​Hervé Streiff : "attention à la confusion entre notions d'hébergement et d'archivage"

Le 17/10/2017 (Mis à jour le 19/10/2017) - Par Bruno Texier
"En France, les contraintes sont moins lourdes à l'exception de de la localisation des données" Hervé Streiff (Locarchives)

Sommaire du dossier :

 

Hervé Streiff est directeur projet R&D solutions digitales au sein du tiers-archiveur Locarchives.

Quelle est la législation actuelle en matière d'hébergement des données de santé ?

La législation actuelle s'inscrit dans un cadre d'externalisation qui consiste à obtenir un agrément donné par l'Agence française de la santé numérique Asip Santé. Mais attention à la confusion entre les notions d'hébergement et d'archivage ! Le dispositif qui a été mis en place pour l'agrément des hébergeurs de données de santé n'est pas du tout orienté vers l'archivage. Il répond principalement à des objectifs de confidentialité des données.

Lorsque l'on regarde la liste des opérateurs agréés par l'Asip Santé, on constate la...

...présence d'opérateurs de cloud qui ne sont pas nécessairement spécialisés dans la gestion du document ou dans l'archivage. Aujourd'hui, on trouve de nombreux opérateurs agréés, mais une minorité seulement appartient au monde de l'archivage.

Il y a quelques années, peu d'opérateurs avaient reçu cet agrément. Comment expliquer qu'ils soient si nombreux aujourd'hui ?

Il y a aujourd'hui un besoin d'externalisation favorisé par l'émergence de solutions en mode Saas. Un établissement de santé n'est pas soumis à l'agrément : l'installation d'une Ged dans le système d'information de l'établissement n'est pas conditionnée à l'obtention d'un agrément. En revanche, le recours à une Ged en mode Saas suppose que les prestataires obtiennent cet agrément.

Il existe une tendance de fond qui conduit les établissements de santé à passer d'une installation sur site à un mode Saas. Pour le monde de la santé qui brasse de très gros volumes de données, les solutions d'hébergement dans des data centers sont économiquement intéressantes.

La législation française est-elle plus « verrouillée » que les législations étrangères ?

Si l'on prend l'exemple de l'Allemagne, les contraintes sont moins lourdes à l'exception de la localisation des données.

La loi du 26 janvier 2016 sur la modernisation du système de santé a-t-elle changé la donne en matière d'hébergement des données de santé ?

Cette loi est très vaste et les articles portant sur les modalités d'agrément des hébergeurs de données de santé vont en effet changer la donne. Elles vont en effet viser plus largement qu'auparavant.

Avec cette loi, tous les acteurs qui ont accès aux données de santé sont soumis à la réglementation. Par exemple, les acteurs de l'assurance qui proposent à leurs clients des formulaires contenant des données sensibles n'étaient pas jusque-là soumis à un agrément. Désormais ils le sont. L'agrément va s'appliquer de façon plus large.

Autre changement, la demande d'agrément était jusqu'ici remplie sur dossier puis instruite par l'Asip Santé. Cela représente une charge importante et un délai d'obtention plutôt long : il fallait environ deux ans pour instruire un dossier d'agrément.

Le nouveau dispositif déporte la charge de l'audit sur le demandeur d'agrément : nous entrons là dans une démarche de certification de type Cofrac (Comité français d'accréditation). Sur la base d'un rapport d'audit, un agrément sera fourni ou pas. Cela permettra de fluidifier les procédures de demande d'agrément.

La réalisation d'un audit est également une démarche plus approfondie que la simple déclaration dans un dossier papier. D'autant plus que cette certification sera de type Iso 27001, c'est-à-dire d'un assez haut niveau.

Enfin, la loi du 26 janvier 2016 va distinguer les types d'opérateurs : fournisseur d'infrastructure, infogéreur... L'agrément concerne des prestations et des services bien précis plutôt que des opérateurs.

Les tiers-archiveurs sont-ils amenés à héberger des données collectées par des applications dédiées à la santé et au bien-être ?

Oui, de nouveaux clients sont apparus sur ce segment. Nous travaillons par exemple avec des start-up qui n'ont pas la capacité d'être agréées et qui font appel à des tiers-archiveurs pour gérer l'hébergement des données.

À lire sur Archimag