Publicité en cours de chargement...
Certification hébergement données de santé : un nouveau modèle pour les infogéreurs
Une certification et un audit pour répondre aux limites de l’agrément
Le modèle actuel d'agrément est en fin de vie. Pour encore quelques mois, sur les bases d'une déclaration, l'hébergeur candidat exprime toute sa bonne foi dans un énorme dossier remis à l’ASIP. Le candidat ne fait l’objet d’aucun audit de la part des autorités.
L'exercice consiste donc à être cohérent et crédible face aux règles énoncées par le Ministère de la santé. Et pour certains, parfois ne pas réaliser complétement ce qui a été écrit… Nous comprenons très vite les limites d'un tel système, notamment en termes de sécurité numérique.
Le modèle de certification désormais proposé par la DSSIS (Délégation à la Stratégie des Systèmes d’Information de Santé) et l'ASIP Santé cherche à accroître la confiance envers les hébergeurs, en instaurant un audit sur site réalisé par un tiers indépendant. Et ceci aux frais de l'hébergeur.
De ce fait, le ticket d'entrée de la certification sera bien plus élevé que ne l’était celui de l'agrément, avec pour conséquence une redistribution des cartes chez les actuels hébergeurs déjà agréés.
Le paradigme du contrôle de l’application
La réalisation d’un audit n'est pas le seul changement notable. Un autre paradigme change avec la certification : le contrôle de l'application.
Dans le modèle actuel, les hébergeurs se sont attribués le contrôle de l'applicatif de leur client, remplissant un vide juridique laissé par le décret instaurant l'agrément en 2010. Cette philosophie, portée par les hébergeurs historiques, a permis de protéger ces derniers des grands cloud providers, en construisant un modèle franco-français d'hébergement de données de santé. L'intention était louable - protéger la donnée de santé du citoyen français - mais a eu d’autres conséquences.
Ce modèle n’a pas démontré sa capacité à porter l’investissement massif permettant l’éclosion de plateformes d’IoT, de deep learning ou encore de big data. En ralentissant l'accès à l'agrément aux très grands fournisseurs IaaS et Cloud, le modèle a peut-être freiné l'innovation nécessaire dans la santé.
La certification change-t-elle la donne ?
En analysant la dernière version de travail, nous pouvons penser que oui. En retirant le contrôle de l'applicatif aux hébergeurs et en proposant un système à deux étages, un certificat hébergeur d'infrastructure physique et un certificat d'infogéreur, les autorités publiques obligent ou autorisent, selon les points de vue, les hébergeurs à une transformation de leur métier.
Ce schéma de l’ASIP Santé présente les composantes des deux certifications à venir :
Rien n'empêche l’infogéreur d'opérer ses propres infrastructures. Dans ce cas de figure, il est titulaire des deux certificats. Cela peut être un bon modèle pour l'univers hospitalier par exemple.
Mais la certification l’autorise aussi à opérer des plateformes fournies par les grands fournisseurs de cloud et de IaaS. A sa charge dans ce cas-là de :
- Assurer le maintien en condition opérationnelle, la sécurité et la conformité.
- Proposer une couche de service innovante et complémentaire en adéquation avec le besoin terrain.
- Trouver le ou les bons partenaires respectueux de la législation en vigueur mais capable d'apporter cette force de frappe manquant cruellement à la santé française.
L'innovation cumulée entre les infogéreurs et les fournisseurs IaaS et Cloud Public pourraient permettre le développement de grands projets de santé et de recherche.
Des incertitudes demeurent
Toutefois, si les autorités publiques françaises ont retiré aux hébergeurs ce rôle de radar automatique de l'applicatif de leur client (ce qui règle quelques douloureux problèmes d'éthique, avouons-le), il est à regretter que rien ne fut pensé pour le remplacer. Et pourtant, la règle qui veut que 80% des attaques aient lieu sur l'applicatif (et non sur l'infrastructure) est toujours une réalité.
Il est donc important que les autorités publiques montent le troisième étage du dispositif, qui voudrait qu'un organisme tiers de confiance et indépendant contrôle l'application traitant de la donnée de santé.
De même, le positionnement des autorités publiques sur l'obligation des GHT à se certifier HDS doit être confirmé. En effet le décloisonnement ville-hôpital devient désormais une stratégie nationale avec pour conséquence, une ouverture croissante des SI hospitaliers. Des établissements support sont désignés pour porter le projet informatique pour tous leurs voisins. Il est donc plus que temps de se questionner sur l’encadrement des données de santé des GHT, dans le même format et avec les mêmes règles que chez un hébergeur de données certifié.
Infogéreur santé : un métier d’avenir
Pour conclure, l’infogéreur en santé n’exerce plus de contrôle sur l'application de ses clients. Il garde un devoir d’information et d’alerte et s’il en est capable, les accompagne dans une démarche vertueuse de sécurisation. Et désormais, il autorise, facilite et contrôle l'accès à des services de IaaS et de cloud innovants, en phase avec le besoin de la santé en France.
L'auteur
Christophe Jodry, Directeur de l’Offre e-Santé, Claranet e-Santé
Avez-vous apprécié ce contenu ?
A lire également.

Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE
10 juin 2025 - 10:27,
Actualité
- DSIH, Pauline NicolasOptimiser le codage PMSI par l’innovation et l’intelligence artificielle, tel est le message clé de la dernière conférence qui s’est tenue au sein de l’auditorium Dedalus en clôture de cette 59ème édition de SantExpo. Dedalus, leader des solutions PMSI en France, et SANCARE, spécialiste de l’intelli...

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Partenariat Malt-Resah Un levier stratégique pour accéder à l’expertise freelance
09 juin 2025 - 20:54,
Actualité
- DSIH, Damien DuboisLe jeudi 5 juin, Malt et le Resah ont organisé un webinaire commun sur leur partenariat et les opportunités qu’il offre aux projets des adhérents du Resah, lors duquel Xavier Vallin, freelance engagé auprès d’établissements de santé, a fait part de son retour d’expérience.

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé
06 juin 2025 - 18:52,
Actualité
- DSIHL’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...