L’évolution du processus d’agrément des hébergeurs de données de santé vers une certification a un fort impact fort sur l’organisation globale du travail chez les hébergeurs. my SIH magazine en a profité pour leur demander leur avis sur la question…

Toute personne physique ou morale qui héberge des données de santé à caractère personnel pour le compte d’un tiers, doit être agréée à cet effet. Cet hébergement agréé exige par ailleurs une information préalable de la personne concernée par les données et la contractualisation avec un professionnel de santé : le médecin de l’hébergeur. Sur le papier ce principe tient la route… d’autant que le modèle actuel d’agrément est basé sur un mode déclaratif attesté par : la bonne foi de l’hébergeur ! Les bonnes résolutions techniques, organisationnelles et juridiques énoncées dans la centaine de documents du dossier de dépôt ne fait l’objet d’aucun contrôle et encore moins audit autre que l’auto-contrôle et l’audit interne attesté par le candidat lui-même. Avec le nouveau modèle d’agrément, l’écart entre l’énoncé de ce qui sera fait (notamment en matière de sécurité) et la réalité de ce qui est énoncé devrait être nettement moindre…

Désormais, le respect des exigences du Ministère de la Santé, vues au travers de la DSSIS (Délégation à la Stratégie des Systèmes d’Information de Santé) et l’ASIP Santé sera contrôlé et audité par un organisme externe, aux frais de l’hébergeur. Cette évolution, enclenchée au début de cette année, acte de l’évaluation de conformité à un référentiel de certification. Cette évaluation engendre la délivrance d’un certificat par un organisme accrédité par le COFRAC (ou équivalent au niveau européen). L’hébergeur reste libre de choisir son organisme certificateur et deux types de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts : le certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle et le certificat « hébergeur Infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

my SIH commentaire
Le nouveau modèle de l’ASIP fait la distinction entre l’hébergeur d’infrastructure physique et le prestataire d’infogérance. En d’autres termes, l’hébergeur n’a plus nécessairement le contrôle de la couche applicative : une évolution qui ne sera pas sans impact sur le modèle commercial et l’organisation interne de certains prestataires HADS actuels…

Le nouveau décret de certification HADS précise les modalités de mise en œuvre du processus de certification en lui-même mais aussi et surtout les règles de transition entre l’ancienne procédure « d’agrément » et celle « de certification ». L’année 2018 est celle de la transition.

Le nouveau décret de certification HADS précise les modalités de mise en œuvre du processus de certification en lui-même mais aussi et surtout les règles de transition entre l’ancienne procédure « d’agrément » et celle « de certification ». L’année 2018 est celle de la transition.

Désormais, l’hébergeur est soumis à un audit annuel effectué par un organisme certificateur. Cet audit, sur site, se décompose en en deux étapes : un audit documentaire afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification et un audit de recueil des preuves dans les conditions définies dans le référentiel d’accréditation basé sur les normes ISO 17021 et ISO 27006. L’hébergeur dispose de trois mois après la fin de l’audit pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur. Sans action de l’hébergeur dans ce délai, l’audit devra être reconduit. Le dépôt de nouvelles demandes d’agrément ne pourra plus se faire au 31 mars de cette année. Pour les dépôts ultérieurs, c’est en principe la procédure de certification qui entre en vigueur

L’engagement dans un processus de certification HDS nécessite un bagage relativement conséquent : une certification ISO 27001 « système de gestion de la sécurité des systèmes d’information » sur le périmètre de responsabilité de l’hébergeur et la réponse aux exigences de plusieurs normes : ISO 20000 « système de gestion de la qualité des services », ISO 27018 « protection des données à caractère personnel ». Tout ceci sans compter les exigences spécifiques à l’hébergement de données de santé dans le cadre de l’ancienne procédure d’agrément.

La certification : un catalyseur de services ?

