Par Benoît Louvet, avocat associé - responsable du pôle Santé numérique - Houdart et Associés
Pour Me Benoît Louvet, la faculté pour les GHT de désigner un même délégué à la protection des données pour l’ensemble de leurs membres doit « absolument être utilisée car cette configuration sera l’un des facteurs clefs de réussite en matière de protection des données et de conformité au Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit RGPD ».
Comme chacun le sait maintenant, le RGPD (1) exige des établissements la désignation d’un délégué à la protection des données (dit « DPO »). Le RGPD (2) précise que lorsque le responsable du traitement ou le sous-traitant est notamment un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. Les établissements publics de santé unis par un lien d’organisation ont ainsi la possibilité de désigner un seul et même DPO.
Se pose donc la question de savoir ce que devront faire les GHT en la matière. Peuvent-ils et doivent-ils désigner un seul et même DPO au niveau du GHT ?
N’oublions pas un détail qui a son importance : le GHT n’a pas la personnalité morale. Il ne pourra donc pas désigner un DPO es qualité de groupement hospitalier de territoire. En revanche, chacun des établissements membre du groupement pourra désigner la même personne en qualité de DPO. Cette même personne pourra être la personne physique employée par l’un des établissements du GHT ou un même prestataire externe tel qu’un cabinet d’avocat par exemple.
Cette faculté pour les GHT de désigner un même DPO pour l’ensemble de leurs membres doit absolument être utilisée. Cette configuration sera même l’un des facteurs clefs de réussite en matière de protection des données et de conformité au RGPD. Pourquoi ?
Première raison, les systèmes d’information du GHT doivent converger. Les systèmes d’information de chacun des membres seront d’abord gérés par l’établissement support qui réunira une DSI unique au GHT. A terme, le GHT aura un seul et même système d’information au service de l’ensemble des établissements membres : un seul DPI et une seule GAM (gestion administrative des malades).
Deuxième raison, les systèmes d’information sont très structurants en matière de protection des données. Ils accompagnent de bout en bout le cycle de vie de la donnée. La sécurité des données sera donc en grande partie liée à celle du système d’information qui la porte.
Rajoutons que les établissements d’un même GHT entretiennent des relations juridiques très étroites au regard des règles de la protection des données. Compte tenu de son rôle au sein du GHT, l’établissement support sera structurellement le sous-traitant (3) mais également l’hébergeur de données de santé des autres membres du groupement, lesquels auront la qualité de responsable ou coresponsable du traitement.
Comment dans ces conditions un GHT de huit établissements pourrait-il avoir huit DPO différents ? Ce serait tout d’abord une perte d’énergie et un coût supplémentaire. La même action devra-t-elle être refaite huit fois par chaque DPO, alors que de plus de plus de traitements auront, convergence oblige, les mêmes caractéristiques chez chacun des membres ? Ce serait également prendre un fort risque d’incohérence. Un même traitement pourrait-il donner lieu à une analyse et des mesures de protection différentes en fonction des membres ? Les exemples pourraient être multipliés à foison.
C’est une évidence, à DSI unique, DPO unique. C’est évidemment au niveau du GHT que doit être décidée la politique de protection des données. C’est au niveau du GHT que s’appréciera de facto la conformité des établissements au regard du RGPD. Ce choix d’un DPO unique nous semble la première garantie d’une politique de protection des données efficace et cohérente.
Le Comité stratégique du GHT pourrait ainsi décider que chacun de ses membres devra désigner le même DPO, le GHT aurait alors de facto un seul et unique DPO mutualisé. Il pourrait être alors clairement assigné à ce DPO mutualisé un rôle de chef d’orchestre d’une politique de protection des données au niveau du GHT. Rien n’empêcherait, bien au contraire, que ce DPO bénéficie de correspondants ou de relais dans chacun des établissements afin d’assurer tant la diffusion des bonnes pratiques que la remontée d’information.
DSI de GHT, emparez-vous du sujet !
1 - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
2 - Article 37 du RGPD.
3 - Articles 4 et 28 et du RGPD.