GHT personne morale : Quel futur pour l’exemption HDS ?
Article rédigé le 22 avril 2024 par Raphaël Cavan
Cet article est issu de notre newsletter dédiée aux données personnelles de ce mois-ci. Plus d’informations à découvrir juste ici !
Relayé au sein de notre blog par Me Laurent Houdart, l’article 25 de la Loi Valletoux autorise désormais les groupements hospitaliers de territoire (GHT) à constituer une personne morale sous la forme d’un groupement de coopération sanitaire (GCS).
Après la fine analyse faite sur les opportunités offertes par cette loi pour les GHT, nous vous proposons aujourd’hui un focus sur le cas de l’hébergement des données de santé assuré par un des établissements membres du GHT. Nombreux sont les établissements hébergeurs d’un GHT qui ne sont pas certifiés HDS et s’inscrivent dans la doctrine de l’ANS et son exemption à l’obligation de certification HDS reconnue aux seuls GHT. Un GHT sous la forme d’un GCS pourra-t-il bénéficier dans les mêmes conditions de cette exemption ? Décryptage.
La certification hébergeur de données de santé est en cours de refonte et a fait l’objet d’un projet d’arrêté, notifié par la Délégation au Numérique en Santé à la Commission européenne, en vue de modifier le référentiel d’accréditation des organismes de certification et le référentiel de certification pour l’hébergement de données de santé à caractère personnel. Ces modifications, notamment celles relatives aux exigences de souveraineté, font l’objet d’une attention particulière par les acteurs certifiés (la liste consultable ici) et ceux en cours de certification, qu’il s’agisse de sociétés commerciales, de groupements (GCS, GIP, GIE) ou encore d’établissements de santé (Exemples : CHU de Limoges ou DSI du CHU de Rennes).
Toutefois, l’actualité qui nous occupe est propre aux GHT. En effet, dans le cadre de la convergence des systèmes d’information, les établissements membres de GHT ont largement mis en commun les activités d’hébergement. Dès lors, quel avenir pour l’exemption HDS ?
L’exemption de l’obligation de certification HDS prévue par la doctrine de l’ANS
Dans le cadre de la convergence des systèmes d’information, une des missions principales des GHT (en vertu de l’article L6132-3 du Code de la santé publique), l’établissement support a très souvent été amené à mettre à disposition les moyens de l’hébergement des données de santé pour l’ensemble des membres du GHT.
Or, les dispositions juridiques encadrant les règles en matière d’hébergement de données de santé, prévues à l’article L.1111-8 du code de la santé publique, imposent que toute personne qui propose un service d’hébergement portant sur des données de santé recueillies dans le cadre des activités de prévention, de diagnostic, de soins ou de suivi social et médico-social doit être certifié « Hébergeur de données de santé – HDS ».
Dès lors, l’établissement support qui hébergeait de telles données de santé, dans le cadre de la convergence des systèmes d’information, aurait dû être certifié HDS.
C’était sans compter l’Agence du Numérique en santé (« ANS ») qui est venu préciser à l’occasion de la présentation de sa doctrine technique du numérique en santé en 2021, les conditions que doivent remplir les GHT pour pouvoir s’écarter du périmètre de l’obligation de la certification HDS, et ainsi ne pas avoir à recourir à la certification HDS ou aux services d’un tiers hébergeur certifié HDS.
Ainsi, les GHT peuvent être exemptés de recourir à la certification HDS si trois conditions cumulatives sont remplies :
- leur convention établit une co-responsabilité de traitement des données à caractère personnel entre les membres du groupement qui soit conforme aux dispositions de l’article 26 du RGPD ;
- leur convention prévoit explicitement la délégation d’activité d’hébergement à l’un des établissements du GHT (l’établissement hébergeur) lequel n’est pas nécessairement l’établissement support ;
- des mesures techniques et organisationnelles doivent être mises en œuvre pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD.
