RÉFORME SAD : COMMENT GÉRER LE VIRAGE NUMÉRIQUE SANS ALLER DROIT DANS LE MUR ?

La réforme des SAD, issue de la LFSS 2022, atteint une échéance cruciale le 31 décembre 2025 : les gestionnaires de SSIAD doivent impérativement déposer une demande d’autorisation de SAD « mixte » (aide et soins) pour éviter la caducité de leur autorisation initiale.

Cette date marque aussi le début d’un enjeu clé pour l’année 2026 : le virage numérique, central dans le cahier des charges issue du décret n°2023-608 que le SAD soit porté par une « entité juridique unique » ou géré dans un cadre conventionnel. Ce virage, souvent perçu comme un défi pour le secteur médico-social, moins avancé que le sanitaire, doit être stratégiquement maîtrisé pour en faire un levier de transformation plutôt qu’un risque.

Le virage numérique que doivent prendre les SAD s’inscrit dans la stratégie nationale du numérique pour les secteurs du médico-social et du social qui vise l’ensemble des établissements et services sociaux et médico-sociaux (ESSMS).

Cette stratégie est portée par la Délégation ministérielle au numérique en santé (DNS) et par la Caisse nationale de solidarité pour l’autonomie (CNSA), avec l’appui de l’Agence du numérique en santé (ANS) et de l’Agence d’appui à la performance des établissements sanitaires et médico-sociaux (ANAP).

Dans ce contexte, la réforme des SAD s’aligne sur les ambitions du programme ESMS numérique, dont l’objectif est de généraliser l’utilisation effective du dossier usager informatisé (DUI), interopérable et sécurisé, auprès des ESSMS d’ici fin 2025.

Ainsi, on comprend mieux pourquoi le déploiement du DUI au sein des SAD constitue l’un des piliers du cahier des charges définissant les conditions techniques minimales d’organisation et de fonctionnement des SAD, annexé au Code de l’action sociale et des familles (CASF) (Annexe 3-0).

En effet, ce cahier des charges intègre des exigences en matière de gestion du système d’information et de coordination des soins entre les intervenants, parmi lesquelles figurent notamment :

• Le recours à un « un logiciel de gestion du dossier usager informatisé (DUI), conforme aux exigences de sécurité de la politique de gestion de la sécurité des systèmes d’information de santé et référencé Ségur» (Point 3.1 du Cahier des charges SAD) ;
• La possibilité de se doter d’un outil de liaison dématérialisé et conforme au Cadre d’Interopérabilité des Systèmes d’Information en Santé (CI-SIS) dans le cadre de l’organisation de la coordination des activités d’aide, d’accompagnement et de soins (article 4.3.1.2. du Cahier des charges SAD ) ;
• La mise en œuvre d’un outil de télégestion permettant au gestionnaire d’assurer un suivi individualisé des interventions réalisées en accord avec la personne accompagnée (article 4.1.2. du Cahier des charges SAD).

L’intégration de ces outils numériques et des mesures organisationnelles qui les encadrent s’inscrit dans une démarche plus large : le respect de la règlementation sur les données à caractère personnel, laquelle recouvre à la fois le règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL).

En tant que responsable de traitement au sens de l’article 4.7 du RGPD, les SAD sont en effet amenés, dans le cadre de leur activités d’aide et/ou de soins à collecter et traiter des données à caractère personnel relatives aux usagers/patients, aux salariés et aux professionnels intervenant dans leur structure.

Dès lors, et comme le prévoit explicitement le cahier des charges, le SAD « s’assure de la conformité des traitements de données à caractère personnel utilisés au [RGPD et à la LIL] » (Point 3.1 du Cahier des charges SAD).

Les SAD, responsables de traitement, sont tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir, et être en mesure de démontrer, que leurs activités de traitement respectent les exigences de la règlementation sur les données personnelles (article 24 du RGPD : principe de responsabilité).

Cela implique de documenter l’ensemble des mesures adoptées pour se conformer au RGPD en tenant compte de la nature, de la portée, du contexte et des finalités des traitements mis en œuvre, ainsi que des risques pour les droits et libertés des personnes physiques concernées.

