• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Parcours de soins > Gestion de la data > Centres hospitaliers : mode d’emploi pour devenir hébergeur de données de santé

Centres hospitaliers : mode d’emploi pour devenir hébergeur de données de santé

Huit centres hospitaliers français ont décidé de devenir hébergeurs de données de santé pour leurs propres activités et celles d’autres établissements. Une démarche qui requiert un agrément, attribué après l’examen du dossier par l’Asip santé et la Commission nationale de l’informatique et des libertés (Cnil).

Par . Publié le 06 décembre 2017 à 11h02 - Mis à jour le 06 décembre 2017 à 11h02
  • Ressources

L’Assistance Publique des Hôpitaux de Marseille (AP-HM), l’Assistance Publique des Hôpitaux de Paris (AP-HP), le Centre hospitalier intercommunal (CHI) Eure-Seine, le Centre hospitalier universitaire (CHU) de Nantes, le CHU de Nice, le CHU de Strasbourg, le CHRU de Nancy et les Hospices civils de Lyon font partie des 96 hébergeurs de données de santé (HDS) agréés par l’Asip Santé. Alors que la majorité des HDS sont des acteurs privés, ces huit établissements hospitaliers se sont lancés, il y a quelques années, dans une demande d’agrément pour l’hébergement des données de santé. En effet, les établissements de santé qui choisissent d’héberger uniquement leurs propres données de santé ne sont pas soumis à l’agrément. En revanche, dès lors qu’ils hébergent des données de santé de patients dont ils n’assurent pas la prise en charge, ils doivent l’obtenir. Une activité qui génère des revenus pour l’établissement hébergeur. Par exemple, le CHI Eure-Seine, qui héberge les données de 11 établissements, perçoit une rétribution à hauteur de 350 000 euros par année. “Nous refacturons ensuite annuellement un coût d’usage, dans le cadre de nos conventions, aux 11 autres établissements pour lesquels nous hébergeons aujourd’hui les données. Ces achats et amortissements groupés réduisent les coûts”, ajoute Patrice Large, le DSI. De plus, à l’heure des GHT et de la logique d’échange qui en découle, être détenteur de l’agrément permet aux établissements d’anticiper les mutualisations à venir.

           Philippe Tourron – AP-HM

La demande d’agrément répond également à une logique de sécurisation des données. “Notre objectif a été d’accroître le niveau de sécurité interne de notre établissement en commençant sur une petite échelle avant de l’étendre à l’intégralité du système informatique”, explique Philippe Tourron, responsable de la sécurité des systèmes d’information (RSSI) à l’AP-HM. L’établissement a fait sa demande d’agrément générique en 2015, mais en 2012 et en 2014, il déjà avait obtenu un agrément d’hébergement pour une application puis pour l’imagerie médicale. Devenir un établissement hébergeur de données ne s’improvise pas et généralement, les structures qui se lancent dans la démarche ont une antériorité.

Ne pas recourir aux hébergeurs externes

Avant de franchir le pas, les établissements se sont interrogés sur un éventuel recours à des hébergeurs externes. “Nous avons comparé les offres du marché mais elles étaient onéreuses pour nous, se rappelle François Guerder, directeur des systèmes d’information (DSI) au CHU de Strasbourg. D’autant plus que nous avons la culture et les capacités de le faire en interne.” Un argument retenu par le CHI Eure-Seine qui lui aussi n’a pas fait appel à un hébergeur extérieur parce que ce dernier n’a pas vocation à “aider l’établissement-client, dans le cadre de la gestion des bases de données par exemple”, fait savoir Patrice Large. Il s’est également interrogé sur la pérennité de l’hébergeur privé, car s’il doit cesser son activité, il faut alors “entrer dans un processus de restitution des données, complexe et assez mal cadré contractuellement”. Enfin, pour les établissements hospitaliers hébergeurs de données de santé intervenant pour d’autres établissements, Patrice Large fait également valoir la connaissance de l’environnement. “En tant qu’hébergeur, nous partageons les mêmes systèmes informatiques avec tous les établissements, nous allons donc plus loin dans le partage de compétences de par notre connaissance de cet environnement spécifique”, ajoute Patrice Large.

Comprendre le “corpus documentaire”

Une fois cette option écartée, les DSI se retrouvent confrontées à la compréhension du corpus documentaire exigé pour constituer le dossier de demande d’agrément. “Il faut veiller à ce que toutes les procédures décrites dans le dossier soient applicables et appliquées au sein de l’établissement”, indique Philippe Tourron. Avant de se lancer dans la demande d’agrément, il faut déjà s’assurer de définir et respecter quatre types d’obligations.
Première obligation : définir “l’organisation de la gestion de la sécurité du système d’information”, explique-t-il. La deuxième obligation consiste à définir la couche d’exploitation des données confiées en définissant le périmètre de vigilance. Il repose sur la mise en place du plan de continuité d’activité, c’est-à-dire la capacité de la DSI à assurer le maintien en condition opérationnelle pour les services hébergés, et du plan de reprise d’activité sur la gestion de crise. Troisième étape : garantir la protection de l’accès aux données de ceux qui vont utiliser le service hébergé, notamment avec la Carte des professionnels de santé (CPS)(1) ou équivalent.
La dernière obligation concerne l’accessibilité aux données. “Il faut garantir la sauvegarde et la restitution des données”, précise Philippe Tourron. Et d’ajouter : “L’ensemble de ces étapes sont des préalables à la constitution du dossier. Après avoir vérifié que nous pouvons les assurer, il faut les formaliser en détail et les intégrer au dossier en explicitant la mise en œuvre et démontrer que les processus et procédures fonctionnent.”

