Concertation #8 – L’étape suivante
Admettons que nos efforts portent leur fruit et que le métier que nous pratiquons soit reconnu avec un retour à la version 0.2.3 du référentiel.
Il resterait encore un chantier pour maintenir notre niveau actuel d’engagement. Par souci de cohérence, nous avons choisi de nous appuyer sur les référentiels opposables de la PGSSI-S. Depuis près de 4 ans que nous y participons, la cible là-dessus est claire : identification et authentification des professionnels, identification et authentification des patients, imputabilité. C’est également le tronc commun qu’on est sûr de retrouver pour toutes les applications hébergées, quel que soit leur objet, à condition de l’interpréter de manière un peu plus large en incluant parmi les professionnels l’ensemble des personnes participant à la prise en charge, et parmi les patients les non-professionnels, et notamment les aidants, habilités par la personne concernée.
Mais les référentiels publiés définissent des groupes d’exigences correspondant à des niveaux de sécurité, démarrant parfois au plus bas (que les utilisateurs aient bien un compte personnel), sans les lier à des niveaux de risque ou fixer quel niveau serait requis pour un hébergeur. C’est un document d’applicabilité encore à définir qui fixera les règles d’usage de tel ou tel niveau.
Ce sera particulièrement difficile pour l’identification et l’authentification des patients, pour lesquelles aucun référentiel n’a encore été proposé. De fait, les hébergeurs sont les seuls à être soumis là-dessus à une exigence particulière (Q21 de la FAQ), au terme d’une manœuvre peu glorieuse sur les pharmacies en ligne (on y reviendra).
Le référentiel sur l’imputabilité étant un document riche mais complexe d’interprétation, le prochain texte sur l’applicabilité ne semble plus concerner que l’authentification des professionnels, n’excédant guère l’objet du malheureux décret confidentialité de mai 2007.
Il faudra donc une vigilance particulière ainsi que des mesures transitoires pour éviter que la confirmation des devoirs des hébergeurs ne s’appuie sur une coquille vide.