À cet égard, le guide d’accompagnement sur le volet numérique de la réforme des SAD publié en novembre 2023 par l’ANS rappelle aux SAD les 6 principes fondamentaux régissant le traitement de données personnelles :

• Finalité(s) et licéité du traitement: Les traitements doivent être déterminés au regard des missions et objectifs poursuivis par la structure ;
• Proportionnalité et pertinence des informations collectées: Les données collectées et traitées doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement ;
• Durée de conservation des données personnelles limitée : Les données ne doivent être conservées que le temps nécessaire, en fonction de leur nature et de leur usage ;
• Sécurité et confidentialité des données collectées et traitées: des mesures techniques (antivirus, chiffrement des données, cloisonnement des serveurs, traçabilité, etc…) et organisationnelles (politique d’habilitation, plan de continuité, procédure d’accès au dossier médical, etc…) doivent être mises en place ;
• Transparence auprès des personnes dont les données sont collectées en les informant de manière claire, simple et complète quant aux traitements réalisés ;
• Respect des droits des personnes concernées prévus par le RGPD (articles 12 à 23 du RGPD).

Ces principes doivent guider les SAD dans toutes leurs activités de traitement, qu’il s’agisse de l’utilisation du DUI (admission, soins, coordination, gestion administrative) ou de la gestion interne (RH, comptabilité)

À ce titre, les SAD devront, à titre non-exhaustif :

• Tenir un registre des activités de traitement de leur structure (article 30 du RGPD) ;
• Prévoir des mentions RGPD auprès des personnes concernées (articles 13 et 14 du RGPD) ;
• Sécuriser contractuellement leurs relations avec leurs prestataires intervenant dans leurs activités de traitement en tant que sous-traitant, tels que l’éditeur de leur DUI (article 28 du RGPD).
• Réaliser une analyse d’impact relative à la protection des données dans le cadre du déploiement du DUI au regard de la sensibilité des données qui y sont traitées et du risque auprès des personnes concernées en cas de violations de données (article 35 du RGPD) ;
• Encadrer les modalités d’échange et de partage des informations relatives à l’état de santé du patient (article 32 du RGPD et article L.1110-4 du Code de la santé publique) ;
• Etc…

Bien que le virage numérique qui s’impose aux SAD dans le cadre de la réforme puisse paraitre contraignant, celui-ci est également porteur d’opportunités pour ceux qui sauront s’approprier les enjeux posés par la règlementation sur les données personnelles et celle sur l’intelligence artificielle ( Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (IA Act) ) ainsi que les exigences posées par le cahier des charges en matière de système d’information.

En effet, la transformation numérique des SAD à travers « l’outillage numérique » de ces derniers,  devrait permettre l’évolution des pratiques professionnelles et de favoriser la coopération et la coordination entre les professionnels intervenant auprès d’une même personne.

Ces outils, lorsque leur utilisation est correctement intégrée et encadrée au sein de la structure, viennent dès lors renforcer le suivi et la qualité de l’accompagnement proposé par le SAD auprès des patients et/ou usages concernés qui en seront les premiers bénéficiaires.  

À titre d’illustration, le déploiement du DUI nécessite d’encadrer son utilisation auprès de l’ensemble des utilisateurs du SAD disposant d’un accès nominatif à la solution. L’établissement d’une charte informatique, juridiquement opposable aux utilisateurs qui ne respecteraient pas ses règles, constitue une piste à laquelle devra réfléchir le SAD, notamment pour préserver sa responsabilité en cas d’incident relevant d’un fait exclusivement imputable à un utilisateur qui aurait détourné l’outil à d’autres fins que ceux initialement définis.

Pour un exemple que nous avons eu à traiter au cabinet : le fait pour un professionnel de santé de copier l’intégralité du dossier médical des patients pris en charge en dehors du DPI (dossier patient informatisé) de la structure, sur un serveur « sauvage » personnel ne présentant pas les garanties de sécurité prévues par   L.1 111-8 du Code de la santé publique relatives à l’obligation de détention d’une certification HDS (hébergeur de données de santé).

De même, lors de notre précédent article dédié à la réforme SAD, nous avions pu évoquer les enjeux posés par la gestion des habilitations accordées aux professionnels intervenant au sein du SAD qui ont accès au DUI et aux informations médicales des patients/usagers qui y sont conservées qui nécessitent une analyse rationnelle au cas par cas.

Enfin, l’intelligence artificielle, si elle est utilisée de manière éthique et maîtrisée, pourrait renforcer l’efficacité des SAD,  à condition d’être intégrée dans une gouvernance dédiée.

Ainsi, le numérique est un levier de transformation pour les SAD incontestable, mais qui doit être appréhendé et réfléchi au travers d’une gouvernance dédiée au sein du SAD.

Pour se conformer aux exigences du cahier des charges et mettre en place une gouvernance RGPD, les SAD peuvent s’appuyer sur le délégué à la protection des données (DPD ou DPO pour Data protection officier).

