Comment l’Etat euthanasie la Certification sur l’hébergement des données de santé ?

Passée relativement inaperçue, l’annonce faite par l’agence de santé de l’état, l’ASIP, sur la probable mise à l’écart de l’activité d’infogérance du périmètre de certification HDS fragilise la dynamique de sécurité numérique en cours de mise en place dans le secteur.

Alors que l’exécutif semblait faire de la cybersécurité une priorité pour la France, et alors que l’on souffle la première bougie du RGPD, l’annonce sonne comme une douche froide ; comme le révèle le magazine TICSanté : « Les activités d'infogérance devraient être extraites 'dans les mois qui viennent' du périmètre de certification des hébergeurs de données de santé, pour laisser place à un encadrement spécifique faisant actuellement l'objet d'une réflexion à l'Agence des systèmes d'information partagés de santé (Asip santé). »

Moins de sécurité pour les données de santé ? Ce retournement paraît difficilement compréhensible. Pourquoi une telle mise à l’écart ? Dans la hiérarchie de la protection, les prestations d’infogérance sont bel et bien les plus critiques puisque ce sont ces activités qui donnent accès directement aux données elles-mêmes, et permettent de les manipuler. Dans la chaîne de valeur, cela consiste à demander de sécuriser (et faire certifier) toutes les briques matérielles et logicielles d’un système, sans qu’il n’y ait aucun contrôle sur les processus d’exploitation des données, ni sur les entités ou les personnes qui les exploitent... A titre d’exemple, cela reviendrait à demander aux constructeurs automobiles de garantir la conformité de leur chaîne de production, et à rendre le permis de conduire facultatif pour les conducteurs...

S’il est clair que cette décision semble dictée par les impératifs économiques du service public, notamment du fait des coûts engendrés par les regroupements hospitaliers, son impact sur l’écosystème d’entreprises émergent dans le domaine de la santé (les medtechs) semble avoir échappé à ses instigateurs.

En effet, à l’heure où les start-up du domaine de la santé explosent (Doctolib n’étant que la face visible de ce succès) je m’interroge sur la pertinence d’une telle annonce, qui ne fait que laisser (in)volontairement un trou de sécurité béant dans la chaîne de valeur, dans la mesure ou les entités qui traitent la donnée (les start-up donc) seraient exemptées du processus de certification !

Autre point problématique, le planning de l’annonce. Plusieurs sujets se dessinent désormais : premièrement, les start-up ayant déjà entamé une démarche de certification ont désormais l’amère et légitime impression d’avoir parcouru tout ce chemin pour rien, avec l’investissement financier et humain que cela représente, pour in fine, n’être plus contraint ni à la démarche, ni à la certification. Et ce, moins d’un an après que le décret d’application du référentiel de certification ait été publié…

Ensuite, une fois l’annonce passée, on découvre que le plan de transition n’est pour le moins pas encore abouti ! Tout au plus, des groupes de travail sont prévus avec « l’écosystème » pour envisager un nouveau mode de contrôle de la sécurité. Selon certaines sources, il serait surtout prévu de s’appuyer sur les clauses contractuelles pour assurer la sécurité…. en d’autre terme, aucun ou très peu d’éléments techniques, sans compter que le contrat n’est utile qu’après un sinistre. Il faudra donc attendre au mieux un litige, au pire une catastrophe pour se pencher sur les clauses contractuelles, ce qui n’aura qu’une seule finalité : identifier un coupable et lui en faire porter la responsabilité. Aucune mesure préventive ni pro-active ne saurait être matérialisée dans un contrat, la situation en restera donc au déclaratif et en cas de pépin, les juristes entreront en action pour trouver les failles… du contrat !

Enfin, le contexte même de cette annonce. Comme dit en introduction, et de l’aveu même du président Macron, ce projet HDS était une mesure phare sur un secteur où la France était très en retard. Ce dernier déclarait « Je pense qu'il est essentiel parce qu'il en dépend notre capacité à nous protéger et notre souveraineté numérique […] et notre capacité à protéger nos systèmes parce qu'on agrège tout dans ce domaine-là. Je suis assez en ligne avec la stratégie qui a été présentée en France par Le Drian sur le plan militaire. Le sujet, c'est qu'il faut le désenclaver du militaire. C'est un sujet qui relève du militaire mais qui doit également protéger tous les systèmes experts civils". » (février 2017)

Au-delà, dans son rapport sur l’IA & les données de santé, le député Villani lance des pistes ambitieuses visant à : « la captation, structuration et annotation des données produites dans le cadre du suivi du patient », mais aussi, « la mise en place de systèmes adaptés aux usages liés à l’IA visant à plateformiser le domaine », de même que « des procédures d’accès aux données plus fluides et un cadre pour expérimenter en conditions réelles les solutions émergentes. »

Il explique aussi que « L’un des rôles de la puissance publique à l’heure de l’IA est d’orchestrer le « monitoring » de l’ensemble du système sanitaire, c’est-à-dire d’identifier les données susceptibles d’être utilisées et d’organiser les modalités concrètes de leur collecte et de leur exploitation à des fins de santé. À l’heure actuelle, le pilotage des politiques de données de santé est partagé entre plusieurs entités : l’Institut national des données de santé, l’ASIP santé, l’Administrateur général des données et la mission Etalab, etc. Cette gouvernance gagnerait à être clarifiée afin d’énoncer des lignes directrices fortes et de proposer une offre de services lisible autour des données »

La décision d’extraire l’infogérance de son cadre réglementaire est en contradiction totale avec ces prises de position.

D’autant qu’aujourd’hui, des solutions existent, notamment pour les start-up qui disposent de solutions de financement leur permettant de faire face à ces investissements en termes de conformité & de certification (CICE, C2I par exemple). De plus, le secteur du conseil aborde ce marché avec des solutions peu coûteuses et rapidement actionnables.

Pour finir, extraire les sociétés d’infogérance de la certification ne les affranchit pas pour autant de se mettre en conformité avec le RGDP ; et si cette étape est en cours, pourquoi ne pas compléter la démarche avec les mécaniques spécifiques à leur secteur d’activité ?  Dans un domaine déjà extrêmement normé (marquage CE, ISO13485 etc.), faire de la certification HDS le parent pauvre de la sécurité n’est ni un bon calcul, ni bon investissement pour pérenniser l’infrastructure de notre avenir.

Comment l’Etat euthanasie la Certification sur l’hébergement des données de santé ?
Comment l’Etat euthanasie la Certification sur l’hébergement des données de santé ?

Alors que l’exécutif semblait faire de la cybersécurité une priorité pour la France, et alors que l’on souffle la première bougie du RGPD, l’annonce sonne comme une douche froide ; comme le révèle le magazine TICSanté : « Les activités...