Prise en compte du RGPD dans les contrats des fournisseurs IT Santé : peut mieux faire ?

La protection du SI des établissements de santé suppose que l’ensemble des éléments intégrés dans le SI ou des acteurs qui y interviennent, quand ils sont le fait de tiers, soient soumis à des engagements contractuels stricts. Si des progrès ont été faits, notamment grâce au RGPD, de nombreux points d’attention demeurent.

Depuis l’entrée en application du Règlement Général sur la Protection des Données - que le grand public connaît mieux sous le nom de RGPD - le 25 mai 2018, il devient plus facile pour les entreprises clientes de prestations IT d’obtenir de leurs fournisseurs des engagements stricts, clairs et détaillés quant à la sécurité des prestations qu’ils fournissent.

En effet, pour autant que les prestations consistent dans le traitement de données à caractère personnel pour le compte d’un donneur d’ordre, celui-ci a l’obligation :

• De ne travailler qu’avec «des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée». En d’autres termes et sous peine des sanctions prévues par le RGPD, ils ne doivent faire appel qu’à des prestataires qui peuvent notamment prouver que leurs produits ont été conçus «privacy by design» quand ils sont amenés à traiter des données à caractère personnel pour le compte de l’entité cliente
• De prévoir dans son contrat avec son sous-traitant une liste d’obligations spécifiques détaillées à l’article 28 du RGPD (vers lequel va renvoyer le nouvel article 60 de la loi du 6 janvier 1978 tel que modifié par l’ordonnance n°2018-1125 du 12 décembre 2018) et notamment la mise en œuvre de solutions de sécurisation des données, l’interdiction d’usage tiers de celles-ci, un droit d’audit prouvant le respect des obligations, etc...

Des spécificités dans le monde de la santé ?

Si la prestation en question est effectuée pour le compte d’un établissement soumis au droit public et renvoie au Cahier des clauses administratives générales applicables aux Techniques de l’Information et de la Communication (CCAG-TIC), l’article 5.2.2 de ce document a prévu l’hypothèse de l’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché.

Il énonce ainsi que «les modifications éventuelles, demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché», ce qui a permis aux établissements de santé concernés par l’établissement de ce texte de «mettre à jour» leurs contrats pour intégrer ces nouvelles obligations et enfin réussir à imposer, dans certains cas, le respect de règles de base en matière de sécurité à leurs prestataires.

Surtout, dans le domaine de la santé, un cadre contractuel supplémentaire est susceptible de compléter l’obligation générale de l’article 28 du RGPD.

Ainsi, si la prestation en question, effectuée en qualité de sous-traitant, consiste en l’hébergement de données de santé «à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social», l’article R. 1111-11 du Code de la santé publique détaille en 14 points les clauses que doit prévoir, au minimum, le contrat d’hébergement.

Un RGPD contourné et mal interprété ?

Si nombre de prestataires n’avaient pas pour habitude de détailler dans le contrat le respect des règles de base d’hygiène informatique ou des principes de privacy by design, on aurait pu penser que le RGPD avait mis fin à ces pratiques d’un autre âge et que, désormais, la prise de conscience (et les fortes sanctions du texte s’appliquant aussi dans certaines conditions aux prestataires) des prestataires allaient amener le couple établissements de santé / fournisseurs de solutions IT à envisager ensemble une vie meilleure.

Plusieurs exemples auxquels nous avons pu être confrontés en pratique démontrent que, malheureusement, certaines réticences existent toujours et que la situation est encore loin d’être idyllique :

1. Des produits privacy by design

Tout d’abord, que ce soit pour les fournisseurs de matériels avec logiciel embarqués ou pour les développeurs de solutions logicielles, il est parfois encore difficile de leur faire comprendre l’importance cruciale des engagements contractuels liés à la sécurisation de leurs produits à partir du moment où ceux-ci ne traitent pas de données à caractère personnel (et donc ne sont pas soumis au RGPD). 

Pourtant, un développement logiciel spécifique servant de brique à une solution de traitement des données des patients sera tout simplement nocif pour la sécurité ainsi que pour la conformité RGPD de l’ensemble du traitement de l’établissement s’il n’a pas été conçu «security / privacy by design».

Qu’importe pour l’établissement de santé que le prestataire ne traite pas lui-même des données personnelles, le fait est que, dans cette hypothèse, ce sont les produits du sous-traitant qui servent de briques de base à sa propre conformité. Il faut donc prévoir – et imposer – contractuellement les clauses strictes qui en découlent !

2. Les limitations de responsabilité, une faille du RGPD ?

On aurait pu croire que l’article 28 du RGPD était très détaillé et encadrait parfaitement le sujet, donnant naissance à la rédaction de clauses très détaillées avoisinant de façon habituelle la dizaine de pages. 

La pratique démontre pourtant que si les sous-traitants proposent des clauses contractuelles respectant de plus en plus les textes, ils jouent aussi sur les silences dudit article : ils profitent ainsi de la préexistence dans un grand nombre de contrats de limitations strictes de la responsabilité financière du prestataire pour l’appliquer aux manquements en matière de protection des données… 

La chose est d’autant plus aisée que ce type de clause étant rédigé de façon générale, il suffit de ne pas prévoir d’exclusion en la matière pour que la clause s’applique aussi à cette situation. 

