— Maisons de Santé Pluriprofessionnelles —
Les MSP réunissent des professionnels aux statuts variés qui partagent des données de santé et des outils numériques. La première question à trancher est juridique : qui est responsable de traitement ? Ce guide recense les obligations concrètes qui s'appliquent à votre structure.
Point clé — Gouvernance RGPD
C'est la question fondamentale à trancher avant toute mise en conformité d'une MSP. La réponse n'est pas toujours évidente, car plusieurs acteurs coexistent avec des statuts différents — et la réponse détermine qui doit tenir le registre, qui répond des violations de données et qui doit informer les patients.
Responsabilité de traitement — MSP
Dans une MSP, la responsabilité de traitement se répartit selon la nature du traitement. Il est essentiel de cartographier et de documenter cette répartition pour chaque type d'activité.
Chaque professionnel individuellement
Responsable de traitement pour sa propre activité de soins : le médecin pour ses consultations, l'infirmier pour ses actes, le kiné pour ses séances. Chacun tient son propre registre pour cette partie.
La MSP en tant que structure (SISA / association)
Responsable de traitement pour les traitements communs : gestion des outils partagés, coordination pluriprofessionnelle, protocoles, DPI commun, gestion administrative et RH.
Cette répartition doit être documentée et formalisée — idéalement dans une charte ou un règlement intérieur RGPD de la MSP — pour que chaque professionnel sache exactement de quoi il est responsable.
Obligation 1 — Documents
La MSP en tant que structure doit tenir un registre pour tous les traitements qu'elle pilote collectivement. Ce registre couvre les activités communes — outils partagés, coordination, protocoles pluriprofessionnels — indépendamment du registre individuel que chaque professionnel doit tenir pour sa propre activité de soins.
Registre de traitement — MSP
Le registre de la structure MSP couvre l'ensemble des traitements mutualisés, indépendamment des registres individuels de chaque professionnel.
Information des personnes
En plus de l'information individuelle que chaque professionnel doit délivrer, la MSP doit informer les patients sur les traitements collectifs : partage des données entre professionnels de la maison, outils numériques communs, politique de confidentialité du site.
Obligation 2 — Analyse d'impact
Dès qu'un traitement présente un risque élevé pour les droits et libertés des personnes, une AIPD est obligatoire avant sa mise en œuvre. Dans une MSP, plusieurs traitements communs remplissent les critères déclencheurs — notamment le partage de données de santé entre plusieurs professionnels via un DPI commun.
Traitements à risque élevé — MSP
Dans une MSP, c'est principalement le partage des données de santé entre plusieurs professionnels de disciplines différentes qui déclenche l'obligation — croisement de données sensibles, accès élargi, traitements impliquant des personnes vulnérables.
Obligation 3 — Habilitations & accès
C'est l'un des chantiers les plus complexes d'une MSP : les professionnels n'ont pas tous le même périmètre d'accès légitime aux données. Médecin titulaire, remplaçant ponctuel, infirmière ASALEE, secrétaire, stagiaire — chaque statut doit correspondre à des droits d'accès précis et documentés.
Droits d'accès par profil d'intervenant
La politique d'habilitation doit couvrir tous les profils présents dans la MSP et définir précisément ce à quoi chacun peut accéder — et ce à quoi il ne peut pas accéder.
Obligation 4 — Outils & sécurité
Les MSP utilisent souvent plusieurs logiciels métiers différents — les professionnels conservant parfois leur propre logiciel de cabinet — en plus des outils communs. Cette pluralité d'outils est un risque RGPD majeur si elle n'est pas cartographiée et encadrée.
Outils HDS & logiciels métiers
Tout logiciel ou hébergeur qui stocke des données de santé doit être certifié Hébergeur de Données de Santé (HDS). Cela vaut pour le DPI commun, mais aussi pour les logiciels individuels de chaque professionnel dès lors qu'ils accèdent à des données partagées.
Sous-traitants
Chaque prestataire qui traite des données pour le compte de la MSP — éditeur du DPI, hébergeur, prestataire informatique de maintenance — doit faire l'objet d'un contrat de sous-traitance formalisé.
Sensibilisation
Chaque professionnel qui intervient dans la MSP — y compris les remplaçants et les stagiaires — doit être informé des règles applicables à la protection des données dans la structure.
Obligation 5 — Délégué à la Protection des Données
Pour une MSP, la désignation formelle d'un DPO n'est pas systématiquement obligatoire au sens strict du RGPD. Elle devient cependant fortement recommandée — voire obligatoire — dès que la MSP met en œuvre des traitements à grande échelle de données de santé, notamment via un DPI commun couvrant un volume important de patients.
Le RGPD impose la désignation d'un DPO dans trois cas. Pour les MSP, l'obligation peut découler du volume de traitements réalisés ou du statut juridique de la structure. Dans tous les cas, un DPO externalisé apporte une sécurité juridique précieuse.
— Passer à l'action —
Le Pack de conformité RGPD est conçu pour accompagner les MSP de A à Z : clarification de la responsabilité de traitement, registre, documents obligatoires, politique d'habilitations, sécurité des outils et plan d'action priorisé.