Convergence du SIH, réglementation relative à la protection des données à caractère personnel, nouveaux impératifs liés à l’hébergement des données de santé et de cybersécurité, mise en place du DIM de territoire : les informaticiens des GHT sont submergés !
La DGOS a publié en septembre dernier un nouvel appel à projets pour les années 2019 et 2020 en vue d’accompagner la convergence informatique des Groupements hospitaliers de territoire (GHT) : ces GHT ont jusqu’au 18 novembre pour candidater pour un ou plusieurs projets, auprès de l’ARS de laquelle relèvent leur établissement support.
La convergence des SIH est un enjeu majeur des 136 GHT. Ce n’est d’ailleurs pas la seule mission en matière informatique hospitalière puisque les GHT se doivent de mettre en place également un département de l’information médicale de territoire (DIM).
A ce titre, nous noterons que soit le médecin DIM procède à un traitement de données PMSI par établissement partie, soit il constitue une base de données PMSI unique pour l’ensemble des établissements du GHT. L’article L6132-3 du Code de la santé publique (CSP) prévoit que les praticiens transmettent au médecin DIM du GHT les données médicales nominatives nécessaires à l’analyse de l’activité.
Revenons-en à la convergence du SIH au sein du GHT dont l’enjeu est majeur.
La finalité est d’outiller chaque domaine fonctionnel par des applications identiques pour permettre à l’utilisateur de bénéficier du même environnement informatique dans chaque établissement du GHT et d’accéder aux données partagées par l’ensemble des établissements du GHT, dans le respect des règles relatives à la protection des données à caractère personnel et de santé publique.
Le SIH, un enjeu majeur à concilier avec la protection des données
Concernant le partage de l’information, il faut, au sens des articles L1110-4 et L1110-12 du CSP, constituer une équipe de soins. Autant dans un établissement de santé, l’équipe de soins est relativement facile à identifier, autant dans un GHT, cela peut être plus confus et il ne s’agira que d’une présomption d’équipe de soins.
Il conviendra de pouvoir démontrer à tout moment que les professionnels participent bien à la prise en charge du patient et que les informations sont strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou au suivi médico-social et social de la personne.
Autrement dit, si la convergence informatique doit faciliter la constitution d’équipes médicales territoriales, le paramétrage informatique des accès aux bases ne doit pas inciter à considérer que le GHT constitue en soi une équipe de soins.
Le Conseil national de l’Ordre des médecins avait déjà relevé à juste titre que le CSP ne distingue pas, pour le partage d’informations, les professionnels de santé des professionnels intervenant dans le champ médico-social et social.
Si la convergence du SIH est un enjeu majeur, elle ne doit pas se réaliser au mépris du secret médical et des règles relatives à la protection des données.
Ce n’est pas parce que le SIH permet de tout partager qu’il faut tout partager ! Le risque est grand avec une approche extensive de la notion d’équipe de soins et un système d’informations accessible à tous selon la qualité du filtrage des données.
La convergence évidemment stratégique pour les établissements exige une attention particulière, en premier lieu lors de l’élaboration du schéma directeur, mais aussi dans la structuration des parcours de soins.
Un schéma directeur du SIH convergent est élaboré par l’établissement support du GHT pour fixer une trajectoire, une feuille de route, conformément à l’article L6132-3 du CSP, qui lui attribue la stratégie, l’optimisation et la gestion commune du SIH convergent.
De même, la convergence inclut la mise en place d’un dossier patient interopérable, c’est-à-dire d’un identifiant unique permettant la consultation d’un dossier identique dans le périmètre du GHT (article R6132-15 CSP). Cette identification du patient sur le territoire du GHT doit permettre de structurer les parcours de soins en améliorant la prise en charge du patient et en facilitant le partage de l’information avec par exemple, une base unique patients et une base unique séjours et mouvements.
Cette convergence combinée avec la mise en conformité avec le RGPD nous oblige à s’interroger sur les obligations liées à la protection des données.
Qui est le responsable de traitement ?
Rappelons que le RGPD définit le responsable de traitement comme étant la personne, l’autorité publique, le service ou l’organisme, qui seul ou conjointement, détermine les finalités et les moyens du traitement nécessaires à la mise en œuvre d’une activité.
A partir du moment où des traitements sont convergents dans le cadre du GHT, deux options s’offrent aux GHT.
L’établissement support et les établissements parties au GHT sont responsables conjoints de traitement. Cela implique que les établissements participent conjointement, coopèrent, pour la détermination des finalités et moyens des traitements convergents. Leur responsabilité est alors solidaire sauf stipulation contraire qui prévoit le degré de coopération entre les établissements et en conséquence, le niveau de responsabilité de chacun.
L’autre option est de désigner un établissement, généralement l’établissement support et non le GHT en l’absence de personnalité morale, comme unique responsable de traitement. C’est ce que semble préconiser la CNIL.
Pour le traitement lié à la gestion du département de l’information médicale du territoire, le responsable de traitement sera l’établissement support du GHT qui en a nécessairement la charge. C’est le médecin DIM du territoire qui définit l’organisation en désignant par exemple, un représentant sur chaque site, et procède à la répartition des missions.
Bien évidemment, quelle que soit l’option choisie, cela n’enlève pas la responsabilité des autres établissements pour leurs traitements dissociables de la convergence, c’est-à-dire pour tous ceux non intégrés dans une base de données unique.
Compte tenu qu’il n’y a pas de transfert automatique de responsabilité au profit de l’établissement support, nous invitons les établissements à formaliser la répartition de responsabilité.
Dans quels documents ?
Les documents constitutifs du GHT peuvent permettre de connaître les établissements qui déterminent les finalités et les moyens.
Il est préférable d’insérer un accord de responsabilité, ou de coresponsabilité en cas de responsabilité conjointe, dans la convention constitutive ou le règlement intérieur du GHT. A défaut, et si ce n’est pas le cas, nous recommandons de désigner le (co)responsable de traitement dans le registre des activités de traitement, mais ceci ne nous apparaît pas suffisant.
Par ailleurs, il ne faudrait pas commettre d’erreur. Être responsable de traitement et être responsable de la sécurité du SI convergent sont deux responsabilités différentes. Nous pouvons être responsable de la sécurité du SI sans être responsable de traitement. En revanche, un responsable de traitement doit veiller à la sécurité des données qu’il traite et le niveau de sécurité doit être adapté aux risques.
Me David Lecomte
Pour en savoir plus : Le Blog Houdart & Associés
