Ceci est une reprise des motifs proposés pour l’amendement HDS dans sa première version.

Cohérence des textes

Il est nécessaire de préciser l’objectif de cette certification, qui reprend les conditions énoncées par l’article R1111-9 du CSP :

• Offrir toutes les garanties pour l’exercice de cette activité
• Définir et mettre en œuvre une politique de confidentialité et de sécurité, destinée à assurer le respect des exigences de confidentialité et de secret prévues par les articles L1110-4 et L1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données.

Efficacité du dispositif

Il est important que le passage d’un processus d’agrément à un processus de certification ne dégrade pas le niveau de garantie apporté par les hébergeurs agréés. En les responsabilisant sur la conformité des applications hébergées en matière de sécurité des données, l’Etat s’est doté de relais opérationnels dans le déploiement de sa politique de sécurité, couvrant tout le spectre des applications manipulant des données de santé, et non les seuls systèmes des établissements de santé. Coordination des soins, serveurs de résultats (on notera que le laboratoire Labio, soumis à chantage par le groupe de pirates Rex Mundi, n’était pas sous hébergement agréé), dispositifs connectés, dossiers médicaux-sociaux bénéficient d’un accompagnement personnalisé dans la mise en conformité avec les exigences de la PGSSI-S.

 Levée de l’ambiguïté sur l’objectif de l’agrément

L’agrément tel qu’il est pratiqué aujourd’hui implique un certain niveau de connaissance et de maîtrise par l’hébergeur des applications hébergées. C’est un problème pour les établissements de santé lorsque ceux-ci recherchent simplement un prestataire pour déplacer chez lui leur salle serveur, car l’hébergeur devrait reprendre et sécuriser tout un parc hétéroclite d’applications accumulées au fil des ans. Il existe donc une tentation de délivrer des agréments pour des prestations de pur hébergement, le cas le plus flagrant étant l’agrément délivré à INTERXION pour une prestation de salle blanche (c’est-à-dire des murs, des alimentations électriques et du refroidissement, les serveurs restant eux-mêmes à la charge de l’établissement).

Ce besoin est légitime, mais tenter de couvrir sous le même libellé l’accompagnement expert de la sécurisation des applications et la location d’emplacements pour des serveurs est inextricable. Les établissements n’étant de toute façon pas soumis à l’agrément pour leurs systèmes propres, il serait préférable de reconnaitre leur aptitude à acquérir des services de bas niveau, pour lesquels une certification n’aurait guère  de valeur ajoutée, plutôt que de niveler par le bas en dégageant les hébergeurs agréés de toute responsabilité sur les applications hébergées.

Préservation de la filière – Compétitivité

Depuis 2010, les HADS ont développé un savoir-faire reconnu dans ce rôle d’accompagnement. Plusieurs groupes internationaux ont choisi la France comme base pour le déploiement de leur offre en Europe, au motif qu’une application conforme selon les standards français sera recevable sur l’ensemble du territoire. Une certification qui n’imposerait pas ce rôle serait accessible à n’importe quel hébergeur traditionnel, au premier rang desquels les grands opérateurs mondiaux : Amazon Web Services, Microsoft Azure, Rackspace, United Internet, etc.

Loyauté

Les HADS n’ont pas investi le domaine des applications hébergées de leur seule initiative. La pratique constante de l’ASIP Santé et du Comité d’Agrément a été de les y inciter, y compris en augmentant le niveau d’exigence par rapport aux dossiers initialement soumis. Par exemple, la décision fin 2013 d’exiger des agréments complémentaires lorsque parmi les utilisateurs des applications figuraient des patients signifie bien qu’il appartenait aux HADS de s’en inquiéter. Supprimer cette mission et dévaloriser du même coup toute l’expertise acquise par les HADS, et partagée notamment via leur participation très active à l’élaboration de la PGSSI-S, ne serait justifiable qu’au regard d’un intérêt supérieur, qui aujourd’hui n’a rien d’évident.

Universalité – Evolutivité

Que ce soit dans le processus actuel ou dans une démarche de certification, l’agrément HADS est une garantie apportée par l’Etat. Mais cette garantie est-elle apportée aux responsables de traitement (au premier chef, les établissements et professionnels de santé) ou à l’ensemble des citoyens ? Dans le premier cas, on peut imaginer une certification restreinte à la seule prestation technique d’hébergement. Dans le second cas, les ressources propres de l’Etat ne sauraient suffire et il faut bien aider au maintien et au développement d’un corps intermédiaire, avec un niveau de compétence et de responsabilité suffisant pour construire et adapter des réponses appropriées au foisonnement des applications manipulant des données de santé à caractère personnel.