Skip to main content Scroll Top
Exemption HDS pour les GHT - Les modification des l'ANS sèment la confusion
Actualités Actualités du moment Établissement public de santé Raphaël Cavan
Partager l'article



*
*
*




Exemption HDS pour les GHT : plus de peur que de mal

Article rédigé le 04 mars 2025 par Me Raphaël Cavan et Me Laurence Huin

L’ANS a mis à jour en février dernier sa FAQ HDS semant le doute sur l’exemption de certification HDS des GHT.
Face aux interrogations des acteurs du terrain, l’ANS est venue clarifier aujourd’hui sa position en modifiant sa FAQ.
Elle vient rappeler expressément l’exemption des GHT à l’obligation de certification HDS sous réserve de respecter 3 conditions cumulatives.

  • Délégation d’hébergement précisée dans la convention constitutive,
  • Co-responsabilité de traitement (art. 26 RGPD),
  • Sécurité et confidentialité des données hébergées.

Après ces frayeurs, les membres des GHT devront s’assurer qu’ils respectent bien les trois conditions cumulatives, et modifier le cas échant leur convention constitutive et leur règlement intérieur.

 

L’Agence du Numérique en Santé (ANS) a mis à jour en février dernier sa Foire aux Questions (FAQ) sur l’hébergement des données de santé (HDS). Cette nouvelle version a soulevé de nombreuses interrogations, voire un vent de panique, parmi les acteurs de la santé, en particulier les membres de Groupements Hospitaliers de Territoire (GHT) .

Quels enjeux pour les établissements concernés ?

A la question « Quel est le champ d’application de la législation relative à l’hébergement de données de santé à caractère personnel ? », la FAQ ne mentionnait plus expressément l’exemption de certification HDSdont bénéficiaient les membres d’un GHT depuis la doctrine du numérique en santé de 2021.

La remise en question de l’exemption HDS a créé une insécurité juridique pour les membres des GHT bousculant l’esprit et la gouvernance même des GHT. En revenant sur cette exemption l’analyse de l’ANS allait de facto rendre les établissements supports des GHT prestataire des membres du GHT, et ce en totale contradiction avec la logique des GHT qui se fonde sur un projet médical commun à tous les membres.

La clarification attendue de l’ANS 

Face aux interrogations nombreuses des acteurs de terrain (fédération des établissements, club des RSSI…), l’ANS est venue fort heureusement clarifier sa position le 4 mars en modifiant sa FAQ.

Elle vient rappeler expressément l’exemption des GHT à l’obligation de certification HDS sous réserve de respecter 3 conditions cumulatives.

Cette exemption repose sur trois conditions cumulatives :

  •  La Délégation d’hébergement à l’un des établissements du GHT est prévue au sein de la convention constitutive du GHT
  •  La Co-responsabilité de traitement sur les données de santé personnelles entre les membres du GHT (conformément à l’article 26 du RGPD) est fixée.
  • La mise en place de mesures de sécurité et de confidentialité des données hébergées (notamment avec la référence du palier de sécurité dit « hébergement de données de santé » défini dans le cadre du dispositif de certification SI).

 

Une négation qui manque ?

Après la clarification attendue de l’ANS, il est dommage qu’elle n’ait pas procédé à une correction de forme pouvant entrainer des confusions d’interprétation. Il semblerait qu’une négation ait été omise, changeant ainsi totalement le sens de la phrase au sein de la réponse à la question « Dans quelle mesure la co-responsabilité de traitement entraîne-t-elle une dérogation à l’obligation de recourir à un HDS ? »

La phrase devrait sans doute indiquer : « La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l’obligation de certification HDS si les autres conditions ne sont pasremplies. ».

Trois conditions à vérifier et mettre en œuvre

Après ces frayeurs, les membres des GHT devront s’assurer qu’ils respectent bien les trois conditions cumulatives, et modifier le cas échant leur convention constitutive et leur règlement intérieur. Quant aux mesures de sécurité et de confidentialité, le programme CaRE et NIS 2 devraient sans nul doute porter les établissements à déployer de telles mesures.

Me Raphaël Cavan

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.

Laurence Huin

Maître Laurence Huin exerce une activité de conseil et de contentieux auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Depuis novembre 2024, elle est partenaire du pôle Santé Numérique du cabinet Houdart et associés et contribue à ce titre à Datactu.