Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Certification hébergement données de santé : un nouveau modèle pour les infogéreurs

08 déc. 2017 - 10:07,
Tribune - Par Christophe Jodry, Claranet e-Santé
En 2018, le processus d’agrément des hébergeurs de données de santé va évoluer vers une certification basée sur les normes ISO. Ce passage d’un agrément basé sur un dossier déclaratif, à une certification basée sur un audit sur site, va bouleverser la manière de travailler d’un certain nombre d’HADS (Hébergeurs Agréés de Données de Santé). Une partie d’entre eux vont voir leur métier modifié au-delà de ce changement de procédure.

Une certification et un audit pour répondre aux limites de l’agrément

Le modèle actuel d'agrément est en fin de vie. Pour encore quelques mois, sur les bases d'une déclaration, l'hébergeur candidat exprime toute sa bonne foi dans un énorme dossier remis à l’ASIP. Le candidat ne fait l’objet d’aucun audit de la part des autorités.

L'exercice consiste donc à être cohérent et crédible face aux règles énoncées par le Ministère de la santé. Et pour certains, parfois ne pas réaliser complétement ce qui a été écrit… Nous comprenons très vite les limites d'un tel système, notamment en termes de sécurité numérique.

Le modèle de certification désormais proposé par la DSSIS (Délégation à la Stratégie des Systèmes d’Information de Santé) et l'ASIP Santé cherche à accroître la confiance envers les hébergeurs, en instaurant un audit sur site réalisé par un tiers indépendant. Et ceci aux frais de l'hébergeur.

De ce fait, le ticket d'entrée de la certification sera bien plus élevé que ne l’était celui de l'agrément, avec pour conséquence une redistribution des cartes chez les actuels hébergeurs déjà agréés.

Le paradigme du contrôle de l’application

La réalisation d’un audit n'est pas le seul changement notable. Un autre paradigme change avec la certification : le contrôle de l'application.

Dans le modèle actuel, les hébergeurs se sont attribués le contrôle de l'applicatif de leur client, remplissant un vide juridique laissé par le décret instaurant l'agrément en 2010. Cette philosophie, portée par les hébergeurs historiques, a permis de protéger ces derniers des grands cloud providers, en construisant un modèle franco-français d'hébergement de données de santé. L'intention était louable - protéger la donnée de santé du citoyen français - mais a eu d’autres conséquences.

Ce modèle n’a pas démontré sa capacité à porter l’investissement massif permettant l’éclosion de plateformes d’IoT, de deep learning ou encore de big data. En ralentissant l'accès à l'agrément aux très grands fournisseurs IaaS et Cloud, le modèle a peut-être freiné l'innovation nécessaire dans la santé.

La certification change-t-elle la donne ?

En analysant la dernière version de travail, nous pouvons penser que oui. En retirant le contrôle de l'applicatif aux hébergeurs et en proposant un système à deux étages, un certificat hébergeur d'infrastructure physique et un certificat d'infogéreur, les autorités publiques obligent ou autorisent, selon les points de vue, les hébergeurs à une transformation de leur métier.

Ce schéma de l’ASIP Santé présente les composantes des deux certifications à venir : 

Schema_hebergeur_donnees_sante_ASIP

Rien n'empêche l’infogéreur d'opérer ses propres infrastructures. Dans ce cas de figure, il est titulaire des deux certificats. Cela peut être un bon modèle pour l'univers hospitalier par exemple.

Mais la certification l’autorise aussi à opérer des plateformes fournies par les grands fournisseurs de cloud et de IaaS. A sa charge dans ce cas-là de :

  • Assurer le maintien en condition opérationnelle, la sécurité et la conformité.
  • Proposer une couche de service innovante et complémentaire en adéquation avec le besoin terrain.
  • Trouver le ou les bons partenaires respectueux de la législation en vigueur mais capable d'apporter cette force de frappe manquant cruellement à la santé française.

L'innovation cumulée entre les infogéreurs et les fournisseurs IaaS et Cloud Public pourraient permettre le développement de grands projets de santé et de recherche.

Des incertitudes demeurent

Toutefois, si les autorités publiques françaises ont retiré aux hébergeurs ce rôle de radar automatique de l'applicatif de leur client (ce qui règle quelques douloureux problèmes d'éthique, avouons-le), il est à regretter que rien ne fut pensé pour le remplacer. Et pourtant, la règle qui veut que 80% des attaques aient lieu sur l'applicatif (et non sur l'infrastructure) est toujours une réalité.

Il est donc important que les autorités publiques montent le troisième étage du dispositif, qui voudrait qu'un organisme tiers de confiance et indépendant contrôle l'application traitant de la donnée de santé.

De même, le positionnement des autorités publiques sur l'obligation des GHT à se certifier HDS doit être confirmé. En effet le décloisonnement ville-hôpital devient désormais une stratégie nationale avec pour conséquence, une ouverture croissante des SI hospitaliers. Des établissements support sont désignés pour porter le projet informatique pour tous leurs voisins. Il est donc plus que temps de se questionner sur l’encadrement des données de santé des GHT, dans le même format et avec les mêmes règles que chez un hébergeur de données certifié.

Infogéreur santé : un métier d’avenir

Pour conclure, l’infogéreur en santé n’exerce plus de contrôle sur l'application de ses clients. Il garde un devoir d’information et d’alerte et s’il en est capable, les accompagne dans une démarche vertueuse de sécurisation. Et désormais, il autorise, facilite et contrôle l'accès à des services de IaaS et de cloud innovants, en phase avec le besoin de la santé en France.

L'auteur 

Christophe Jodry, Directeur de l’Offre e-Santé, Claranet e-Santé

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La combinaison Philips SpeechLive et Dragon Medical One fluidifie l’organisation au sein du Cabinet de Cardiologie SCP Cardiovasculaire de l’Est

La combinaison Philips SpeechLive et Dragon Medical One fluidifie l’organisation au sein du Cabinet de Cardiologie SCP Cardiovasculaire de l’Est

17 oct. 2025 - 15:01,

Communiqué

- Philips

La SCP Cardiovasculaire de l’Est constitue un groupement d’experts en cardiologie qui propose une offre complète de soins avec une forte présence à Nancy, Essey-lès-Nancy et Épinal. Elle réunit 12 cardiologues associés qui exercent en cabinet comme en clinique, avec une expertise allant du suivi méd...

Illustration « Désiloter la médecine » : comment le GHT de Vaucluse repense la coordination des soins

« Désiloter la médecine » : comment le GHT de Vaucluse repense la coordination des soins

17 oct. 2025 - 12:53,

Actualité

- DSIH

Dans un contexte de tension sur les ressources médicales et de fortes disparités territoriales, le GHT de Vaucluse a fait du numérique un levier stratégique pour renforcer la coordination entre les établissements, les médecins libéraux et les structures médico-sociales. Rencontre avec Michaël De Blo...

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Journée nationale Perf.IA : une mobilisation massive, signe d'une attente claire.

Journée nationale Perf.IA : une mobilisation massive, signe d'une attente claire.

15 oct. 2025 - 11:07,

Communiqué

- ANAP

Le 14 octobre 2025, 1000 professionnels des établissements sanitaires et médico-sociaux, décideurs et acteurs technologiques se sont réunis au Beffroi de Montrouge pour la première édition de la Journée nationale Perf.IA, organisée par l’Anap. Une mobilisation forte qui témoigne d’une attente des pr...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.