Le projet de référentiel pour la certification des hébergeurs de données de santé (HDS) vient d’être mis en concertation publique.

Sur la question cruciale des obligations des HDS en matière de sécurité des applications hébergées, ce projet représente un troisième revirement de l’administration.

En juin et octobre 2014, deux réunions entre l’AFHADS et la DSSIS assistée par l’ASIP Santé avaient dégagé un accord sur le rôle de l’HDS comme garant de la conformité des applications à la PGSSI-S dans ses volets prévus comme opposables : identification et authentification des professionnels et des patients, imputabilité des accès et des actions.

La parution le 20 mars 2015 de la note stratégique sur l’évolution de la procédure d’agrément en était le premier revirement. Aux analyses et contre-exemples fournis par l’AFHADS la réponse finale apportée fût : « si vous n’êtes pas contents, allez donc manifester ».

Plus portée sur l’arbitrage démocratique que sur le rapport de forces, l’association a alors sollicité et soutenu un amendement à la loi de Santé, porté par les députés Gérard BAPT, Bernadette LACLAIS et Martine PINVILLE, qui après moult péripéties qu’on relatera plus tard finit par réaffirmer « les obligations de l’hébergeur en matière de qualification des applications qu’il héberge au regard des exigences de sécurité »

De mauvaise grâce, une version amendée de la note stratégique fût publiée le 11 juin 2015, mentionnant juste l’amendement sans en répercuter aucune conséquence dans le document.

Le second revirement intervient en février 2016, avec un premier jet du référentiel soumis à l’ensemble des ordres, associations et fédérations, histoire de diluer les positions. Dans cette mouture, on  interprète habilement la qualification des applications comme la seule existence de procédures de déploiement et d’exploitation. La question posée est alors la possibilité de passer cette version en concertation publique. Les éditeurs (ASINHPA, LESSIS, FEIMA) comme les industriels (AFHADS, SYNTEC, SNITEM) rejettent unanimement cette reformulation, et la DSSIS n’a pas d’autre option que de consulter toutes les parties, puis leur proposer en mai 2016 une nouvelle rédaction conforme à l’esprit de la loi, que malheureusement personne d’autre n’aura vue.

Avec cette dernière publication qui revient à la définition de février, on en est donc bien au troisième revirement. Un précédent fameux montre que cela n’interdit pas un rétablissement après le chant du coq. Pour y aider, nous allons publier régulièrement ici un billet illustrant l’un des aspects ou l’une des étapes de cette controverse qui n’a que trop duré.