Nous avons maintenant confirmation du motif du retournement de l’administration au cours de l’été. Il s’agit d’une intervention faite le 13 juillet au nom du SYNTEC Numérique, dont l’argumentaire publié le 18 juillet est joint ici.

On ne reviendra pas sur les points déjà abordés sur la nature des participants (voir #6) ou les appels faciles à l’évidence et au bon sens (voir #9). Examinons plutôt ce support d’abord sur sa cohérence interne, puis sur ses apports nouveaux au débat.

Il s’agit parait-il d’un texte de compromis. Mais le compromis ne consiste pas à amalgamer des éléments contradictoires. Au fil de la lecture, on voit le contrôle de conformité des applications confié successivement à « un tiers de confiance », « une auto-évaluation par les éditeurs », puis « l’IGAS ». Le premier étant parfaitement indéterminé et le troisième bien trop limité dans ses ressources et dans son périmètre d’intervention pour être crédible sur l’ensemble des applications manipulant des données de santé, on suppose donc que c’est bien l’auto-évaluation qui est proposée ici comme une garantie d’indépendance et d’impartialité.

Nous avons ensuite une série d’arguments explicitant que les hébergeurs ne sont pas aptes à jouer ce rôle et que cela entraînera des surcoûts inacceptables pour les acteurs. C’est oublier qu’on ne parle pas ici des hébergeurs en général, mais bien des hébergeurs de données de santé, dont c’est déjà la mission et qui ont mis en œuvre les organisations nécessaires. Quant au surcoût, il faut lever l’ambiguïté : se réfère–t-on à une situation dans laquelle le contrôle de conformité serait confié à un autre acteur, où une situation où aucun contrôle ne serait effectué ? Par rapport au second cas, il existe effectivement un surcoût, mais il faut alors assumer et déclarer que l’opposabilité de la PGSSI-S est une farce. Pour le premier cas, il n’y aucune raison de supposer que les HDS, qui traitent de tels dossiers à longueur d’année et peuvent lisser les coûts correspondants sur une durée longue, seraient plus coûteux que des non-spécialistes ou des consultants tiers. Quant à l’incapacité supposée de traiter des petits éditeurs, on est dans une technique FUD (fear, uncertainty and doubt), assez indigne à ce niveau du débat.

Reste un argument nouveau, qui est celui d’une distorsion de concurrence qui serait induite par un hébergeur préexistant qui utiliserait son devoir d’évaluation pour favoriser un éditeur plutôt qu’un autre. Il appelle un certain nombre de remarques :

• Il correspond à un cas assez particulier, qui est celui où le fournisseur du service n’a pas choisi l’hébergeur qui porte son service, mais se le voit imposer par son client.
• Le client a choisi son hébergeur pour un service incluant ce contrôle de conformité, on ne voit pas la légitimité de l’éditeur à s’y opposer
• La même critique peut s’appliquer à n’importe quelle AMOA
• L’hébergeur qui prendrait parti dans le cadre d’un marché public ferait un fort mauvais calcul, car si son poulain n’était pas retenu il devrait néanmoins collaborer avec le compétiteur retenu
• On n’a jamais vu un éditeur rechigner à s’intégrer à un portail d’authentification ou un annuaire de son client, ou prétendre que cela remettait en cause sa responsabilité. On y retrouve bien pourtant les fonctions d’identification et d’authentification qui sont en jeu ici.

La vision poussée ici n’est finalement étayée que par un préjugé tenace : l’hébergement doit être une ressource banalisée, l’hébergeur n’ayant pas d’autre rôle à tenir que la mise à disposition de machines et de réseaux. Une fois encore, ce n’est pas là le cœur de notre métier.