Est-ce qu’un GHT doit obligatoirement passer la certification HDS ?

Par Olivier Gellez
Publié le 15 septembre 2020
Lecture : 11 min.
Nous travaillons régulièrement sur des projets de certification Hébergeur de Données de Santé (HDS) auprès des Groupements Hospitaliers de Territoire (GHT) et sommes régulièrement interrogés sur la validité de cette obligation de certification dans le cas très particulier des GHT.
2 #Santé

On nous dit souvent « les autres groupements hospitaliers (FEHAP, privé lucratifs, etc..) c’est sûr mais nous, ce n’est pas vraiment obligatoire car nous sommes publiques et même si un GHT n’est pas une entité juridique à part entière, nous avons entendu que la DGOS avait donné des dérogations pour les GHT ».

En préambule de cette note, il est important de préciser que ce qui suit est l’expression d’une opinion, fondée sur des éléments objectifs de diverses origines, mais ne constituant néanmoins en aucune manière une réponse définitive à la controverse actuelle sur le sujet.

 

Retour sur l’obligation de certification HDS 

L’obligation de certification pour l’hébergement de données de santé concerne toute entité juridique qui exerce une ou plusieurs des activités énumérées au Chapitre 2 du Référentiel d’accréditation HDS pour le compte d’un tiers (autre entité juridique).

 

Si l’on s’en tient à ce seul élément, rien ne permet d’affirmer que l’établissement pivot d’un GHT, hébergeant sur son site les applications de santé des autres établissements membres de ce GHT, serait éligible à un régime de faveur en ce qui concerne l’obligation de certification.

Mais ça, c’était avant que la Direction Générale de l’Offre de Soins (DGOS) ne vienne complexifier la question…

 

L’origine de la discorde : l’avis de la DGOS

En début d’année 2020, la Direction Générale de l’Offre de Soins (DGOS) a publié une communication laissant entendre que les GHT pourraient se soustraire à l’obligation de certification pour l’hébergement de données de santé.

 

Ce document est, à notre connaissance, le seul écrit émanant de la DGOS relatif à ce sujet. Il semble indiquer que les GHT seraient exclus de l’obligation de certification HDS si, et seulement si, 3 conditions sont remplies :

Condition 1 – Définition de la coresponsabilité par une convention entre les établissements ;

Condition 2 – Stratégie et modalités de convergence définies dans un Schéma Directeur du Système d’Information (SDSI) ;

Condition 3 Achèvement de la convergence sur l’ensemble des données médicales traitées.

Dans un premier temps, il est notable que le cadre posé est extrêmement restrictif et ne concerne à l’heure actuelle que très peu de GHT, voire aucun, puisque les critères de convergence définis dans le SDSI, lorsqu’il existe, sont souvent encore très loin d’être atteints.

Pour compléter, il semble important de revenir sur deux notions importantes : les traitements de données de santé relatifs à la prise en charge médicale du patient (Condition 3) et la coresponsabilité (Condition 1).

 

Condition 3: Les traitements relatifs à la prise en charge médicale du patient

Concernant les traitement relatifs à la prise en charge médicale du patient, la Commission Nationale Informatique et Libertés (CNIL) a eu l’occasion de les lister, au moins en partie, dans un document relatif aux traitements pour lesquelles une Analyse d’Impact sur la Protection de Données est requise.

Le nombre de traitements de données de santé réalisés au sein d’un établissement de santé est conséquent. La cible de convergence sur l’ensemble des données de santé traitées est donc encore très lointaine pour de nombreux GHT, voire la totalité d’entre eux.

Comme si la question n’était pas déjà suffisamment complexe, la DGOS a jugé nécessaire d’y ajouter un débat impossible à trancher sur la notion de coresponsable de traitement.

 

Condition 1 : La notion de coresponsabilité

Les rôles de responsable de traitement, sous-traitant et coresponsable de traitement sont mal définis dans la règlementation et entrainent souvent des confusions et des divergences d’interprétation.

C’est pourquoi le Comité Européen de la Protection des données (CEPD) a jugé utile de lancer une consultation publique, jusqu’au 19 octobre 2020, sur son projet de lignes directrices sur les notions de responsable du traitement et de sous-traitant.

Concernant plus précisément la notion de coresponsable de traitement, celle qui nous concerne, ces lignes directrices semblent la définir comme la participation de plusieurs entités juridiques à un ensemble d’opérations de traitement inextricablement liées. En d’autres termes, comme la contribution d’entités juridiques différentes réalisant successivement ou en parallèle des processus de traitement distincts sur une même base de données et dans un but commun.

