SSIAD, SAAD et SPASAD sont désormais réunis sous l’appellation unique de Services Autonomie à Domicile (« SAD ») depuis la réforme des SAD, entérinée par l’article 44 de la loi de financement de la Sécurité sociale pour 2022. Cette restructuration soulève toutefois des questions sur l’application de la réglementation des données personnelles.

En effet, les opérateurs se concentrent actuellement sur l’obtention de l’autorisation médico-sociale pour délivrer les services SAD. Cependant, ceux se tournant vers l’option du transfert d’activités entre gestionnaires, en particulier les ex-SSIAD, ont-ils suffisamment encadré les modalités de ce transfert impliquant des données personnelles ?

De même, le cahier des charges des SAD, issu du décret n°2023-608 du 13 juillet 2023, impose aux gestionnaires une véritable appropriation des outils numériques, mais comment cette exigence se traduit-elle concrètement pour les SAD du point de vue de la gestion des données personnelles ?

Les opérateurs des désormais ex-SSIAD, SAAD et SPASAD doivent, depuis la réforme SAD, concentrer au sein d’une même entité l’autorisation médico-sociale leur permettant de délivrer les services entrant dans le périmètre des missions des SAD, lesquelles sont aujourd’hui listées à l’article D.312-1 du Code de l’action sociale et des familles (ci-après « CASF »).

En effet, les SAD intégrés dispensent des prestations d’aide, d’accompagnement et de soins et doivent être gérés par une personne morale, le gestionnaire, qui est titulaire de l’autorisation médico-sociale délivrée conjointement par l’Agence régionale de santé (ci-après « ARS ») et le conseil départemental.

Beaucoup de gestionnaires ne disposant pas de l’intégralité des moyens nécessaires pour constituer seuls un SAD « intégré » ont fait le choix de se rapprocher entre eux afin de mutualiser leurs moyens. C’est le cas notamment des ex-SSIAD qui devront se transformer en SAD dispensant de l’aide et du soin avant le 30 décembre 2025.

Quel que soit le schéma juridique retenu par les acteurs du domicile (reprise d’activité, conventionnement, constitution d’un GCSMS…), la constitution du SAD intégré géré par une entité juridique unique se traduira à un moment ou à un autre par une opération de cession d’autorisation impliquant un transfert d’activité vers un même gestionnaire.

Ce sont les modalités de ce transfert qui nous intéressent ici, dans la mesure où celui-ci implique un transfert de données à caractère personnel, celles des personnes accompagnées mais aussi des membres du personnel de la structure absorbée, allant d’un gestionnaire à un autre.

Ce transfert, soumis aux exigences posées par le règlement général sur la protection des données (ci-après « RGPD ») doit dès lors être encadré d’un point de vue juridique mais aussi d’un point de vue technique.

S’agissant de l’encadrement juridique

Le transfert d’activité suppose la communication de données à caractère personnel d’un gestionnaire à un autre qui en deviendra le nouveau responsable de traitement au sens du RGPD.

À ce titre, il convient pour les gestionnaires concernés de déterminer précisément le périmètre des traitements de données personnelles concernés par le transfert à partir du registre des activités de traitement du Cédant.

Cela suppose de lister l’ensemble des traitements des données personnelles réalisés par le gestionnaire cédant qui vont être communiqués au gestionnaire cessionnaire (celui du SAD). Cette liste doit notamment faire apparaitre les bases légales prévues par l’article 6 du RGPD qui auraient été retenues par le gestionnaire cédant, dans la mesure où si celles-ci visent le consentement des personnes concernées (article 6.1.a du RGPD), alors le gestionnaire du futur SAD devra recueillir de nouveau le consentement des personnes concernées (nouveau traitement, nouveau consentement). Attention donc aux autorisations de droit à l’image des personnes accompagnées et/ou des salariés !

De même, le périmètre des données personnelles reprises dans le cadre du transfert doit être également correctement déterminé entre les gestionnaires.

Cela consiste à identifier les données dont la période de conservation établie par le responsable du traitement n’est pas encore expirée, ainsi que celles nécessitant un archivage ou une destruction. L’occasion ici de rappeler que l’archivage sous format numérique des données à caractère personnel de santé, réputées sensibles au sens de l’article 9 du RGDP, va prendre une nouvelle dimension à partir du 1^er juillet 2025 en imposant aux responsables de traitement de recourir à un prestataire certifié hébergeur de données de santé (« HDS ») conformément aux dispositions de l’article L.1111-8 du Code de la santé publique, dans sa rédaction à venir issue de la loi SREN adoptée le 21 mai 2024.

