La première partie de l’article expliquait combien il est complexe de concilier la mutualisation de la fonction informatique au sein d’un GHT avec les règles relatives à la protection des données à caractère personnel. Ces règles nous obligent à clarifier le rôle et les responsabilités de chacun. Même si chaque directeur d’établissement conserve son lot de responsabilités, le directeur de l’établissement support est particulièrement exposé lorsqu’il s’agit de la sécurité du SIH et du choix de localisation des données.
Des obligations qui demeurent pour chaque établissement
Conformément à l’arrêté du 13 décembre 2016 portant désignation des autorités qualifiées pour la sécurité des systèmes d’information, le directeur de l’établissement support est l’autorité juridiquement responsable de la sécurité du SIH convergent puisque la responsabilité du SIH lui a été transférée et que cette responsabilité ne peut être déléguée.
Ceci étant, tous les directeurs d’établissement conservent leurs responsabilités quant au respect des règles relatives à la protection des données à caractère personnel et subséquemment à la bonne utilisation des services numériques.
Chaque établissement devra ainsi désigner un DPO puisque le premier alinéa de l’article 37 du RGPD prévoit la désignation obligatoire d’un DPO lorsqu’un traitement est effectué par une autorité publique ou un organisme public.
Toutefois ce DPO peut être mutualisé au niveau du GHT. Ainsi chacun des établissements membres désigne la même personne en qualité de DPO et peut en parallèle, nommer un relai en son sein pour assister celle-ci.
Le DPO devra, par exemple, conseiller le responsable de traitement dans la mise en place d’une procédure d’exercice des droits ou dans la politique de gestion des droits et habilitations.
Selon que le DPO est affecté dans l’établissement support ou qu’il est un agent d’un établissement partie, sa position statutaire et ses missions devront être clairement définies (mise à disposition ? autorité hiérarchique ? autorité fonctionnelle ? lettre de mission ?).
Nous pouvons ajouter que si l’établissement choisit un DPO interne, celui-ci sera une personne physique. En revanche, si le DPO est externe, le DPO peut également être une personne morale. Evidemment, le GHT n’ayant pas de personnalité morale, ne peut pas être DPO.
Malgré le choix d’un DPO mutualisé, chaque directeur d’établissement reste responsable de la mise à jour du registre des activités pour ses traitements spécifiques et doit suivre les services sous-traités.
En effet, le responsable de traitement doit veiller au respect des obligations prévues par la réglementation relative à la protection des données de la part des sous-traitants et à celle relative à l’hébergement des données de santé.
Concernant d’ailleurs les sous-traitants, le responsable de traitement ne doit faire uniquement appel qu'à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées au niveau du risque (article 28 § 1 du RGPD).
Et le niveau de responsabilité des sous-traitants est significativement renforcé, ceux-ci étant désormais tenus de documenter leur conformité au-delà de la sécurisation technique des données.
Nous attirons l’attention des établissements sur l’émergence de clauses limitatives de responsabilité. Rappelons que le sous-traitant doit mettre en œuvre les mesures de sécurité organisationnelles, physiques et techniques pour protéger les données.
La tentation est grande de limiter sa responsabilité, responsables de traitement et sous-traitants étant déjà exposés à des amendes administratives pouvant s’élever à 20.000.000 € ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Mais n’oublions pas que la sécurité des données est une obligation commune à la charge du responsable de traitement et du sous-traitant !
Qui hébergera les données de santé ?
La convergence du SIH implique de choisir le lieu d’hébergement des données, soit au sein d’un des établissements membres, soit auprès d’un prestataire tiers.
Dans tous les cas, une certification HDS (hébergeur de données de santé) sera nécessaire, que l’hébergement soit interne au GHT ou externe. En effet, un établissement du GHT qui assure l’hébergement des données pour le compte de l’ensemble des établissements parties, doit le réaliser dans les conditions prévues à l’article L1111-8 CSP, c’est-à-dire dans le respect de plusieurs normes et exigences, la norme ISO 27001 (sécurité des SI), la norme ISO 20000-1 (gestion des services informatiques), la norme ISO 27018 (protection des données personnelles) et des exigences spécifiques à l’hébergement des données de santé.
Avant d’opérer le choix entre un hébergement interne ou externe, la première étape consiste à définir le périmètre de mutualisation et/ou d’externalisation de tout ou partie du SIH.
Si le choix porte vers une internalisation, l’établissement support a-t-il une maturité technologique suffisamment avancée et pourra-t-il mobiliser 1,5 ETP plus d’un an pour porter le dossier de certification. De même, aura-t-il la ressource pour l’audit annuel et la révision triennale de la certification ? Et quel périmètre fonctionnel de mutualisation sera-t-il décidé (SI unique par domaine fonctionnel ou SI identique) ? Le service pourra-t-il être proposé à des établissements hors GHT ?
Si au contraire, l’externalisation est envisagée, faut-il se limiter à une externalisation réduite à la mise en œuvre de l’infrastructure matérielle (mode IaaS) ou faut-il une externalisation également des applications et données (mode PaaS), voire des couches hautes du SIH (la formule « tout compris » dit mode SaaS), le mode SaaS étant très dépendant des éditeurs et solutions logicielles ?
S’agissant du mode SaaS, faut-il privilégier un mode SaaS porté par les différents éditeurs en partenariat avec des hébergeurs HDS ou un seul hébergement avec un hébergeur HDS ?
L’hébergement du SIH d’un GHT nécessite une réflexion éclairée et approfondie sur le niveau de service attendu en termes de sécurité et de continuité, de complexité technique, de contractualisation des responsabilités et de réversibilité et bien-sûr de coûts : nous sont apportés des devis de 400k€ à 1,2M€ de coûts annuels d’hébergement par un prestataire, selon le niveau d’aboutissement de la convergence !
Vous l’avez compris, les DSI des GHT sont débordés, entre la mutualisation de la fonction informatique, le nouveau cadre réglementaire de la protection des données et de l’hébergement des données de santé, des normes ISO révisées, et cela dans un contexte de tentatives d’atteintes permanentes aux SIH. Ce mois-ci, c’est le centre hospitalier de la Tour- Blanche à Issoudun qui a fait l’objet d’une cyberattaque…
Face à cette pression, la tentation de l’externalisation est grande. Mais externaliser, n’est-ce pas le début d’un défaut de maîtrise de ses flux de données, en particulier en ce qui concerne leur localisation ?! N’oublions pas que les données de santé ont beaucoup de valeur et les GAFAM l’ont bien compris et feront tout pour être incontournables…
Ainsi, et comme nous l’indiquons déjà depuis plusieurs années, le système d’information et en particulier le SIH, est plus que jamais un axe stratégique de l’établissement de santé et désormais du GHT.
Me David Lecomte
Pour en savoir plus : Le Blog Houdart & Associés