Par ailleurs, ces clauses de limitation de responsabilité se trouvent souvent à plusieurs articles de distance dans le contrat, ce qui impose non seulement d’avoir une vision transversale du contrat pour permettre une négociation efficace, mais également de prévoir un accompagnement pendant toute la phase de négociation et jusqu’à sa conclusion (afin d’éviter que cette question ne soit sacrifiée in fine sur l’autel d’une signature rapide sans en avoir pesé les impacts). 

Même si l’esprit du texte est foulé aux pieds, limiter sa responsabilité en la matière est une pratique qui n’est interdite ni par le droit administratif, ni même par l’article 1111-11 précité concernant les contrats des hébergeurs de données de santé. 

Si le principe d’une limitation peut s’entendre, un montant de quelques milliers, voire dizaines de milliers d’euros au maximum, comme on le retrouve souvent, peut sembler choquant au vu de l’importance pour l’établissement de santé des obligations en matière de sécurité des données.

L’existence de telles limitations, souvent éloignées du discours commercial, conduit surtout à diminuer fortement la confiance que les établissements de santé peuvent avoir dans les engagements du prestataire.

3. Responsable de traitement, sous-traitant…des qualifications sans analyse réelle et préalable des flux de données ?

On aurait pu croire également que, depuis que le texte du règlement a été définitivement adopté (27 avril 2016), les principes qu’il prévoit auraient été compris et mis en œuvre par l’ensemble des personnes amenées à le faire appliquer. 

Toutefois, trop souvent les qualifications de « responsable de traitement », de « sous-traitant » ou de « responsables conjoints » sont plaquées artificiellement dans un contrat, sans analyse réelle des flux de données et des opérations effectuées. 

La vague d’envoi « d’avenants de sous-traitance » par les entreprises responsables de traitement à l’orée du 25 mai 2018, indépendamment du rôle exact du partenaire amené à traiter des données personnelles, en a été un parfait exemple, reléguant la « conformité RGPD » à la simple validation formelle d’une liste de mesures à adopter, idéalement effectuée le plus vite possible.

4. Les marchés publics : des acteurs mal qualifiés par défaut ?

Autre exemple, plus récent et beaucoup plus préoccupant à notre sens, montrant que la qualification des acteurs au sens du RGPD, pourtant essentielle, n’est pas claire, même pour ceux qui sont censés évangéliser : ainsi, en matière de marchés publics, la direction des affaires juridiques du ministère de l’Economie et des Finances a publié le 25 octobre 2018 une fiche technique sur «l’impact du RGPD sur le droit de la commande publique».

Or, dans cette note de 3 pages traduisant la terminologie du RGPD « en vocable marchés publics » ou encore traitant de « L’impact du RGPD sur les marchés publics en cours d’exécution et ceux à conclure », à aucun moment n’est évoqué le cas où le titulaire du marché public serait responsable conjoint avec l’acheteur. 

Ainsi, dans le paragraphe sur la « terminologie du RGPD traduite en vocable marchés publics », la fiche ne prévoit qu’un seul responsable de traitement au sens du RGPD : l’entité cliente.

On ne peut que déplorer la nécessité d’une future mise à jour de la fiche pour prendre en compte la réalité des situations, beaucoup plus complexe, même dans le cas d’un marché de commande publique. 

En effet, comment faire rentrer dans le schéma décrit par cette fiche une prestation du type de celle qui serait offerte par une plateforme de réservation de rendez-vous avec les patients qui utiliserait la plateforme préexistante du titulaire du marché qui est donc, par hypothèse, déjà responsable du traitement) ?

Et ils vécurent heureux et assurèrent de concert la SSI des établissements de santé ? 

Le constat est malheureusement clair : en matière de sécurité des SI des établissements de santé et au-delà de la sensibilisation des personnels internes, il reste encore du travail à faire au plan contractuel pour s’assurer du niveau de sécurisation apporté par les prestataires et co-contractants. 

Certes, les progrès sont tangibles, mais les mauvaises habitudes ont la vie dure !

Et pourtant, la sécurité des développements informatiques, des prestations effectuées ou encore de l’hébergement des données est la pierre angulaire d’une approche privacy by design et donc la base d’une conformité RGPD des établissements de santé. Sécurisation et conformité qu’il conviendra de démontrer, le jour venu, aux régulateurs ou aux personnes concernées.

La bataille sur les contrats, qui permettent d’encadrer le niveau de sécurisation et de sanctionner les manquements, n’est plus perdue d’avance mais, pour certains, elle ne fait que commencer…

----

Cet article a été publié dans le cadre de l’ouvrage collectif «SSI Santé» de l’APSSIS téléchargeable gratuitement qui réunit plus de 40 articles et retours d’expérience d’un large panel de Professionnels de la SSI Santé.

L’ouvrage est organisé en 7 thématiques : Normes et référentiels, Gouvernance de la SSI Santé, Technologies de sécurité, RGPD et cybersécurité, Processus et procédures, Conformité et audits, et Prospective.

Vous pourrez retrouver le présent article à la page 63, dans la thématique «RGPD».