En outre, les personnes concernées devront être préalablement informées du transfert de leurs informations personnelles par le gestionnaire cédant via une communication adaptée à leur situation, de leur possibilité de s’opposer au transfert de leurs informations et des éventuelles conséquences de ce refus (par exemple, pour les personnes accompagnées, la fin de la délivrance des services proposés par le SAD). À noter toutefois que selon les modalités de traitements de données retenues faisant l’objet d’un transfert, les personnes concernées ne disposent pas de la possibilité de s’opposer, notamment lorsque le traitement repose sur la base légale de l’obligation légale qui s’impose au responsable de traitement (article 6.1.c du RGPD) ou encore celle de l’exécution d’une mission d’intérêt public (article 6.1.e du RGPD). Vigilance donc sur les bases légales retenues par l’établissement cédant ses activités et les traitements réalisés, ainsi que sur le support utilisé pour délivrer l’information auprès des personnes concernées, lequel doit être clair et accessible.

Enfin, les gestionnaires devront également prévoir la communication de l’ensemble de la documentation réalisée par le gestionnaire cédant en lien avec sa gouvernance RGPD, au profit du gestionnaire du futur SAD (sans être exhaustif : registre des activités de traitement, registre des violations de données, registre des demandes d’exercice des droits RGPD, Analyse d’impact relative à la protection des données (« AIPD »), éventuelles politiques internes, etc… ).

S’agissant de l’encadrement technique

Le transfert d’activité suppose de déterminer des modalités concrètes sur la manière dont vont être transférés les éléments précédemment évoqués.

Au regard de la sensibilité de certains de ces éléments, notamment les informations de santé des personnes accompagnées, des mesures techniques et organisationnelles devront être déterminées par les gestionnaires pour assurer la sécurité, confidentialité et intégrité des informations personnelles communiquées.

À ce titre, et selon les recommandations posées par la Commission Nationale de l’Informatique et des Libertés (« CNIL ») dans son guide de la sécurité des données personnellespublié en mars 2024, notamment au sein de sa fiche numéro 13 «SÉCURISER LES ÉCHANGES AVEC L’EXTÉRIEUR », certaines précautions élémentaires doivent être mises en œuvre.

À titre d’illustration, le chiffrement des données transférées via un support physique (clé USB, disque dur portable, etc..) ou encore la transmission par le réseau via un canal sécurisé, tel qu’un espace en ligne sécurisé, devront être prévus.

A contrario, la CNIL interdit le recours à des messageries et autres plateformes grand public pour transférer les données personnelles.

Enfin, et dans la continuité de la gouvernance RGPD mise en place par le gestionnaire cédant, si celui-ci avait mis en place une adresse mail dédiée pour la gestion des demandes d’exercice des droits (l’adresse électronique @dpo), il conviendra de déterminer les modalités de transfert de cette boîte mail vers celle du gestionnaire du futur SAD avant son éventuelle transfert ou suppression.

Au regard de l’encadrement technique et juridique, l’établissement d’un accord de transfert entre les gestionnaires concernés constitue le moyen le plus adapté pour encadrer l’ensemble de ces exigences.

Toutefois, il revient aux gestionnaires des SAD de ne pas s’arrêter en si bon chemin concernant le respect de la réglementation sur les données personnelles, et de poursuivre leurs efforts dans le cadre du « virage numérique » que leur demande la mise en œuvre du cahier des charges techniques issue du décret SAD du 13 juillet 2023, et ce, quelque soit leur mode de constitution de leur entité juridique unique.

Le cahier des charges définissant les conditions techniques minimales d’organisation et de fonctionnement des SAD (ci-après « cahier des charges SAD »), mentionnés à l’article L.313-1-3 du CASF et au IV. de l’article D.312-1 du même code, est aujourd’hui annexé au CASF (Annexe 3-0).

Celui-ci a notamment pour ambition de développer le recours aux outils numériques dans le but, comme nous le rapporte la note explicative du Ministère de la santé du décret SAD publiée en septembre 2023, « de renforcer la qualité de leur activité en favorisant les échanges d’informations entre les professionnels et avec les personnes accompagnées, la transversalité et le suivi des accompagnements ».

Ainsi, le cahier des charges SAD intègre des exigences en matière de gestion du système d’information et de coordination des soins entre les intervenants, parmi lesquelles nous retrouvons notamment :

• Le recours à un « un logiciel de gestion du dossier usager informatisé (DUI), conforme aux exigences de sécurité de la politique de gestion de la sécurité des systèmes d’information de santé et référencé Ségur» (Point 3.1 du Cahier des charges SAD) ;
• La protection des données personnelles des personnes accompagnées. Les gestionnaires des SAD doivent, à ce titre, s’engager dans une démarche de mise en conformité globale au RGPD (Point 3.1 du Cahier des charges SAD) ;
• La possibilité de se doter d’un outil de liaison dématérialisé et conforme au Cadre d’Interopérabilité des Systèmes d’Information en Santé (CI-SIS) dans le cadre de l’organisation de la coordination des activités d’aide, d’accompagnement et de soins (article 4.3.1.2. du Cahier des charges SAD ) ;
• La mise en œuvre d’un outil de télégestion permettant au gestionnaire d’assurer un suivi individualisé des interventions réalisées en accord avec la personne accompagnée (article 4.1.2. du Cahier des charges SAD).

