Lorsqu’un service de prévention et de santé au travail (SPSTI) choisit un hébergeur agréé HDS (Hébergement de Données de Santé), il doit désigner un référent contractuel HDS. Cette exigence découle du 5° de l’article R1111-11 du Code de la santé publique, qui impose à l’hébergeur d’avoir un point de contact désigné pour la gestion des incidents de sécurité affectant les données de santé hébergées.
Cette obligation soulève une question fréquente : qui peut remplir ce rôle dans une structure comme un SPSTI ? Faut-il forcément nommer un médecin du travail ou peut-on choisir un autre profil ?
Un rôle réglementaire mais adaptable
Le texte ne prescrit pas une profession précise. Le référent contractuel HDS n’est pas tenu d’être un médecin, ni même un professionnel de santé. Son rôle est avant tout de :
-
être identifié comme interlocuteur officiel par l’hébergeur,
-
assurer la réception et la coordination des notifications d’incidents,
-
garantir la réactivité des réponses,
-
veiller au suivi documentaire et à la traçabilité des actions menées,
Publicité -
mobiliser les bons acteurs internes (RSSI, DPO, médecin coordinateur, direction).
Il s’agit donc d’un rôle organisationnel, au croisement de la sécurité informatique, de la gouvernance et de la conformité.
Qui peut occuper cette fonction dans un SPSTI ?
Le choix dépend des ressources et de la maturité de l’organisation. Plusieurs profils sont possibles :
-
Le RSSI (Responsable de la Sécurité des Systèmes d’Information) : le plus naturel si ce poste existe, car l’HDS repose largement sur les pratiques ISO 27001 (sécurité de l’information).
-
Le DSI ou RSI : dans les structures sans RSSI, le responsable informatique peut jouer ce rôle, à condition de bien comprendre les obligations HDS.
-
Le DPO : il est déjà en première ligne sur les incidents de données personnelles et peut être référent, surtout dans les petites structures où la sécurité informatique est limitée.
-
Un médecin coordinateur : pas une obligation, mais un atout pour évaluer l’impact médical d’un incident. Cette désignation doit idéalement être combinée avec un profil technique, afin d’éviter que le médecin soit isolé sur un terrain qu’il ne maîtrise pas.
Responsabilités concrètes du référent HDS
Être référent contractuel HDS, ce n’est pas seulement donner son nom à l’hébergeur. Cela implique :
-
Recevoir et gérer les alertes de l’hébergeur en cas d’incident.
-
Activer la procédure interne de gestion d’incidents : analyse, qualification, communication, décision.
-
Coordonner les acteurs concernés : informatique, DPO, direction, médecin coordinateur.
-
Documenter toutes les étapes : origine de l’incident, actions prises, délais de rétablissement, preuves d’échanges avec l’hébergeur.
-
Contribuer aux obligations RGPD : notamment la notification éventuelle à la CNIL et aux personnes concernées.
Exemples pratiques
-
Incident de disponibilité : l’hébergeur subit une panne majeure qui rend indisponible l’accès aux dossiers de santé. Le référent contractuel est contacté, informe la direction et déclenche le plan de continuité.
-
Suspicion de violation de données : un accès non autorisé est détecté dans les journaux systèmes. Le référent reçoit l’alerte, engage la cellule de crise interne, sollicite l’avis du DPO et, si nécessaire, du médecin coordinateur.
-
Incident mineur mais récurrent : lenteurs régulières sur l’accès aux données. Le référent centralise les signalements, alerte l’hébergeur et conserve la traçabilité pour justifier d’un suivi en cas d’audit.
Erreurs fréquentes à éviter
-
Nommer un référent “fantôme” : une personne désignée sur le papier mais injoignable en pratique.
-
Désigner uniquement un médecin : souvent débordé et peu à l’aise avec les aspects techniques.
-
Négliger la documentation : absence de preuve des actions menées, ce qui affaiblit la conformité en cas de contrôle.
-
Confondre rôle contractuel et rôle opérationnel : le référent ne règle pas seul l’incident, il coordonne.
Conseils de mise en œuvre
-
Formaliser la désignation par écrit : note de service, avenant à une fiche de fonction ou registre interne.
-
Former le référent aux obligations HDS et aux bases de la gestion des incidents.
-
Prévoir une suppléance pour assurer la disponibilité en cas d’absence.
-
Articuler le rôle avec la gouvernance RGPD et sécurité : il doit travailler en lien étroit avec le DPO et le RSSI/DSI.
Le référent contractuel HDS est avant tout un point de contact fiable et compétent pour l’hébergeur. Dans un SPSTI, il n’est pas obligatoire que ce soit un médecin : un RSSI, un DSI ou un DPO peuvent parfaitement remplir ce rôle, à condition d’être clairement identifiés et disponibles.
La meilleure approche consiste souvent à associer un profil technique (RSSI, DSI, DPO) et un profil médical (médecin coordinateur) pour couvrir l’ensemble des enjeux : sécurité informatique, protection des données et impact santé.
Derrière ce choix se joue la crédibilité de l’organisation face à son hébergeur et sa capacité à réagir efficacement en cas d’incident touchant les données de santé.
