La gestion qualité des ESSMS et le RGPD : Une synergie existe !
Article rédigé le 2 octobre 2024 par Me Raphaël Cavan
Les exigences de la qualité des soins et service proposés par les établissements et services sociaux et médico-sociaux et l’obligation de s’y conformer présente à l’article L.312-8 du Code de l’Action Sociale et des Famille sont désormais bien connues des ESSMS.
Pour autant les ESSMS ont-ils conscience que les critères du référentiel HAS renforcent par la même occasion leur conformité au RGPD, capitalisant ainsi leurs efforts de mise en conformité ?
La réforme de l’évaluation qualité des ESSMS, initiée par la loi OTSS du 24 juillet 2019, a rationalisé et uniformisé le processus d’évaluation de la qualité des soins délivrés par les ESSMS.
La HAS, désormais en charge d’un nouveau référentiel national pour tous les ESSMS, s’appuie sur un cycle quinquennal d’évaluation fixé par le Décret n° 2021-1476 du 12 novembre 2021.
La réalisation des critères posés par le référentiel peut être parfois un long chemin pour les ESSMS qui, au-delà du précieux sésame de la certification délivrée par la HAS, perdent de vue les bénéfices de leurs efforts déployés dans leur conformité au RGPD, offrant ainsi des bénéfices souvent négligés par les ESSMS.
Par ailleurs, dans le cadre des processus d’évaluation, des questions surviennent en lien avec l’accès par les évaluateurs extérieurs aux informations médicales des personnes accompagnées. Le RGPD permet d’apporter un début de réponse. On vous explique.
QUAND LA QUALITÉ RENCONTRE LE RGPD
L’évaluation de la qualité des ESSMS « constitue un levier de mobilisation des professionnels, dans une dynamique d’amélioration continue de la qualité des accompagnements délivrés aux personnes accueillies ».
Cette dynamique d’amélioration continue est orientée par la réalisation des exigences posées par le référentiel de la HAS, chacune faisant l’objet d’une fiche critère dédiée comportant à la fois les éléments d’évaluation et les références légales et réglementaires afférentes.
Nous retrouvons la même dynamique dans la mise en conformité d’un organisme aux règles posées par la règlementation sur les données personnelles, laquelle recouvre à la fois le règlement européen général sur la protection des données («°RGPD°») et la loi Informatique et Libertés n°78-17 modifiée du 6 janvier 1978 (« LIL »).
En effet, la qualité et le respect des données personnelles impliquent dans les deux cas de recourir à une logique de documentation en interne du respect des exigences posées. Cette logique se traduit dans le RGPD comme étant le principe d’accountability (ou de responsabilité) par lequel le responsable de traitement doit être en mesure de démontrer le respect de sa conformité.
Que ce soit donc l’évaluateur qualité ou les agents de la CNIL, des éléments écrits devront être produits pour apporter la preuve de la conformité de l’établissement contrôlé !
Ainsi, parmi les éléments d’évaluation posés par les fiches des critères du référentiel de la HAS, il n’est pas rare de retrouver des éléments de preuve concourant également à la conformité de l’établissement à la réglementation sur les données personnelles.
Toutefois, rares sont les fiches citant expressément dans les références légales et réglementaires les textes de la règlementation sur les données personnelles. Dès lors, comment identifier parmi les 157 critères posés par référentiel de la HAS ceux ayant des incidences avec les problématiques liées à la protection des données personnelles ?
À titre d’exemple, le critère 2.10.2 posé par le référentiel vise comme exigence le fait que « Les professionnels respectent les règles de sécurisation des données, des dossiers et des accès ». La fiche cite expressément le RGPD, sans toutefois viser précisément l’une de ses dispositions.
De même, nous pouvons relever que la fiche pose des éléments d’évaluation suffisamment larges tels que :
« Toutes procédures, protocoles ou autre(s) document(s) décrivant les règles de sécurisation des données, des dossiers et des accès » .
Ou encore :
« Toutes observations permettant de s’assurer du respect des règles de sécurisation des données. Exemples : modalités d’accès aux dossiers et sécurisation, utilisation des identifiants et mots de passe personnels, armoires fermées à clé ».
L’ensemble des éléments visés par la fiche font ici référence à toute documentation interne concourant à la mise en œuvre de mesures techniques et organisationnelles adaptées pour assurer la sécurité, la confidentialité et l’intégrité des données personnelles traitées. Pour les plus familiarisés au RGPD, vous aurez reconnu les dispositions de l’article 32 du RGPD qui impose au responsable de traitement cette obligation de sécurité des données personnelles collectées.
Ainsi, la charte informatique et la politique d’habilitation des accès au système informatique d’un ESSMS, sont des documents concourant non seulement à la conformité du référentiel de la HAS, mais aussi à celle de la réglementation sur les données personnelles.
Certains critères, bien qu’ils ne se réfèrent pas directement aux textes réglementaires sur les données personnelles, peuvent également s’appuyer sur la documentation de mise en conformité pour fournir des éléments d’évaluation et contribuer à prouver la conformité.
