Amendement N° 433 (Retiré)
Modernisation du système de santé
Déposé le 26 mars 2015 par : M. Bapt.
Rédiger l’alinéa 20 comme suit:
"c) Remplacer l’agrément prévu par l’article L1111-8 du code de la santé publique par une certification de l’aptitude des hébergeurs agréés à assurer la conformité des applications hébergées aux dispositions d’un référentiel portant notamment sur les conditions de sécurisation contre les accès non autorisés, d’identification et d’authentification des utilisateurs et des intervenants autorisés, et de traçabilité de leurs accès aux données de santé à caractère personnel. Cette certification devra être effectuée par un organisme accrédité à cet effet par l’instance nationale d’accréditation mentionnée à l’article 135 de la loi n° 2008 776 du 4 août 2008 de modernisation de l’économie."
Exposé sommaire :
La certification des hébergeurs de données de santé, représente un outil de responsabilité offrant une garantie de qualité et de services, notamment dans des missions de services publics, pour différents acteurs de santé aujourd'hui et pour demain sachant que les systèmes d'information de santé n'auront plus de légitimité technique, économique et en matière de sécurité à l'heure du Cloud Computing et des parcours de soins pluri-acteurs.
Il est important que le passage d’un processus d’agrément à un processus de certification ne dégrade pas le niveau de garantie apporté par les hébergeurs agréés. En les responsabilisant sur la conformité des applications hébergées en matière de sécurité des données, l’Etat s’est doté de relais opérationnels dans le déploiement de sa politique de sécurité, couvrant tout le spectre des applications manipulant des données de santé, et non les seuls systèmes des établissements de santé. Coordination des soins, serveurs de résultats (on notera que le laboratoire Labio, soumis à chantage par le groupe de pirates Rex Mundi, n’était pas sous hébergement agréé), dispositifs connectés, dossiers médicaux-sociaux bénéficient d’un accompagnement personnalisé dans la mise en conformité avec les exigences de la PSSI-S.
L’agrément tel qu’il est pratiqué aujourd’hui implique un certain niveau de connaissance et de maîtrise par l’hébergeur des applications hébergées. C’est un problème pour les établissements de santé lorsque ceux-ci recherchent simplement un prestataire pour déplacer chez lui leur salle serveur, car l’hébergeur devrait reprendre et sécuriser tout un parc hétéroclite d’applications accumulées au fil des ans. Il existe donc une tentation de délivrer des agréments pour des prestations de pur hébergement, le cas le plus flagrant étant l’agrément délivré à INTERXION pour une prestation de salle blanche (c’est-à-dire des murs, des alimentations électriques et du refroidissement, les serveurs restant eux-mêmes à la charge de l’établissement).
Ce besoin est légitime, mais tenter de couvrir sous le même libellé l’accompagnement expert de la sécurisation des applications et la location d’emplacements pour des serveurs est inextricable. Les établissements n’étant de toute façon pas soumis à l’agrément pour leurs systèmes propres, il serait préférable de reconnaitre leur aptitude à acquérir des services de bas niveau, pour lesquels une certification n’aurait guère de valeur ajoutée, plutôt que de niveler par le bas en dégageant les hébergeurs agréés de toute responsabilité sur les applications hébergées.
Aucun commentaire n'a encore été formulé sur cet amendement.