Détournement juridique du décret d’hébergement de données de santé – partie 3

Que le décret Hébergeur de données de santé (HDS) ait eu le mérite de poser le principe selon lequel on ne fait pas n’importe quoi avec des données de santé, c’est un fait. Que ce même décret comporte des zones grises, des trous dans la raquette, qui se sont cristallisés au fur et à mesure des différents avis et prises de position du comité d’agrément, rien que de très normal au fond sur un sujet aussi complexe. Que l’on en juge.

Quid de l’hébergement de type sec ? Certes l’Asip a pris position sur le sujet, mais l’hébergement « sec » a de multiples variantes, allant de la location de mètres carrés dans un local nu à la fourniture des services de base (y compris le refroidissement), et de multiples formes juridiques, certaines tirant sur le bail immobilier (objet du premier volet de cette série d’articles). Quid de l’hébergement des données de recherche ? Là encore, la position des pouvoirs publics semble aller vers une exclusion de ce type de données, sauf que toute personne travaillant dans un CHU sait que, dans la plupart des cas, les données de recherche servent aussi aux soins. Quid des bases de données régionales, hébergées par un CHU, qui contiennent des données de patients passant pour certains au CHU, mais pas tous ? L’expression « pour compte de tiers » s’applique-t-elle ou non ? Quid des GCS de moyens, qui en soi ne sont pas des établissements de soins (dans la plupart des cas, ils ne disposent pas des agréments nécessaires en la matière), mais qui traitent cependant des données de santé des établissements qui les ont constitués.

Il y a eu pas mal de discussions au cours du premier semestre 2016 entre l’Afhads, les pouvoirs publics et différents acteurs du secteur informatique, et il semblerait que l’on s’oriente vers deux évolutions majeures :

• La mutation de l’agrément vers une certification, ce qui signifie que des auditeurs viennent contrôler, pour la mise en route et à intervalles réguliers (tous les trois ans), la conformité de la prestation d’hébergement, le référentiel utilisé étant en grande partie l’ISO 27000 ;
• La distinction entre deux formes d’hébergement : la fourniture de services de base allant jusqu’à la couche matérielle (le serveur) et la fourniture de services avancés se rapprochant du mode SaaS ou, a minima, allant jusqu’aux couches middlewares ;

Sur la première évolution, quand on connaît un tant soit peu la norme ISO 27000, il est à prévoir que certains hébergeurs agréés publics ou privés ne seront pas en capacité de franchir la marche. Pour ce qui concerne la seconde évolution, c’est très clairement une réponse au « caillou dans la chaussure de l’agrément » que constitue la dérive de l’hébergement de type salle blanche.

Ce qui nous semble inquiétant, c’est qu’un établissement de santé pourra toujours souscrire un contrat d’infogérance totale de son SI hébergé dans ses propres locaux, la SSII titulaire dudit marché ayant alors bien moins de contraintes que si elle hébergeait les données de santé dans son propre datacenter, ce qui nous semble plus que discutable.

D’aucuns tendent à penser que, de la même façon qu’il existe une habilitation secret-défense, il faudrait mettre en place une habilitation d’accès aux données de santé pour les professionnels de l’IT. Tout le monde semble obnubilé par le fait qu’un serveur de DP ne se trouve pas dans les locaux de l’Ehpad ou du CHU, mais personne ne semble inquiet du fait que tous les grands éditeurs officiant dans le monde de la santé ont un accès en télémaintenance quasi total sur les données de production de leurs clients (et le DSI qui prétend le contraire est un fieffé menteur), et ce sans quasiment aucun contrôle, aucune revue des accès, aucune sanction.

La V3 du décret, peut-être ?

Cédric Cartau
(avec la collaboration de François Kaag)

[1] /article/2085/detournement-juridique-du-decret-d-hebergement-de-donnees-de-sante.html