S’agissant de l’acquisition de ces outils numériques

Il convient pour les gestionnaires des SAD d’être particulièrement vigilants sur le respect de normes techniques et réglementaires que doit présenter le prestataire, et sur les modalités contractuelles à négocier avec ce dernier.

Concernant le respect des normes techniques et réglementaires, les gestionnaires doivent s’assurer que le prestataire respecte, si ce dernier est concerné, les référentiels de l’Agence du numérique en santé (ci-après « ANS »), que ce soit en termes d’identitovigilance, ou encore d’interopérabilité.

De même, si le prestataire est amené à héberger des données de santé des personnes accompagnées pour le compte du SAD, il est alors impératif de s’assurer que ce dernier dispose bien d’une certification « HDS » prévue par l’article L.1111-8 du CSP, et que celle-ci soit conforme au périmètre de ses activités délivrées conformément aux différentes classes énumérées à l’article R.1111-9 du CSP (1°à 6°).

Concernant la négociation des contrats informatiques avec ces prestataires, il convient de prêter attention aux engagements de niveaux de service du prestataire en cas d’incident perturbant la disponibilité de l’outil métier, et/ou de maintenance de celui-ci.

En outre, le prestataire intervenant en qualité de sous-traitant de données personnelles au sens du RGPD devra faire l’objet d’un encadrement contractuel précis prévue par le RGPD. Une clause ou une annexe dédiée à cette intervention doit dès lors être prévue au sein du contrat.

Une fois ces outils intégrés au sein du système d’information du SAD, alors le gestionnaire devra mettre à jour (ou réaliser) son registre des activités de traitement, les mentions d’informations à destination des personnes concernées, et enfin les analyses d’impact relatives à la protection des données personnelles.

Sur ce point, le gestionnaire pourra s’appuyer sur son délégué à la protection des données (ci-après « DPD » ou « DPO » pour Data protection officier) pour l’accompagner dans ces différents chantiers.

S’agissant des modalités de coordination des activités au sein du SAD

Les outils numériques ont également pour objectif de faciliter la coordination des professionnels intervenant au sein du SAD auprès des personnes accompagnées.

À ce titre, le cahier des charges SAD prévoit la mise en place d’un projet de service, qui a vocation notamment à préciser : « les outils permettant le partage des informations nécessaires à un accompagnement global et de qualité. Le partage d’informations, strictement nécessaires au suivi médico-social de la personne, s’exerce dans les conditions prévues par l’article L. 1110-4 du code de la santé publique ». ( article 4.3.1.2. du Cahier des charges SAD).

En effet, les notions d’échange et de partage d’informations médicales prévues par l’article L.1110-4 du CSP, faisant également appel à celle d’équipe de soins prévue par l’article L.1110-12 du CSP, peuvent être particulièrement épineuses à mettre en œuvre au sein d’une structure.

Celles-ci nécessitent une réflexion interne sur le périmètre des habilitations accordées aux professionnels intervenant au sein de la structure, et également celui des informations médicales auxquelles ces derniers peuvent accéder.

Sur ce point, il n’existe malheureusement pas de recette miracle sur la gestion des habilitations, tant celle-ci varie d’une organisation à une autre. À ce titre, le projet de service prévu par le cahier des charges SAD peut constituer un vecteur intéressant pour formaliser les règles de la structure en matière d’échange et de partage d’informations médicales.

Par ailleurs, la CNIL, à l’occasion de la présentation en ligne le 1^er avril 2025 de ses recommandations sur la gestion du Dossier patient informatisé (« DPI ») soumises à consultation publique, n’a pas osé s’aventurer sur cette problématique pourtant bien connue du secteur du sanitaire et du médico-social.

À noter d’ailleurs que lors de la présentation de ses recommandations, la CNIL n’a pas exclu la réalisation de recommandations dédiées à la gestion du DUI. Rien n’empêche cependant les gestionnaires de s’inspirer aujourd’hui des recommandations de la CNIL visant le DPI pour leur DUI.

Les SAD ont donc de beaux sujets de mise en conformité à la réglementation sur les données personnelles à traiter via la gestion de leurs outils numériques. La gestion de ce « virage numérique » est donc essentielle pour les activités des SAD, tant pour leur fonctionnement et leur organisation, que pour les personnes qu’elles accompagnent.