Concertation #21 – L’entourloupe

On l’a vu dans le premier billet. En avril 2015, lors du premier constat d’inconciabilité entre la position de l’administration et celle de l’AFHADS, nous avons choisi de le faire trancher par la représentation parlementaire.

Nous avons alors découvert les joies du processus législatif. Le travail en commission sur la loi de santé était alors achevé, et il ne restait plus que la procédure d’amendement. Le fonctionnement que nous avons constaté est le suivant : un député dépose un projet d’amendement et ses motifs ; le texte est réécrit par l’administration et son sort débattu avant l’échange officiel en séance plénière, qui ne sert généralement qu’à enregistrer les décisions déjà prises. C’est sans doute une nécessité, tant pour préserver un semblant de cohérence interne au texte final que pour éviter des décisions hâtives au cœur de la nuit. Mais cela peut conduire à des curiosités, pour ne pas dire plus.

Prenons le cas qui nous intéresse.

Le projet d’amendement 433 déposé par le député Gérard BAPT était :

Rédiger l’alinéa 20 comme suit:

« c) Remplacer l’agrément prévu par l’article L1111-8 du code de la santé publique par une certification de l’aptitude des hébergeurs agréés à assurer la conformité des applications hébergées aux dispositions d’un référentiel portant notamment sur les conditions de sécurisation contre les accès non autorisés, d’identification et d’authentification des utilisateurs et des intervenants autorisés, et de traçabilité de leurs accès aux données de santé à caractère personnel. Cette certification devra être effectuée par un organisme accrédité à cet effet par l’instance nationale d’accréditation mentionnée à l’article 135 de la loi n° 2008 776 du 4 août 2008 de modernisation de l’économie. »

Le texte finalement soumis :

À l’alinéa 20, substituer aux mots :

« accréditation par l’instance nationale d’accréditation mentionnée à l’article 135 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie »

les mots :

« évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation mentionnée à l’article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie ou par l’organisme compétent d’un autre État membre de l’Union européenne ».

On a conservé la correction de la boulette qui confondait certification et accréditation, mais fait disparaitre toute référence à l’objectif de la certification.

Pour rattraper le coup, un sous-amendement est proposé par les députées Martine PINVILLE et Bernadette LACLAIS, formulé en ces termes :

« Cette évaluation de conformité technique porte notamment sur la conformité des applications hébergées aux dispositions d’un référentiel portant sur les conditions de sécurisation contre les accès non autorisés, d’identification et d’authentification des utilisateurs et des intervenants autorisés et de la traçabilité de leurs accès aux données de santé à caractère personnel. »

Dûment reformulé, il devient :

« Cette certification de conformité porte notamment sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées »

Et curieusement, ce sont les mêmes personnes qui ont procédé à cette reformulation ambigüe qui vont après clamant que le législateur n’a jamais voulu que les hébergeurs contrôlent la conformité de l’authentification et de la traçabilité mises en place par les applications hébergées.

De qui se moque-t-on ?