Le ministère décide de retirer l’activité d’infogérance du périmètre de la certification HDS

L’activité d’infogérance d’exploitation d’un système d’information (SI) de santé sera retirée du périmètre des activités soumises à la certification des hébergeurs de données de santé (HDS). L’Agence des systèmes d’information partagés de santé (Asip santé) l’annonce le 4 avril 2019 sur son site, précisant que le ministère de la Santé “a décidé de procéder à la modification du décret” idoine pour retirer donc l’activité 5 du texte, “administration et l’exploitation du SI contenant les données de santé”. Frédéric Law-Dune, expert sécurité et architecture à l’Asip santé, précise à mind Health qu’il s’agit d’une affaire de quelques mois, le temps de respecter le délai réglementaire permettant de modifier le décret. Il rappelle que cette activité n’existait pas dans la procédure d’agrément, “donnant lieu alors à de nombreuses questions de la part des industriels comme d’hébergeurs traditionnels” s’interrogeant sur ce que recouvrait cette activité et, surtout, sur son introduction dans la nouvelle procédure.

Frédéric Law-Dune explique en effet que “des industriels qui ne conservaient pas les données de santé de leurs clients pouvaient être soumis à l’obligation de certification avec cette activité alors qu’ils intervenaient au sein d’un établissement de santé”. L’activité d’infogérance se situe “à la frontière de l’hébergement” mais “a un impact sur la sécurité des données. C’est la raison pour laquelle elle n’est pas abandonnée”. Ainsi, “le ministère souhaite que cette activité fasse tout de même l’objet d’un encadrement spécifique, dont la forme n’est pas encore définie. C’est un retrait de la certification, pas un abandon”. L’Asip a été missionnée pour ce faire et une première réunion avec des représentants d’industriels doit se tenir dans une dizaine de jours. Une comparaison européenne a également été demandée.

À noter : À ce jour, 14 industriels sont certifiés HDS selon la nouvelle procédure : Amazon Web Services (AWS), Blubee Belgium bvba, Bretagne Telecom, EBRC, EOLAS, Equinix, Cheops Technology, Claranet, ITS Integra, Microsoft, Salesforce, Tessi Technologies, le groupement d’intérêt public MiPih et, depuis le 3 avril, St. Jude Medical, LLC – Abbott. Equinix, Cheops, Claranet, ITS Integra et le GIP MiPih étaient déjà agréés, parmi 120 hébergeurs. Par ailleurs, environ 15 000 structures exercent une activité d’infogérance, indique l’Asip santé.