Phylapp
Interopérabilité et circulation sécurisée des données de santé

Les responsabilités organisationnelles dans le partage d’informations de santé

Le partage de données de santé engage des responsabilités précises : qualification RGPD des rôles, DPA obligatoire avant échange, et maintien de la responsabilité même en cas de sous-traitance.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Le partage d'informations de santé engage des responsabilités précises définies par le RGPD et les textes sectoriels, qui doivent être formalisées avant tout échange.
  • La qualification des rôles — responsable de traitement, coresponsable, sous-traitant — détermine les obligations de chaque acteur et ne peut être laissée à l'ambiguïté.
  • Les accords de partage de données (DPA, accord de responsabilité conjointe) doivent être conclus avant le début de l'échange, pas après coup.
  • La responsabilité du responsable de traitement ne se délègue pas entièrement : même en cas de sous-traitance, il reste garant de la conformité des traitements.
Cas US Morgan Stanley (responsabilité du sous-traitant) — Les amendes infligées à Morgan Stanley pour la destruction non sécurisée de serveurs par un sous-traitant illustrent que la responsabilité du donneur d'ordre ne s'efface pas derrière celle du prestataire. Dans le contexte du partage de données de santé, un établissement qui confie le traitement à un éditeur ou un hébergeur reste responsable de s'assurer que les mesures de sécurité sont effectivement appliquées — et pas seulement stipulées dans le contrat.

La qualification des rôles dans le RGPD

Le RGPD distingue trois rôles fondamentaux. Le responsable de traitement détermine les finalités et les moyens du traitement — il porte la responsabilité principale de la conformité. Le sous-traitant traite des données pour le compte du responsable de traitement, selon ses instructions — il est lié par un contrat de traitement des données (DPA) conforme à l'article 28 du RGPD. Le coresponsable de traitement co-détermine les finalités et les moyens avec un autre acteur — la coresponsabilité est formalisée par un accord qui précise les obligations de chaque partie. Dans les échanges inter-établissements de santé, la qualification correcte de ces rôles est souvent mal réalisée.

Les accords de partage de données : contenus obligatoires

Tout accord de partage de données de santé doit définir : les données concernées et leur finalité, la durée de conservation, les mesures de sécurité applicables, les modalités de gestion des droits des patients, les obligations de notification en cas d'incident, et les conditions de cessation du partage. Pour les coresponsabilités, l'accord doit également définir comment les patients sont informés et comment les demandes d'exercice de droits sont traitées. Ces éléments ne peuvent pas être laissés à des accords informels ou à la bonne volonté des parties.

Les obligations spécifiques des sous-traitants

Un éditeur de logiciel médical, un hébergeur HDS, ou un prestataire d'infogérance qui traite des données de santé pour le compte d'un établissement est un sous-traitant au sens du RGPD. Il doit être lié par un DPA conforme, ne traiter les données que selon les instructions documentées du responsable de traitement, mettre en œuvre les mesures de sécurité définies, informer immédiatement en cas d'incident, et permettre les audits. L'absence de DPA formalisé est une non-conformité RGPD directe — indépendamment de l'existence d'un contrat commercial.

Cas EU Deutsche Bank (gestion des tiers) — Les défaillances de Deutsche Bank dans la gestion de la conformité de ses prestataires ont conduit à des sanctions répétées. La leçon applicable au secteur de la santé est directe : la conformité des sous-traitants doit être vérifiée, pas supposée. Des audits périodiques des prestataires traitant des données de santé — sur la base des droits contractuellement négociés — permettent de vérifier que les obligations contractuelles sont effectivement respectées dans les faits.

La gestion des droits des patients dans les échanges inter-établissements

Les patients ont des droits sur leurs données de santé — accès, rectification, effacement (sous conditions dans le contexte médical), opposition. Quand des données sont partagées entre plusieurs établissements ou systèmes, la gestion des demandes d'exercice de droits devient complexe : qui répond à quelle demande, dans quels délais, avec quelle coordination entre les acteurs ? Les accords de partage doivent préciser ces modalités. L'absence de mécanisme clair conduit à des délais non respectés et à des droits effectivement non exercés — tous deux constitutifs d'une non-conformité.

La responsabilité en cas d'incident impliquant plusieurs acteurs

Un incident sur un flux de données partagées entre plusieurs établissements soulève immédiatement la question de la responsabilité. Quel acteur notifie à la CNIL ? Dans quel délai ? Comment les patients affectés sont-ils informés, et par quel acteur ? La réponse à ces questions doit être définie dans les accords de partage — avant l'incident. En l'absence de définition préalable, la gestion de la notification devient un sujet de tension entre acteurs au pire moment possible.

Cas Asie Air India (responsabilité du prestataire) — La violation de données d'Air India, impliquant un prestataire de gestion des données passagers (SITA), a posé directement la question de la responsabilité partagée. Air India restait responsable vis-à-vis de ses clients des données confiées à son prestataire. Dans le domaine de la santé, la même logique s'applique : l'établissement de santé reste responsable des données patients confiées à ses prestataires techniques, même si ces prestataires sont à l'origine de la violation.

Articles similaires

La circulation des données de santé impose un niveau de sécurité inédit

La circulation des données de santé impose des exigences de sécurité spécifiques : chiffrement en transit et au repos, authentification forte, contrôle d'accès RBAC, et journalisation exhaustive.

24 mai 2026 7 min

Pourquoi l’interopérabilité élargit la surface de risque des organisations de santé

L'interopérabilité en santé (FHIR, HL7, IHE) élargit la surface d'attaque. Chaque interface est un vecteur potentiel exigeant qualification des partenaires, inventaire et surveillance active des flux.

24 mai 2026 7 min

Les erreurs fréquentes dans l’échange d’informations médicales

Les erreurs dans l'échange d'informations médicales sont récurrentes : tokens à durée excessive, absence de validation des entrées, comptes partagés et interfaces de maintenance non sécurisées.

24 mai 2026 7 min
WhatsApp