dans la série d’articles présentant, sur le volet technique, les limites du cadre en vigueur[4][5][6], notamment un truc bien tordu à la base d’un détournement de location de local nu pour échapper à la qualification HDS. Cela étant, la critique est facile, et ce cadre a au moins eu le mérite de mettre fin au Far West. Le droit étant une matière fondamentalement vivante, son évolution est naturelle. Plus récemment, Me Brac de La Perrière a fait paraître une analyse[7] évoquant notamment l’évolution de l’activité 5, dont le périmètre est maintenant clarifié.
En substance, au sujet de l’exemption du régime s’agissant des GHT, il est normal de considérer que :
– Les GHT ont pour objet principal la coopération, de sorte que la relation entre les établissements d’un GHT et leur établissement support ne peut pas être regardée de la même manière que celle qui existe entre une entreprise et son hébergeur (SaaS, IaaS ou PaaS) ;
– Les textes relatifs aux GHT et à l’équipe de soins ont positionné les établissements comme conjoints dans le cadre des traitements de données nécessaires à la prise en charge du patient, au sens des dispositions « classiques » du RGPD ;
– Les textes légaux relatifs à l’HDS considérant l’hébergeur comme agissant « pour le compte » d’un responsable de traitement ne trouvent a priori pas à s’appliquer dans le contexte du GHT, la relation de partenariat entre les établissements d’un GHT l’emportant sur celle de responsable de traitement/sous-traitant ;
Il est étrange que les débats se multiplient à ce sujet, d’autant que plusieurs juristes ont récemment estimé que, dans les autres domaines (achat, RH, etc.), ladite jurisprudence avait tendance à considérer que les établissements de santé d’un GHT devaient être vus comme une entité juridique unique, même si dans les faits les GHT n’ont pas de personnalité juridique. D’autant aussi que, pour ceux qui ne l’ont jamais engagée, l’obtention d’une certification HDS partant de zéro réclame au bas mot 18 mois de travail et représente une charge de Build et de Run non négligeable, dans un contexte tendu de moyens et d’enjeux cyber autrement plus prioritaires.
Clairement, aujourd’hui les enjeux des SI de GHT s’articulent autour des questions de :
– Professionnalisation des processus de maintien en condition opérationnelle ;
– Prise en compte de la Cyber by Design ;
– Cible d’architecture des SI convergés.
Sur ce dernier point, quelles briques logicielles doivent converger et comment ? Rien que pour un DPI, il existe plusieurs scenarii possibles en fonction desquels les contraintes HDS varient énormément. Ce qui revient à dire in fine et sans surprise que la certification HDS n’est qu’un moyen, pas une fin et que c’est le besoin qui drive.
[1] /article/4899/hebergement-de-donnees-de-sante-vers-un-nouveau-referentiel-de-certification.html
[4] /article/2085/detournement-juridique-du-decret-d-hebergement-de-donnees-de-sante.html
[5] /article/2102/detournement-juridique-du-decret-d-hebergement-de-donnees-de-sante-partie-2.html
[6] /article/2103/detournement-juridique-du-decret-d-hebergement-de-donnees-de-sante-partie-3.html
[7] /article/4899/hebergement-de-donnees-de-sante-vers-un-nouveau-referentiel-de-certification.html
Les auteurs
Marguerite Brac de La Perrière est Avocate associée du cabinet LERINS, experte en Santé Numérique.
Elle accompagne les acteurs de la santé dans leur conformité réglementaire, leur développement et leur croissance, notamment en matière de traitements de données de santé & d’utilisation secondaire, d’intelligence artificielle et de contrats informatiques.
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.