GCS de moyens : entre opportunités de mutualisation et enjeux RGPD

Article rédigé le 05/05/2026 par M^e Raphaël Cavan en coopération avec M^e Laurence Huin

Créé par l’ordonnance n° 96-346 du 24 avril 1996, le groupement de coopération sanitaire (GCS) fête cette année ses trente ans. Consacrée par la loi HPST du 21 juillet 2009, la forme « GCS de moyens », dépourvue de la qualité d’établissement de santé, constitue un vecteur de mutualisation d’activités aussi diverses que la blanchisserie, la restauration collective, la stérilisation, la logistique ou encore les systèmes d’information. Ce que l’on oublie souvent : chacune de ces activités génère des données à caractère personnel et soumet le groupement comme ses membres aux exigences du RGPD. Le présent article traite ainsi des opportunités et des enjeux de mutualisation que présentent le GCS de moyens.

L’encadrement RGPD des activités mutualisées au niveau du GCS

Codifié à l’article L. 6133-1 du code de la santé publique (CSP), le GCS de moyens a pour objet « de faciliter, de développer ou d’améliorer l’activité de ses membres ». À ce titre, il peut organiser ou gérer des activités administratives, logistiques, techniques ou médico-techniques (blanchisserie, restauration, stérilisation, informatique, imagerie…), réaliser ou gérer des équipements d’intérêt commun, ou encore permettre des interventions communes de professionnels de santé. Cet outil de coopération présente une remarquable plasticité fonctionnelle, source d’importantes économies d’échelle pour ses membres.

Pour autant, le GCS de moyens n’est pas seulement un outil de rationalisation économique. Il est également, en droit, un acteur à part entière de la protection des données personnelles en tant que responsable, co-responsable de traitement ou bien même sous-traitant de données personnelles au sens du Règlement général sur la protection des données (« RGPD »). Encore faut-il que les membres du groupement en aient pris la mesure, et que la gouvernance de cette conformité soit clairement organisée dès la rédaction de la convention constitutive.

En effet, quelle que soit l’activité mutualisée, celle-ci implique le traitement de données à caractère personnel au sens de l’article 4 du RGPD. La gestion de la paie, les ressources humaines, le dossier patient informatisé (DPI), le système d’information hospitalier (SIH), la gestion des achats, ou encore la blanchisserie, impliquent chacune la collecte, le partage et/ou l’hébergement de données pouvant concerner soit :

• les patients (identité, données de santé, parcours de soins, etc.) ;
• les salariés (paie, absences, données de santé au travail, etc.) ;
• les professionnels de santé (identifiants, habilitations, agendas, etc..) ;
• les fournisseurs (données de contacts, données financières).

À ce titre, la question de la responsabilité de traitement entre le GCS et ses membres se pose dès la création du groupement. Trois qualifications sont envisageables selon le rôle effectivement joué par chacun :

• le GCS est responsable de traitement (art.4.7 RGPD) lorsqu’il détermine seul les finalités et les moyens d’un traitement (ex. : gestion de ses propres salariés) ;
• il peut être sous-traitant (art.28 RGPD) lorsqu’il traite des données pour le compte et sur instruction de ses membres, qui demeurent responsables de traitement (ex. : hébergement du dossier patient). À cet égard, contrairement aux GHT, les GCS de moyens ne bénéficient pas de l’exemption de certification hébergeur de données de santé (HDS) prévue par l’article L.1111-8 du CSP et devront, le cas échéant, être certifiés HDS pour exercer légalement cette activité. Il en va de même, depuis le 1er juillet 2025, pour l’archivage électronique des informations de santé, conformément à la loi n° 2024-449 du 21 mai 2024 ;
• il peut être co-responsable de traitement (art.26 RGPD) lorsqu’il détermine conjointement avec ses membres les finalités et les moyens d’un traitement commun (ex. : plateforme de coordination de parcours partagée).

Ces qualifications ne sont pas interchangeables. La CNIL n’étant pas liée par les qualifications retenues par les structures qu’elle contrôle, leur confusion, ou l’absence de formalisation, expose le groupement et ses membres à un risque de sanction (ex. : absence d’un acte juridique encadrant la sous-traitance ou la co-responsabilité, mauvaise tenue du registre des activités de traitement).

