Détournement juridique du décret d’hébergement de données de santé – partie 2
05 sept. 2016 - 12:06,
Tribune
- Cédric CartauPlus intéressante est la mise à jour de la FAQ[2] de l’Asip, qui précise la notion d’hébergement « sec » et qui stipule que le cas décrit dans l’article est clairement hors la loi. En substance, la position de l’Asip consiste à considérer que l’externalisation d’une salle blanche ne dispense pas le propriétaire de ladite salle d’être titulaire de l’agrément, et qu’une telle prestation ne peut être proposée qu’à des établissements ou à des professionnels de santé. Les tiers, notamment éditeurs, qui recourraient à un tel service ne sont pas dispensés d’obtenir un agrément en propre sur l’ensemble de leur prestation, y compris ses volets sous-traités. Certains des commentaires au premier article allaient d’ailleurs dans ce sens. Cette position appelle tout de même plusieurs remarques.
Tout d’abord, ce n’est que l’avis de l’Asip, avis qui n’a pas force de loi ni de jurisprudence : en France, c’est le juge qui décide en dernier ressort et, à notre connaissance, ce cas ne l’a jamais été. Certes la position de l’Asip a du poids (heureusement). Cependant, lors d’une discussion très intéressante avec François Kaag, président de l’Association française des hébergeurs agréés de données de santé[3], lui et moi avons convenu qu’en cas de contentieux ce genre de sujet est tellement complexe qu’il y a peu de chances qu’un juge tranche de façon claire.
Ensuite, si l’externalisation d’un datacenter par un établissement de santé (on exclut la question de l’agrément par un éditeur SaaS) impose au propriétaire des murs dudit datacenter de détenir l’agrément, cela interdit de facto à tout établissement de santé d’aller louer un local pour héberger ses propres serveurs, faisant ainsi la confusion entre une opération de nature immobilière et une opération de nature informatique. Cette distinction n’apparaît ni dans les commentaires à l’article, ni dans la FAQ de l’Asip. Et la suite est évidente : si on en arrive à devoir faire cette distinction (ce qui serait logique), les patrons de SSII créeront des filiales juridiques immobilières pour détourner les textes.
Enfin, je ne peux pas ne pas noter ce qui transparaît comme une distorsion des obligations au regard de la donnée de santé et de ses obligations de confidentialité. En effet, lorsqu’une SSII se contente d’héberger des serveurs sans y avoir accès, elle serait soumise aux contraintes de l’agrément, soit. Mais si les serveurs sont dans les murs de l’établissement de santé et que la même SSII a un agrément d’infogérance totale (exploitation matérielle, système, middleware et même applicative), alors là, elle échappe à l’agrément, ce qui est tout de même un peu le monde à l’envers.
L’Afhads avait d’ailleurs en son temps estimé que l’inclusion de la prestation de salle blanche dans le cadre de l’agrément posait bien plus de problèmes qu’elle n’en résolvait[4].
Il serait très intéressant d’avoir la position de deux acteurs sur ce sujet : la Cnil, qui s’intéresse surtout à l’ensemble des moyens déployés pour garantir la sécurité (et notamment la confidentialité) des données de santé. Pas certain que le second exemple ci-dessus ne la fasse pas tiquer. Et enfin quelle serait la position d’un assureur en cas de sinistre (perte des données, intrusion) à propos des différents cas évoqués ci-dessus ?
La conclusion logique qui s’impose, à l’examen attentif de ce cas, est que l’on atteint les limites de l’agrément dans sa forme actuelle, telle qu’elle s’est cristallisée au fil des avis et des décisions du comité d’agrément. Attention cependant aux raisonnements à l’emporte-pièce et à la tentation de la « poubellisation » : l’agrément a le mérite d’exister et de dire clairement que l’on ne fait pas n’importe quoi avec des données de santé. Il faut maintenant profiter de l’occasion offerte par sa redéfinition en tant que certification pour tirer les enseignements de six années de pratique et en faire un outil de progrès et de confiance.
À suivre…
[1] /article/2085/detournement-juridique-du-decret-d-hebergement-de-donnees-de-sante.html
[2] http://esante.gouv.fr/services/referentiels/securite/hebergement-faq
[3] https://www.afhads.fr/?p=989