À titre d’illustration, les critères 1.2.4 à 1.2.6 du référentiel de la HAS participent à la réalisation de l’objectif visant à fournir à la personne accompagnée les informations nécessaires et adaptées pour la bonne compréhension de sa prise en charge et de l’exercice de ses droits individuels.
Pour autant, bien que ces critères ne font pas références aux dispositions de la réglementation sur les données personnelles, les éléments d’évaluation pouvant être produits par l’ESSMS relèvent également de la conformité de l’établissement au RGPD et à la LIL.
En effet, les informations délivrées aux personnes accompagnées par les ESSMS sur leur prise en charge impliquent nécessairement de leur transmettre toutes les informations en lien avec les caractéristiques des traitements de données personnelles auxquelles ils sont sujets. On retrouve ici l’obligation d’information des personnes concernées posée par les articles 13 et 14 du RGPD.
Dès lors, les ESSMS ont tout intérêt s’ils souhaitent faire d’une pierre deux coup d’associer l’expertise des professionnels de la protection des données personnelles dans leur conformité aux exigences qualités posés par le référentiel de la HAS, ces dernières étant très liées avec celles de la réglementation sur les données personnelles.
Toutefois, la relation entre la qualité et le RGPD ne doit pas être uniquement vue sous l’angle des synergies, mais également sous l’angle de la responsabilité, en particulier lorsqu’il s’agit d’accorder un accès aux évaluateurs externes de la qualité sur les informations médicales des personnes accompagnées.
UN ENCADREMENT POSSIBLE DE L’ÉVALUATEUR DANS L’ACCÈS AUX INFORMATIONS MÉDICALES ?
De fait, le cadre juridique autour de l’intervention de l’évaluateur reste silencieux sur les enjeux RGPD autour du déroulé de l’évaluation même au sein de l’ESSMS, alors même que l’accès aux informations médicales des personnes accompagnées est strictement encadré par le code de la santé publique (ci-après « CSP ») à travers les notions de secret médical du patient et celle d’échange et de partage d’informations médicales (article L.1111-7 du CSP).
Pour rappel, les informations médicales auxquelles fait référence l’article du CSP précité sont des données personnelles réputées « sensibles » au sens de l’article 9 du RGPD, lesquelles requièrent, par conséquent, la mise en œuvre de mesures techniques et organisationnelles adaptées à leur sensibilité.
Dès lors, sur qui repose la responsabilité des données médicales des personnes accompagnées au moment où l’évaluateur y accède pour les besoins de son évaluation ?
Des garanties autour de la confidentialité des informations consultées par l’évaluateur externe peuvent être relevées.
En effet, la HAS tient à jour une liste des organismes externes accrédités (Décret n°2022-742 du 28 avril 2022), lesquels doivent nécessairement se conformer à la norme ISO/IEC 1702 qui prévoit un volet consacré à la confidentialité des informations consultées et traitées.
De même, la HAS prévoit dans son cahier des charges une obligation de confidentialité à la charge des évaluateurs.
Mais est-ce pour autant suffisant dans le contexte particulier dans lequel intervient l’évaluateur pour déterminer son niveau de responsabilité dans la gestion des données médicales auxquelles ce dernier accède ? Sur ce point, il reste une option pour les ESSMS pour clarifier le rôle de l’évaluateur et son niveau de responsabilité au sens du RGPD.
En effet, à la différence des évaluations qualité réalisées par des expert-visiteurs mandatés par la HAS pour les évaluations réalisées auprès des établissements de santé, les ESSMS doivent contractualiser avec l’organisme d’évaluation externe.
Bien que la liste des organismes soit tenue à jour, la HAS n’émet pas de recommandations particulières sur les modalités de contractualisation entre les ESSMS et les organismes d’évaluation.
Ainsi, les ESSMS ont tout intérêt à encadrer le rôle de l’évaluateur dans un contrat qu’il conviendra de prévoir, tout en assurant bien évidemment le respect des prérogatives de l’évaluateur. L’objectif ici n’étant pas d’empêcher l’évaluateur d’accéder aux informations nécessaires pour évaluer la qualité des soins de l’établissement, mais de clarifier les limites de leur responsabilité respective.
Dès lors, quelle qualification juridique peut-on retenir au sens du RGPD pour un organisme évaluateur externe ? Est-il un responsable de traitement, un sous-traitant, ou bien même un responsable conjoint de traitement avec l’ESSMS évalué ?
En effet, et à titre d’illustration, préciser expressément au sein du contrat qui de l’ESSMS ou de l’organisme d’évaluation externe est responsable de traitement des opérations de contrôle réalisées, permettra de déterminer lequel aura la charge de tenir informées les personnes accompagnées concernées.
Une chose est sûre, un avis de la HAS pour éclaircir ce sujet serait heureux pour aiguiller l’ensemble des ESSMS dans ces démarches de conformité à son référentiel.
Une autre chose est sûre : la qualité et le RGPD semblaient de prime abord deux langages totalement différents appartenant chacun à des univers opposés et exclusifs l’un de l’autre, mais c’était sans compter la convergence des objectifs poursuivis par ces deux domaines, à savoir le bien-être et le respect de la personne accompagnée dans le cadre de son suivi au sein des ESSMS.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.