La convention constitutive est donc la pierre angulaire de la gouvernance RGPD du GCS : elle doit définir explicitement, activité par activité, sur quel acteur pèse la responsabilité de traitement, et, le cas échéant, la formaliser dans une annexe ou convention de sous-traitance / co-responsabilité conforme aux exigences des articles 26 et 28 du RGPD. La convention constitutive est également adaptée pour prévoir et encadrer une éventuelle mutualisation de la fonction de délégué à la protection des données (« DPO »), véritable pilote de la conformité RGPD, et obligatoire dans certains cas, comme celui d’un GCS de moyens (article 37 du RGPD).

Les enjeux d’un DPO mutualisé au niveau du GCS

L’article 37.3 du RGPD autorise la désignation d’un délégué à la protection des données (DPO) commun à plusieurs organismes. Dans le cadre d’un GCS de moyens, cette faculté permet de porter au niveau du groupement la gouvernance RGPD des activités mutualisées, à condition que son périmètre d’intervention soit clairement délimité par l’objet de la convention constitutive. Les charges induites par cette mutualisation devront également y être expressément prévues, selon les clés de répartition déterminées par les membres.

En pratique, le DPO mutualisé ne peut exercer efficacement ses missions d’information, de conseil et de contrôle (art.39 RGPD) qu’en s’appuyant sur un réseau de correspondants composé des DPO désignés au sein de chaque membre (ex. : DPO du CHU, DPO de la clinique, etc..) ou, à défaut, de référents RGPD identifiés localement. 

Ces correspondants ont vocation à lui remonter les problématiques de terrain ayant un impact sur la conformité RGPD des activités mutualisées et devenir en somme les « yeux et les oreilles » du DPO mutualisé.

La mise en place d’une instance de gouvernance RGPD au niveau du groupement, quelle que soit sa forme  (« commission », « comité » ou « bureau RGPD »), constitue à cet égard une bonne pratique permettant de centraliser les remontées de terrain, de coordonner les réponses aux incidents et de piloter la conformité de façon cohérente à l’échelle du GCS.

À ce stade, il convient d’alerter que la CNIL est capable de sanctionner une structure ne donnant pas à son DPO les moyens nécessaires à la réalisation de sa mission. En effet, la CNIL a pu sanctionner en 2023 un organisme du secteur médico-social à hauteur de 10 000€ pour manquement à l’article 38 du RGPD au motif que son DPO n’était pas associé aux réunions intéressant la protection des données et que ses fonctions manquaient de visibilité pour les employés de l’organisme.

Ainsi, un GCS de moyens dont le DPO mutualisé serait réduit à un rôle purement symbolique, sans ressources ni accès effectif aux ressources et informations impactant les traitements de données personnelles, risquerait de s’exposer aux mêmes constats.

GCS de moyens : vers une gouvernance mutualisée de l’intelligence artificielle ?

Au-delà de la conformité RGPD, le GCS de moyens offre un cadre propice pour également accueillir la gouvernance mutualisée de systèmes d’intelligence artificielle (SIA) déployés au bénéfice de ses membres : aide à la lecture d’imagerie, détection précoce de risques cliniques, planification des ressources humaines, gestion de la comptabilité…

Le Règlement européen sur l’intelligence artificielle (IA Act, Règlement 2024/1689), entré en vigueur le 1er août 2024 et dont les dispositions s’appliquent progressivement jusqu’en août 2027, impose au déployeur de SIA, et plus particulièrement de SIA à haut risque (notamment ceux dans le secteur de la santé), des obligations spécifiques en matière de surveillance humaine, de documentation, de contrôle et d’évaluation des risques régulièrement mises à jour.

La structuration de ces obligations à l’échelle du groupement, dans la convention constitutive et dans une instance de gouvernance dédiée similaire à celle évoquée pour la gestion du RGPD, constitue une piste que les GCS de moyens auraient tout intérêt à anticiper dès aujourd’hui pour maîtriser ces enjeux et tirer pleinement parti des opportunités offertes par ces outils.

Le GCS de moyens a traversé les décennies et demeure encore aujourd’hui un outil de mutualisation efficace pour réaliser des économies d’échelle et une opportunité pour faire face au foisonnement des textes de droit imposant des exigences de conformité dans le cadre de la gestion des données personnelles (RGPD) ou encore de l’IA (IA Act). Le GCS de moyens se trouve ainsi à la confluence d’enjeux juridiques qu’il ne peut plus ignorer et qu’il doit appréhender dans un cadre rationalisé et maîtrisé pour pouvoir rester auprès de ses membres cet outil attractif et adapté à l’ère de son temps.