L’un des exemples donnés concerne le cas d’une agence de voyage, d’une compagnie aérienne et d’une chaine hôtelière qui créent une base de données commune et une plateforme internet pour proposer à des clients des voyages all-inclusive et réaliser des opérations marketing communes.

 

Le même document précise également que le fait de partager une infrastructure et une base de données communes ne suffit pas à caractériser la coresponsabilité.

 

Le Comité Européen de la Protection des données précise enfin que la coresponsabilité doit être analysée au cas par cas et que les autorités de contrôle ne sont pas liées par la qualification choisie par les parties.

Ces éléments démontrent que la notion de coresponsabilité est excessivement délicate à caractériser et qu’il est hasardeux de tenter d’édicter une règle générale et absolue. En effet, la qualification de la relation entre entités juridiques contribuant à un traitement de données reviendra in fine à l’autorité de contrôle qui fondera son appréciation sur la prise en compte du contexte et un grand nombre de critères dont certains emprunts d’une certaine subjectivité.

 

Exclusion de l’obligation de recourir à un hébergeur certifié HDS

Un autre élément important doit être pris en compte : dans les réponses aux questions publiées par le Ministère de la santé en mai 2019, les établissements membres d’un GHT ne sont pas listés, et n’a même pas été mis à jour à la suite des conditions relevées par la DGOS début 2020, parmi les organismes pouvant être exclus de l’obligation de recourir à un hébergeur certifié HDS.

 

La sécurité des SI des établissements de santé 

En guise de conclusion, ce n’est un secret pour personne, le secteur de la santé est à la fois particulièrement vulnérable et particulièrement ciblé par toute sortes d’attaques plus ou moins sophistiquées et encore plus en cette période de pandémie qui focalise l’attention des DSI sur la mise à disposition rapide de salles informatisées pour accueillir les nouveaux malades ou pour favoriser le télétravail, etc…

En outre, et sans doute pour y faire face, il était prévu, au 1er janvier 2021 et avant que le virus dont tout le monde parle ne bouleverse quelque peu le calendrier, de mettre en place une certification des systèmes d’information des hôpitaux.

Dans ce contexte, si on ajoute les enjeux de « Ma Santé 2022 » qui pousse à l’ouverture de l’hôpital sur la ville à travers le développement de parcours, de coopération (CPTS, PTA, etc..), d’innovations digitales, de démarches populationnelles, d’interactivité avec les plateformes nationales et régionales etc… En effet, l’une des missions du GHT est de mieux organiser les prises en charge, territoire par territoire, et de présenter un projet médical répondant aux besoins de la population en renforçant la médecine de parcours autour des besoins du patient. Cela suppose une meilleure coordination territoriale, à travers notamment son portail de services numériques ouvert vers la ville, afin de faciliter la prise en charge des patients sans rupture de parcours ni perte de données.

Quel serait donc l’intérêt de relâcher l’effort des GHT en matière d’hébergement et de traitement des données de santé pour qu’ils améliorent rapidement leur sécurité et la gouvernance de leur sécurité juste avant d’accroitre les exigences pour l’ensemble des établissements de santé ? Les GHT ne peuvent être le maillon faible (et donc le point d’entrée privilégié des hackers car ces GHT vont brasser de plus en plus de données, provenant de différentes sources plus ou moins fiables) du maillage numérique du territoire.

 

Le mot de la fin

Nous précisons, à nouveau, que les éléments ci-dessus ne constituent qu’une opinion et que nous serions ravis de nous confronter à d’autres opinions ou de disposer d’autres éléments permettant de confirmer, ou d’infirmer, cette position…


Vous aimerez aussi

2 #Santé
L’eXpérience Humaine (HX) est scientifique ! (3/3)

L’eXpérience Humaine (communément appelée eXpérience Utilisateurs) peut paraître un sujet purement poétique ou philosophique. Pourtant elle entre de plus en plus dans le champ scientifique.

Lire la suite
2 #Santé
La transformation digitale chez les mutuelles de « petites » et « moyennes » tailles

Depuis quelques années, les mutuelles et institutions de prévoyance connaissent un grand mouvement de concentration. En effet, il y a une dizaine d’années, il y avait encore près de 1200 mutuelles de livre II alors qu’elles seront probablement moins de 400 à court terme.

Lire la suite
FR   |   EN