Dans sa version soumise à concertation publique, le référentiel de certification des HDS propose de supprimer le rôle de contrôle du respect des exigences de sécurité propres aux données de santé, laissant le responsable de traitement seul devant des obligations d’authentification et d’imputabilité rarement limpides dans leur formulation et leur interprétation.

La vision a le charme de l’alignement. Elle interpelle quand même tous les hébergeurs ouverts qui depuis six ans, doivent dans 90% des cas convaincre leurs clients de l’existence et du caractère impératif de ces exigences.

Rappelons tout d’abord que dans la majorité des cas, le responsable de traitement n’est pas l’éditeur qui met en place la solution hébergée, mais le professionnel de santé qui l’utilise. Peut-on nourrir quelques doutes quant à la maîtrise de la PGSSI-S par chaque médecin libéral ?

Alors certes, ledit professionnel de santé peut se retourner vers son éditeur, et faire de la sécurité de l’information un critère premier de choix de sa solution. Dans le cas idéal, l’éditeur a également la qualité d’hébergeur agréé. Mais sinon, ce que nous constatons le plus souvent est plutôt qu’il est besoin de soutenir les offreurs de service face à la demande d’accès universel et immédiat à toutes les données sensibles que d’être soumis à une exigence sécuritaire excessive.

Et lorsque l’éditeur est une startup, biberonnée à Facebook et Instagram, la pression des utilisateurs n’est même plus nécessaire, mais intégrée dans sa culture, selon laquelle la protection des données personnelles est un combat d’arrière-garde et leur revente le modèle économique naturel. Au motif qu’un accord a été notifié à la 27ème page des CGU peut on considérer définitivement que les données de santé une fois produites circulent librement sur le net au gré du vent sans le moindre contrôle de la personne concernée ?

Alors on peut certes proclamer que « ce n’est pas le rôle de l’hébergeur de faire la police ». Mais c’est un modèle vertueux, qui fonctionne car l’hébergeur est un point de passage obligé pour tous les traitements extérieurs aux établissements, et auquel nous ne voyons proposer aucune alternative crédible.