L’agrément hébergeur a en plusieurs occasions été détourné de sa finalité de sécurisation des données patients pour devenir un outil de contrôle de l’offre en systèmes d’information.

Ça a été vrai à plusieurs reprises à l’époque flamboyante de l’ASIP Santé, lorsqu’une application semblait pouvoir remettre en cause l’hégémonie proclamée du DMP. Mais le cas le plus lourd de conséquences a été celui des pharmacies en ligne.

Suite à l’obligation de transposer une directive européenne de 2011, un arrêté ministériel en date du 20 juin 2013 fixait des conditions draconiennes pour la vente en ligne de médicaments OTC (Over the Counter, vendus sans prescription), avec notamment l’obligation de recourir à un hébergeur de données de santé.

La bonne affaire, direz-vous … Ce n’est pas tout à fait ainsi que nous l’avons vécu.

Un site de vente en ligne, c’est le plus souvent le paramétrage d’une solution existante (Magento, Prestashop, etc.) pour une adaptation visuelle et l’intégration d’une gamme de produits. C’est la prestation typique d’une petite agence Web locale, qui y consacrera environ 2 semaines de travail. Du jour au lendemain, les HDS ont été assaillis de demandes provenant de ces prestataires, ou des pharmaciens eux-mêmes. Leur expliquer que le statut HDS imposait d’y ajouter une analyse de risques, une vérification des conditions d’authentification des utilisateurs, d’information du patient, de recueil de consentement, de traçabilité des accès aux données, etc., soit une charge de travail bien supérieure à celle prévue pour l’ensemble de la prestation relevait de la mission impossible, et l’image des HDS s’en est trouvé durablement entachée.

Qui plus est, histoire de renforcer la dissuasion à se lancer dans cette activité mal vue des organisations professionnelles, l’ASIP Santé inventa alors subitement un agrément spécifique pour les applications accédées par les patients. Cette notion n’avait jamais existé jusqu’alors, un patient n’étant jamais qu’un utilisateur comme un autre. Mais cela, couplé à une nouvelle exigence explicite d’authentification forte des patients, avait le mérite de reporter dans l’avenir la mise en ligne de tels sites et d’en rendre l’accès particulièrement dissuasif pour les utilisateurs potentiels.

Certains HDS auraient pu juger que l’achat d’aspirine ou d’anti-inflammatoires n’était pas forcément une donnée pouvant préjudice à la personne concernée, et qu’une authentification simple y aurait suffi. Avec ces nouvelles exigences, le risque d’intelligence était écarté.

Le 25 février 2015, le Conseil d’Etat a annulé l’arrêté du 20 juin 2013. Mais l’agrément spécifique et l’obligation d’authentification forte dans tous les cas de figure, eux, sont restés.