Il faut espérer que ce nouvel effort de certification puisse agir en tant que catalyseur pour l’émergence de nouveaux services. De nombreux hébergeurs proposent déjà des services de conseil autour de la définition de services d’hébergement IaaS et SaaS sécurisés et conforme à la règlementation HADS. C’est le cas d’Access Group (AiH) ou encore d’ASPLENIUM qui propose à des tiers son socle d’hébergement HADS pour la mise en œuvre de services à valeur ajoutée. Par exemple, sur la plateforme ASPLENIUM, BEEMO propose son offre de sauvegarde Beemo2Cloud HDS. Les fichiers contenant des données de santé à caractère personnel sont, dans un premier temps, stockés sur le boîtier de sauvegarde Beemo au sein de l’établissement puis répliquées dans les deux centres d’hébergement ASPLENIUM. La restauration des données dans une nouvelle box Beemo est garantie sous 72h en cas de sinistre majeur. 

my SIH commentaire
La mise en place de la certification donne l’impression de confier les deux métiers d’hébergeurs d’infrastructure et d’hébergeurs d’infogérance à des tiers « de confiance » puisqu’ils sont fortement contrôlés périodiquement. Cette évolution n’est-elle pas le support naturel d’une démarche nationale de type GHT ? Du coup, les DSI de ces structures mutualisés peuvent se consacrer à d’autres objectifs en toute sérénité…

La certification HDS c’est aussi l’occasion pour d’autres de proposer des outils spécifiques à l’attention des candidats hébergeurs. C’est par exemple le cas de OSIGED eSanté avec la solution M-FILES HDS : un coffre de gestion documentaire et collaborative s’appuyant sur la méthodologie ISO et en conformité avec le référentiel de certification. Un moyen simple et efficace de réussir les futurs audits documentaires…

La certification sera probablement aussi un vecteur de croissance de l’offre à destination des tiers autres que les professionnels de santé et établissements. En effet, jusqu’alors de nombreux GCS et GIE Santé régionaux ne sont en mesure de proposer un service qu’à leurs adhérents qui ne sont, par définition, que des « professionnels de santé » (au sens de l’inscription à un ordre ou d’existence d’un FINESS). Quid des besoins au niveau des mutuelles, des assurances et autres organismes forcément engagés dans la manipulation de donnés de santé à caractère personnel ? Des démarches telle que celle de POP Santé qui a fait le choix de be-itys – spécialiste de l’hébergement, de la sécurisation et du traitement de données sensibles – pour l’hébergement de ses données de santé. La démarche permet à la DSI de POP Santé de se concentrer sur son cœur de métier dont l’objet est de paramétrer les ERP permettant de gérer la relation avec les assurés tout au long du cycle de vie de leurs contrats.

Du côté des éditeurs de progiciels de santé déjà engagés dans l’hébergement de leur propre solution (par exemple SOFTWAY MEDICAL), la certification impliquera une évolution vers le métier certifié d’« infogéreur » ; ce qui ne devrait pas poser de problèmes particuliers. En fait, le modèle de certification proposé par la DSSIS (Délégation à la Stratégie des Systèmes d’Information de Santé) et l’ASIP Santé vise à accroître la confiance envers les tiers hébergeurs. Ceci a pour effet d’augmenter mécaniquement le cout du ticket d’entrée : certaines opérations d’acquisition-fusion sont à prévoir ! Jusqu’alors, le processus d’agrément permettait la mise en place d’un plan d’action rapide suite à une « simple » analyse de risques. En mode « certification », l’hébergeur doit être prêt avant de se lancer. Il y a d’un côté ceux qui disposent déjà d’une certification ISO 27001 et de l’autre ceux qui sont contraints de se plier à l’ISO 27001 dans le cadre de la certification HDS. Certaines candidatures au sésame d’hébergement risquent de prendre plus de temps et de couter un peu plus qu’auparavant…

 

Lire la suite dans notre magazine en version PDF ou version Papier.

Magazine :: mySIH n°°038