Si déjà la valeur juridique de cette exemption insérée dans la doctrine technique du numérique en santé pouvait prêtée à discussion, il est à noter que cette exemption n’apparait plus dans la doctrine du numérique de l’ANS présentée en février 2023. Cette exemption semble toutefois avoir été maintenue au travers d’une communication officielle sur le site internet de l’ANS en décembre 2023. Dès lors, si cette communication sur son site internet témoigne de la volonté de l’ANS à maintenir cette exemption , elle alimente à nouveau les débats autour de la valeur juridique et l’opposabilité devant un juge de cette exemption face aux dispositions légales du code de la santé publique.
Qu’en est-il alors pour le GHT qui souhaite se doter de la personne morale sous la forme d’un GCS ? Doit-il obtenir la certification HDS ou bien pourra-il se prévaloir de l’exemption de l’ANS ?
La doctrine de l’ANS face aux GHT – GCS issus de la réforme Valletoux
Les dispositions du code de la santé publique en matière d’hébergement de données de santé s’appliquent également aux autres groupements de coopération existants (GIP, GIE, et GCS), dans la mesure où ces derniers rendent une prestation d’hébergement de données de santé au profit de leurs membres qui collectent et traitent des données de santé dans le cadre de leurs activités de soin. La FAQ du ministère sur la certification HDS confirme bien ce point en rappelant que l’obligation de certification HDS pèse également sur les groupements organisés en quasi régie au sens de l’article L.2511-1 et suivants du code de la commande publique (ci-après « CCP »).
L’exemption de certification prévue par la doctrine de l’ANS vise pour autant sur son site internet uniquement le cas des GHT et n’aborde pas celui des groupements de coopération dotées de la personnalité morale, tels que les GCS, GIE, ou encore GIP.
Ainsi, la loi Valletoux permettant maintenant aux GHT de se doter d’une personnalité morale sous la forme d’un GCS, comment aborder le cas de l’hébergement des données de santé entre les établissements membres, dans l’attente d’une position claire de l’ANS d’étendre ou non l’exemption à nos futurs GHT dotés de la personne morale ?
Plusieurs options s’offrent alors aux futurs GHT dotés de la personne morale sous la forme d’un GCS :
- Soit le nouveau GCS décide de se faire certifier HDS, et la certification sera alors portée par le groupement lui-même en tant qu’entité juridique distincte, et non plus auprès de l’un des établissements membre du groupement comme cela aurait été le cas en présence d’un GHT ;
- Soit le nouveau GCS est en mesure de démontrer qu’il ne réalise aucune prestation d’hébergement des données de santé pour le compte de ses membres, et ainsi s’écarter du périmètre de l’obligation de certification HDS.
Première option pour les GHT- GCS : l’obtention de la certification HDS
Comme cela a été précisé plus haut, la FAQ du ministère sur la certification HDS confirme que l’obligation de certification HDS pèse également sur les groupements (GCS, GIE…) organisés en quasi régie au sens de l’article L.2511-1 et suivants du CPP.
Pour les GHT sous forme de GCS qui décideront de faire le choix de s’organiser en quasi-régie, ils agiront nécessairement en dehors de leur rôle de mandataire, c’est-à-dire en qualité de prestataire pour le compte de leurs membres. Sur les activités d’hébergement de données de santé, le GHT sous forme de GCS assurera donc une prestation d’hébergement auprès de ces membres qui devra être encadrée par un contrat. Nous rappellerons à nos lecteurs que les contrats d’hébergement doivent respecter un formalisme particulier précisé au sein de la partie réglementaire du code de la santé publique
Dans ce cas de figure, les termes employés dans la convention constitutive, le règlement intérieur, ou tout autre document encadrant le groupement, devront refléter la logique de prestation, notamment à travers l’usage des termes de « prix », « prestation », « contrat », etc…
Dans cette configuration de quasi-régie et au regard des dispositions du code de la santé publique, le GHT sous la forme d’un GCS n’aura d’autre choix que d’obtenir la certification HDS. Cela tombe bien, rappelons que le GHT sous la forme d’un GCS dispose de la personnalité morale à la différence d’un GHT « classique » et sera dès lors en mesure de porter seul la certification HDS en tant qu’entité juridique distincte de celles des autres membres.
