Blog Données personnelles

Les hésitations des pouvoirs publics sur l’activité d’administration et d’exploitation des systèmes d’information de santé

La procédure de certification des hébergeurs de données de santé sur support numérique est applicable depuis un an et depuis plus d’un an les acteurs attendent des précisions importantes sur son champ d’application.

En particulier, ils attendent de savoir ce que recouvre exactement l’activité visée au 5° de l’article R1111-9 du Code de la santé publique qui énumère les six catégories d’activité visées par la certification. Il s’agit de : « l’administration et l’exploitation du système d’information contenant de données de santé  » que l’on a tendance à résumer sous le terme « d’infogérance ».

Les référentiels sur l’hébergement produits par l’ASIP Santé visent ainsi « l’infogérance d’exploitation du système d’information de santé » même si ce terme ne recouvre pas exactement celui du texte règlementaire.

A quoi correspondent ces activités d’administration et d’exploitation et le métier d’hébergeur/infogéreur est-il concerné dans tous les cas ?

L’activité de maintenance effectuée à distance chez un client sur des données personnelles de santé qu’il produit à l’occasion d’activités de diagnostics est-elle concernée ? Les sociétés fabricantes et distributrices de dispositifs médicaux qui accompagnent leur prestation d’un dispositif d’aide à l’interprétation des résultats sont-elles concernées ? Quel est le périmètre exact de l’activité d’infogérance et peut-on considérer que l’administration et l’exploitation d’un système d’information correspondent exactement à celle d’infogéreur ?

Comment se situent les éditeurs d’applications ?

Autant de questions sur lesquelles nous attendions avec impatience le positionnement des pouvoirs publics car les conséquences sont majeures tout en souhaitant qu’aucune décision ne soit prise en dehors d’une concertation étroite avec les acteurs économiques concernés.

Il s’agit d’assurer la sécurité de systèmes d’information de santé pour le compte de responsables de traitement à un niveau élevé de la chaîne de sous-traitance.

Il s’agit concrètement et par exemple d’assurer la gestion des incidents à tous les niveaux du système d’information, de gérer les déploiements applicatifs et d’en assurer la sécurité, de manager la protection des données au quotidien et d’assurer bien sur la gestion de la réversibilité et la migration du service.

Or la réponse apportée par la Délégation à la stratégie des systèmes d’information de santé, plus d’un an après avoir été interpellée sur le sujet, n’est pas à la hauteur des enjeux et vise à créer au contraire une instabilité préjudiciable à la crédibilité de la procédure de certification qui prenait logiquement la suite de l’agrément qui avait installé une procédure désormais reconnue même au niveau européen.

Au lieu de définir le champ d’application du 5° de l’article R 1111-9 du Code de la santé publique, ce qui était attendu par tous les acteurs, la DSSIS supprime ce 5 ° mais sans apporter aucune définition !

Les acteurs n’ont pas leur réponse et la sécurité des données de santé dont l’encadrement réglementaire a tant besoin de stabilité est à nouveau mise à mal.

Retour donc à la case départ avec en plus l’annonce d’une nouvelle modification du décret hébergeur et l’annonce d’un dispositif spécifique pour ce type d’activités toujours pas défini.

A l’heure où la définition de référentiels de sécurité stables et rendus opposables est rappelée ave force comme une condition d’un traitement et d’une exploitation fiables des données de santé, cette procrastination n’est pas une bonne nouvelle.