Ce dernier a pour missions principales de :

• Informer et conseiller la structure et ses employés sur leurs obligations RGPD ;
• Superviser la conformité des traitements, y compris la réalisation d’audits et la formation des équipes ;
• Coopérer avec la CNIL et servir de point de contact pour les autorités de contrôle ;
• Conseiller sur les analyses d’impact (AIPD) et surveiller leur mise en œuvre ;
• Agir en tant qu’interlocuteur pour les personnes concernées, notamment pour l’exercice de leurs droits (accès, rectification, opposition, etc.).

Son rôle est donc à la fois stratégique (intégration de la protection des données dès la conception), opérationnel (gestion des incidents, comme les violations de données) et médiateur (interface entre la structure, les autorités et les individus).

À titre d’exemple, le DPO est en charge de la tenue du registre des activités de traitement de la structure.

Est-ce obligatoire pour les SAD d’avoir un DPO ?  Oui, dans les cas limitativement prévus par l’article 37 du RGPD, notamment lorsque les activités impliquent :

• Un traitement à grande échelle de données sensibles (ex. : données de santé) et/ou ;
• Un suivi régulier et systématique des personnes concernées.

La notion de « grande échelle » est définie par le RGPD comme visant « un volume considérable de données personnelles au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé ».

Le guide d’accompagnement des SAD sur le volet numérique élaboré par l’ANS va plus loin, et précise que le responsable du SAD « doit désigner un Délégué à la protection des données » (page 8 du guide de l’ANS).

Dès lors, les SAD devront dans un premier temps s’occuper de la désignation de leur DPO auprès de la CNIL (Commission nationale de l’informatique et des Libertés).

Deux options se présentent alors aux SAD  :

• Internaliser la fonction en confiant ce rôle à un membre du personnel, sous réserve d’éviter tout conflit d’intérêts. Le DPO doit en effet rester indépendant et ne pas exercer de fonction qui l’amènerait à déterminer les finalités ou les moyens des traitements (lignes directrices du G29 sur le délégué à la protection des données);
• Externaliser la fonction en recourant à un professionnel ou à une structure spécialisée, comme le propose notre cabinet pour les acteurs du médico-social ;

Une fois désigné, le DPO devra réaliser un audit de conformité RGPD et réaliser/mettre à jour le registre des activités de traitement, afin d’identifier les actions prioritaires pour renforcer la conformité de la structure.

À ce stade, il convient de préciser auprès des gestionnaires de SAD que la CNIL est l’autorité de contrôle française en charge du respect des exigences posées par la règlementation sur les données personnelles, et dispose à ce titre de pouvoirs d’enquête et de sanction.

Ainsi, la CNIL est en mesure  :

• d’imposer des mesures correctives (ex. : mise en conformité sous astreinte, suspension des flux de données) et/ou ;
• d’adresser des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total (le montant le plus élevé étant retenu), conformément à l’article 83, paragraphe 4, du RGPD et l’article 20 de la LIL.

Par ailleurs, la CNIL dispose d’une procédure de sanction simplifiée ( Introduite par la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure et présente aujourd’hui à l’article 22-1 de la LIL) , lui permettant de prononcer des amendes jusqu’à 20 000 € pour des manquements mineurs ou manifestes, sans procédure contradictoire complète (exemple : l’absence de désignation d’un DPO pour une structure qui est dans l’obligation d’en avoir un).

Les enjeux posés par la réforme des SAD vont donc bien au-delà d’une simple restructuration et nécessitent aujourd’hui de la part des gestionnaires de repenser leur modèle organisationnel en intégrant le numérique et le RGPD comme des leviers de performance. Les acteurs qui réussiront seront ceux qui sauront allier conformité, coopération et innovation, tout en plaçant le patient/l’usager au cœur de leur démarche qui en sera le premier bénéficiaire.

La phase de constitution d’une entité juridique unique pour porter le SAD mixte, tel qu’exigé par la réforme, va amener les gestionnaires à réévaluer leur conformité RGPD, qu’elle soit existante ou à construire. Cette réflexion est particulièrement cruciale pour le SAD mixte porté par un GCSMS qui sera soumis aux exigences posées par le RGPD et le cahier des charges des SAD. Dans ce cadre, les gestionnaires devront faire le pont entre l’existant et le « nouveau » service et recherchons peut-être à rationaliser et mutualiser au niveau du groupement la gouvernance RGPD et les outils métiers clés, comme le DUI.