MSP et RGPD : qui est vraiment responsable de traitement ?

La dénomination "Maison de Santé Pluriprofessionnelle" désigne un projet collectif, une organisation de soins — pas une personne morale. La MSP n'a pas d'existence juridique propre : elle ne peut pas signer de contrat, recevoir des financements ni être titulaire de droits ou d'obligations.

C'est la SISA (Société Interprofessionnelle de Soins Ambulatoires) qui constitue la structure juridique porteuse. La SISA est la personne morale qui contracte avec l'ARS, emploie d'éventuels salariés et — au sens du RGPD — est responsable de traitement pour tous les traitements collectifs qu'elle pilote.

Dans la pratique, de nombreuses MSP signent des contrats de logiciels ou rédigent des notices d'information au nom de "la MSP" — sans que personne n'ait vérifié que la SISA était bien le signataire légal. C'est déjà, en soi, une première source de confusion dans la cartographie des responsabilités.

La première — et souvent la plus chronophage — des étapes consiste à comprendre ce que la MSP est vraiment dans sa globalité. Derrière la dénomination commune, un assemblage de structures juridiques distinctes coexiste. Chacune a son propre périmètre légal, ses propres obligations et sa propre relation aux données.

Structure	Rôle RGPD	Ce qu'elle traite
SISA	Responsable de traitement	Traitements collectifs : DPI partagé, coordination, protocoles pluriprofessionnels, outils communs, gestion administrative
SIREN individuel / SELARL de chaque professionnel	Responsable de traitement	Propre activité de soins : dossiers patients individuels, actes, prescriptions — indépendamment de la SISA
SCM (Société Civile de Moyens)	RT pour ses propres données	Données de gestion : RH, comptabilité, secrétariat. Ne traite pas de données de santé des patients sauf si elle gère un accueil commun avec accès aux dossiers
SCI	Hors champ santé	Données immobilières et financières uniquement

La SELARL mérite une attention particulière : lorsqu'un médecin exerce via une société, c'est la SELARL qui est responsable de traitement pour ses actes de soins — et non le médecin personne physique. Ce point change qui tient le registre, qui notifie les violations et qui signe les documents RGPD.

Cette cartographie prend du temps. Il faut collecter les statuts de chaque structure, identifier les conventions existantes, relever qui est membre de la SISA et à quel titre. C'est rarement documenté de manière centralisée — et les professionnels eux-mêmes ne distinguent plus toujours ce qui relève de la SISA de ce qui relève de leur exercice individuel.

Une fois les structures identifiées, la deuxième étape consiste à analyser les flux opérationnels réels : qui prend les décisions au quotidien ? Qui accède à quelles données ? Et surtout : qui a choisi et qui paye les logiciels utilisés ?

Cette dernière question est un indice fort pour identifier le responsable de traitement. L'article 4(7) du RGPD définit le RT comme celui qui détermine les finalités et les moyens d'un traitement. Or, celui qui choisit et finance un outil a, par définition, le pouvoir d'en décider l'usage — c'est lui qui fixe les finalités et les moyens.

En pratique, cet exercice révèle souvent des surprises : un logiciel de coordination souscrit par le médecin coordinateur à titre personnel alors qu'il est utilisé par toute la SISA, une messagerie sécurisée payée par la SCM alors que des données de patients y transitent... Ces situations créent des responsabilités implicites que personne n'avait anticipées.

La cartographie fonctionnelle doit ensuite être mise en regard de trois niveaux de textes, qui permettent de vérifier les limites légales de chaque structure et d'en déduire les responsabilités RGPD.

• Le Code de la santé publique définit quelles activités sont attribuées à quels acteurs et qui peut légalement accéder à quels types de données. Ces attributions délimitent les finalités que chaque structure peut légitimement revendiquer — et donc le périmètre dans lequel elle peut être RT.
• Le droit des sociétés fixe le périmètre d'objet social de la SISA, de la SCM, des SELARL. Une structure ne peut être RT que pour des traitements qui entrent dans son objet social. Une SISA dont les statuts excluent une certaine activité ne peut pas revendiquer la responsabilité de traitement pour les données qui s'y rapportent.
• Les statuts et conventions propres à chaque structure — conventions de mise à disposition de personnel, chartes d'utilisation des outils communs, conventions de groupement — peuvent clarifier ou, au contraire, révéler des zones d'imprécision dans la répartition des responsabilités.

Ce croisement révèle fréquemment des décalages entre pratique et droit : une décision de fait prise par la SISA qui juridiquement aurait dû revenir au professionnel, ou inversement. Ces décalages sont des zones de risque RGPD qu'il faut soit régulariser, soit documenter explicitement.