Une assistance pour la cartographie des risques et le juridique

De fait, il n’est pas rare que les DSI se fassent accompagner dans l’élaboration du dossier. Tout d’abord en interne, comme au CHI Eure-Seine, qui a demandé “l’aide du RSSI et celle du responsable qualité, au sein de la DSI, pour comprendre les normes, les protocoles et les procédures demandés”, fait savoir Patrice Large. Il a également fait appel à un cabinet extérieur, spécialisé dans la sécurité des systèmes d’information, afin de définir une cartographie des risques et un plan d’action pour les pallier. “Nous nous sommes aussi fait accompagner par un cabinet juridique notamment pour élaborer les contrats avec les clients”, ajoute Patrice Large, précisant que l’élaboration du dossier a duré quatre mois environ. À l’AP-HM, même si deux premières demandes d’agrément antérieures ont permis la réutilisation des composantes des dossiers pour la demande d’agrément générique, “nous nous sommes tout de même fait accompagner pour la généralisation de l’analyse de risques afin d’avoir un regard sur leur exhaustivité, et la complétude des mesures et procédures”, indique Philippe Tourron qui a conduit ce dernier agrément, obtenu en février 2017 après avoir élaboré le dossier en 7 mois.

Patrice Large – CHI Eure-Seine

Le CHU de Strasbourg a lui aussi fait appel à une société externe de service spécialisée en sécurité des SI afin de formaliser le dossier rédigé en 12 mois. “La procédure est lourde, reconnaît François Guerder. Notre dépôt de dossier faisait plus de 2 000 pages.”

L’étape de la soumission aux autorités

Une fois élaboré, il doit être envoyé à l’Asip Santé et à la Cnil, qui peuvent, pendant la procédure, demander des précisions. Comme le prévoit le décret n°2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel, il appartient à la Cnil d’apprécier les garanties présentées par le candidat à l’agrément en matière “de protection des personnes à l’égard des traitements de données de santé à caractère personnel et de sécurité de ces données”. La commission rend son avis dans un délai de deux mois à compter de la réception du dossier, délai pouvant être renouvelé une fois.
Dès que la commission s’est prononcée ou à l’expiration du délai qui lui était imparti, elle transmet la demande d’agrément, accompagnée, le cas échéant, de son avis, au comité d’agrément, un organe consultatif ad hoc pour le compte duquel l’Asip Santé instruit le dossier. L’organisme se prononce sur tous les aspects du dossier, en particulier sur les garanties d’ordre éthique, déontologique, technique, financier et économique qu’offre le candidat et émet son avis dans le mois qui suit la réception du dossier transmis par la Cnil. Un délai supplémentaire d’un mois est possible. C’est enfin, le ministère de la Santé qui dispose, pour prendre sa décision, d’un délai de deux mois suivant l’avis du comité d’agrément. À l’issue de cette période, son silence vaut décision de rejet. L’agrément est valable trois ans et si l’hébergeur agréé souhaite poursuivre son activité d’hébergement au-delà des trois ans initiaux, il doit effectuer une demande de renouvellement qui sera instruite comme la demande initiale.

Des coûts pour la mise en place puis le fonctionnement

Une procédure qui engendre des coûts, tant pour sa mise en place que pour son fonctionnement. “Pour héberger les données, nous achetons des infrastructures comme des serveurs et des espaces de stockage, regroupées dans notre établissement”, rapporte Patrice Large.

Pour mettre en place l’hébergement des données de santé, le CHI a investi 500 000 euros la première année puis 150 000 euros en trois ans. L’ensemble des maintenances coûtent quant à elles 370 000 euros par an. Le regret du DSI : devoir acheter des infrastructures avec une certaine puissance sans avoir une idée précise des évolutions nécessaires pour le stockage ou des régressions éventuelles. “J’aimerais pouvoir louer les infrastructures, faire du leasing, mais pour le moment les offres du marché ne sont pas légion et le Code des marchés publics inadaptés.”
Pour le CHU de Strasbourg, “le numérique est un enjeu qui est apparu très tôt comme contributaire de la performance et de la qualité de la prise en charge des patients”, souligne François Guerder. Depuis la fin des années 1990, l’établissement est opérateur des paies, des facturations et hébergeurs de solutions développées par et pour les autres établissements de la région. Et de poursuivre : “Avec notre patrimoine de données très important – un million de patients – nous devions nous donner les moyens de le sécuriser. Il y a aussi un enjeu lié à la prise en charge des patients. Il n’y a aucune perte de données puisque le logiciel est commun et permet une vision globale sur un territoire.” Le CHU de Strasbourg a investi 150 000 euros pour l’hébergement des données de santé, et cette activité a un coût de fonctionnement de 20 000 euros annuel.

(1) La CPS est une carte électronique des professionnels du secteur de la santé et du médico-social. Il s’agit d’un outil indispensable pour l’accès aux données de santé à caractère personnel, notamment dans le cadre du partage de l’information médicale

 

 

  • Données de santé
  • GHT
  • hébergeurs
  • Hôpital
  • Sécurité

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email