Lors des journées CATEL Paris 2017 du 5 et 6 octobre 2017, organisées par le Club des acteurs de la télémédecine, le directeur général de l’Agence des Systèmes d’Information Partagés de santé (ASIP Santé), Michel Gagneux, a indiqué qu’un projet de décret relatif à la procédure de certification des hébergeurs de données de santé était en préparation. Ce décret traitera notamment de la question épineuse de l’hébergement des données au sein d’un groupement hospitalier de territoire (GHT).

Les groupements hospitaliers de territoire créés par la loi n°2016-41 de modernisation de notre système de santé du 26 janvier 2016 en son article 107, constituent une nouvelle forme de groupement de coopération sanitaire. Ce nouveau format de groupement revêt un caractère obligatoire pour tous les établissements publics de santé qui doivent alors s’organiser autour d’un projet médical partagé.

Le GHT « a pour objet de permettre aux établissements de mettre en œuvre une stratégie de prise en charge commune et graduée du patient, dans le but d’assurer une égalité d’accès à des soins sécurisés et de qualité. Il assure la rationalisation des modes de gestion par une mise en commun de fonctions ou par des transferts d’activités entre établissements ».

Néanmoins, nous constaterons en lisant les dispositions de l’article L. 6132-1 du code de la santé publique que le GHT n’est pas doté de la personnalité morale. Cette carence juridique prend toute son ampleur dans la question de l’hébergement des données de santé.

En effet, lorsque le responsable d’un traitement de données de santé collectées ou produites à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social décide d’héberger lui-même ces données, il est alors exempté de la procédure d’agrément prévue à l’article L. 1111-8 du code de la santé publique.  Mais, dès lors que le responsable de traitement fait conserver les données collectées par un tiers, il doit alors faire appel à un hébergeur agréé de données de santé (HADS).

Dans le cas des GHT, ne disposant pas de la personnalité morale, seul l’établissement de santé support est en mesure d’héberger les données de santé des autres établissements partenaires lorsque ces derniers souhaitent les lui confier. Or, les données n’étant pas des données collectées par l’établissement support lui-même, ce dernier est alors considéré comme un hébergeur tiers qui doit être soumis à l’obligation d’agrément ou de certification…C’est le serpent qui se mord la queue !

À l’ère du développement des coopérations sanitaires et de la mutualisation des systèmes d’information dans notamment l’amélioration de la gestion du parcours de soins, une véritable réflexion reste à mener quant à la souplesse juridique de tels mécanismes.

À suivre avec le nouveau décret relatif à la procédure de certification des hébergeurs qui sera pris en application de l’ordonnance du 12 janvier 2017[1].

[1] Ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel (JORF du 13 janvier 2017).