La pharmacie est une structure juridiquement distincte, avec ses propres obligations RGPD. Elle n'est pas membre de la SISA en tant que personne morale.

Cependant, il est fréquent que les pharmaciens soient membres de la SISA à titre individuel. Cette double appartenance crée une situation qui doit être analysée traitement par traitement :

• Pour les traitements de l'officine (dispensation, Dossier Pharmaceutique, pharmacovigilance...) : le responsable de traitement est la pharmacie — SARL, EURL ou exploitation individuelle selon sa forme juridique.
• Pour les traitements collectifs de la SISA dans lesquels le pharmacien est impliqué en tant que membre : la SISA reste RT, mais le pharmacien participe à des traitements dont il n'est pas l'unique maître.

Lorsque deux ou plusieurs responsables de traitement déterminent conjointement les finalités et les moyens d'un traitement, ils sont co-responsables au sens de l'article 26 du RGPD. Un accord formalisé entre eux est alors obligatoire, précisant qui est responsable de quoi, quel co-responsable répond aux patients et comment les droits sont exercés.

Le problème concret : dans une MSP réelle, appliquer l'article 26 avec rigueur génère des dizaines de relations de co-responsabilité. Entre la SISA et chaque professionnel membre, entre professionnels pour chaque protocole partagé, entre le pharmacien-membre et la SISA, entre la MSP et ses établissements partenaires... Chaque relation requiert, en théorie, un accord écrit distinct.

Le coût de formalisation de l'ensemble est incompatible avec la réalité opérationnelle d'une MSP. C'est précisément ce qui explique que si peu de structures disposent d'une conformité RGPD complète — non par négligence, mais parce que le droit appliqué à la lettre produit une charge impossible à absorber sans moyens dédiés.

L'obligation HDS ajoute une couche supplémentaire. Tout tiers qui héberge des données de santé pour le compte d'une structure de santé doit être certifié HDS Art. L. 1111-8 CSP. Dans une MSP où plusieurs structures partagent des données via un DPI ou des outils communs, cela devrait, à la lettre, conduire la SISA à exiger la certification HDS de chaque hébergeur — voire à se certifier elle-même si elle héberge ou administre ces données. En pratique, cette exigence est quasi-inaccessible pour une structure ambulatoire de petite taille. La solution réaliste : s'assurer que les logiciels métiers utilisés sont eux-mêmes hébergés sur des infrastructures HDS certifiées, et le documenter — sans supposer que "logiciel santé" implique automatiquement "HDS".

En l'absence de prise de position de la CNIL sur la répartition des responsabilités dans les MSP, et face à la complexité que nous venons de décrire, l'objectif n'est pas la conformité parfaite — inaccessible — mais un schéma cohérent, documenté et défendable.

Ce schéma doit trouver un équilibre entre trois impératifs qui peuvent se contraindre mutuellement :

• La continuité des activités de santé. La conformité ne peut pas paralyser la coordination des soins. Toute solution proposée doit permettre aux professionnels de continuer à exercer sans friction excessive — un schéma techniquement irréprochable mais inapplicable au quotidien n'a aucune valeur.
• Le respect des patients. Les patients ont le droit de savoir qui traite leurs données et d'exercer leurs droits. Un schéma trop fragmenté, qui disperserait les responsabilités au point que plus personne n'est clairement identifiable, va à l'encontre des droits fondamentaux que le RGPD est censé protéger.
• Les contraintes juridiques dans leur état actuel. Les obligations ne peuvent pas être ignorées — elles doivent être adressées, même partiellement, même imparfaitement, en documentant les choix faits et leur justification, dans l'attente d'une clarification des textes ou d'une prise de position de la CNIL.

Concrètement, cela se traduit par une approche par priorisation : formaliser d'abord les accords de co-responsabilité pour les traitements les plus critiques (DPI partagé, outils de coordination à large accès) ; accepter temporairement que certaines situations secondaires restent en zone grise, à condition de documenter le raisonnement qui justifie ce choix.

En l'absence de jurisprudence sur ce sujet, c'est la bonne foi et la démarche sérieuse qui comptent en cas de contrôle. Une MSP qui a conduit une analyse rigoureuse, même si elle n'est pas parvenue à la conformité totale, est dans une position bien plus solide que celle qui n'a rien documenté.

Face à la complexité décrite, la tentation est l'inaction. C'est le pire choix. Une mise en conformité imparfaite mais documentée vaut toujours mieux qu'une absence totale de démarche. Voici les trois chantiers à ouvrir en priorité.