À noter que dans cette hypothèse, le GCS devra anticiper les nouvelles exigences à venir prévue par la nouvelle version du référentiel HDS, laquelle doit être prochainement publiée au journal officiel (annoncée initialement au cours du premier trimestre 2024). Cette nouvelle version annoncée par l’ANS en décembre dernier vise à intégrer :
- Des précisions sur la définition des activités d’hébergement (notamment l’activité d’administration et d’exploitation des systèmes de santé) ;
- Les évolutions de la norme ISO 27001 apportées par la norme ISO 27701 en août 2019 dont l’objectif était d’intégrer des exigences de sécurité supplémentaires en matière de gouvernance des données personnelles ;
- Des exigences relatives au renforcement de la souveraineté des données, à l’heure où les débats sur la souveraineté des données stockées dans le Cloud alimentent presque quotidiennement la presse spécialisée sur le sujet. L’ANS a d’ailleurs précisé qu’aucun alignement sur les exigences en termes d’immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2 n’est prévue à ce jour.
Deuxième option pour les GHT- GCS : L’exercice de son mandat dans le cadre de la mise à disposition des moyens mutualisés entre les membres du groupement
En totale opposition avec la première option, celle-ci vise à démontrer l’existence de critères permettant de relever l’absence d’une prestation d’hébergement de données de santé délivrée soit par le groupement pour ses membres, soit par un des membres (à tout hasard l’établissement support) pour les autres membres.
En effet, le cadre juridique posé par le code de la santé publique en matière d’hébergement de données de santé et la FAQ produite par le ministère des Solidarités et de la santé le 16 mai 2019 portant sur l’explication du champ d’application du cadre juridique de l’hébergement de données de santé, précise que l’obligation de certification HDS s’applique à toute entité qui :
- propose un service d’hébergement portant sur des données de santé recueilli à l’occasion d’activités de soins,
- réalise ce service pour le compte du patient, celui des professionnels de santé ou encore des établissements et services de santé.
Dès lors, si le groupement opte pour une mutualisation des moyens d’hébergement dans le cadre du mandat qui lui a été confié, sans pour autant s’inscrire dans la fourniture d’une prestation d’hébergement de données, ses membres pourraient alors être exemptés de la certification HDS, dans la mesure où ces derniers hébergeraient pour leur propre compte leurs données de santé issues de leurs activités de soins, mais ce, avec l’aide des moyens mutualisés mis à disposition par le groupement. Rappelons ici que le GCS repose sur la notion de mandat, et s’inscrit par conséquent dans la continuité des activités de chaque membre. À ce titre, le GCS peut notamment bénéficier d’une exonération de la TVA, mettre à disposition fonctionnelle du personnel auprès des membres de son groupement.
Il conviendra alors de démontrer que l’activité d’hébergement est réalisée en interne par les membres du groupement qui s’appuient sur les moyens mutualisés du groupement. Une grille de lecture comportant l’ensemble de ces critères devra alors être minutieusement établie pour s’assurer ne pas rentrer dans le périmètre de l’obligation de certification HDS et mettre en œuvre le faisceau d’indices indispensable à cette exemption.
Ainsi, à l’inverse de la première option, la convention constitutive et le règlement intérieur du groupement ne devront pas faire apparaitre les termes de « prix » ou « prestation », mais plutôt celui de « contributions aux charges » et de mise à disposition de moyens.
En conclusion, si vous souhaitez vous lancer dans l’aventure d’un GHT doté d’une personnalité morale et que votre établissement hébergeur bénéficiait de l’exemption de certification HDS spécifique au GHT, alors il vous reste cette seconde option qui, pour être mise en œuvre, nécessitera une mise à jour de votre convention, règlement intérieur, et des modalités d’hébergement des données que vous aviez pu définir en amont pour pouvoir rentrer dans ce faisceau d’indices. Le chemin est étroit mais il existe !
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.