Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’ASIP : Docteur Folamour du 21ème siècle !

décembre 2017 par Marc Jacob

Pour 2018, l’ASIP a concocté une réforme de l’agrément des hébergeurs de donnée de santé digne d’Ubu Roi. Dans la perspective du RGPD, une réforme de l’hébergement s’imposait mais de là à rendre les conditions d’accès quasi impossible le pas a été franchi. L’ASIP semble être devenu le nouveau Docteur Folamour du 21ème et veut, à l’instar de son prédécesseur cinématographique, faire exploser non pas le monde mais le système de santé français !

En 2018, on ne sait pas encore si ce sera en février, en mars ou plus tard car tout dépendra du bon vouloir de l’autorité en charge de la promulgation du nouveau décret d’application : l’agrément d’hébergeur de données de santé va disparaitre pour être remplacé par une certification. Certes, dans la perspective du RGPD et du renforcement général de toutes les législations en matière de protection des données à caractère personnel, cette réforme s’imposait, mais de là à la rendre quasi-inapplicable du fait de ces incohérences, le pas a été largement franchi ! Sans vouloir faire une liste exhaustive de toutes les incohérences voici les trois points particulièrement significatifs de cette nouvelle certification et des implications pour tous les prestataires.

La première incohérence concerne le séquencement entre la promulgation des textes de cette certification. En effet, à ce jour personne ne peut dire s’il sera promulgué en février, mars ou plus tard. Par contre, à partir de cette date les hébergeurs de données de santé auront 8 mois pour obtenir la certification. On pourrait penser que ce délai est suffisant sur le papier, mais cette nouvelle certification implique d’obtenir une certification ISO 27001 élargie qui inclut des exigences ISO 2000 en rapport avec l’ITIL, de l’ISO 27017 sur la partie gestion des données à caractère personnel ainsi qu’une quinzaine d’exigences spécifiques. Quand on sait qu’il faut environ un an pour obtenir une certification ISO 27001 et débourser entre 20.000€ et 50.000€ selon le périmètre. L’exercice semble compliqué au minium pour les petits hébergeurs en région qui souvent n’ont à ce jour même pas penser à commencer cette démarche… à croire que l’ASIP veut écrémer le marché et faire la part belle aux grands opérateurs parisiens qui pour la plupart sont déjà certifiés ISO 27001… A la décharge de l’ASIP, il semble que l’exigence de l’ISO 27001 est de plus en plus demandée par certains types de clients.

La seconde incohérence concerne les organismes certificateurs. Aujourd’hui, il n’y en a aucun car il faudra attendre la promulgation du texte pour que ceux qui le souhaitent puissent déposer un dossier auprès du COFRAC. Par contre, ils devront avoir certifié une entreprise et être en cours de certification d’une seconde pour pouvoir déposer un dossier… Ce qui est pour le moins étrange car, comment ces organismes non agréés pourraient certifier une entreprise ? A la question de savoir si l’organisme certificateur n’obtient pas son agrément la réponse de l’ASIP est qu’il devra transmettre ces dossiers… Quid alors de sa première entreprise certifiée ? Devra-t-elle tout repasser ? A ce jour, personne n’a la réponse. A ce rythme si aucun organisme certificateur n’obtient d’agrément dans un délai raisonnable, que vont devenir les hébergeurs de données de santé…

La troisième incohérence concerne les fournisseurs de logiciels pour la santé. En effet, eux aussi vont être considérés comme des hébergeurs de données de santé au motif qu’ils fournissent des mises à jour de leurs logiciels et parfois ils sont amenés à intervenir sur les anciennes versions contenant des données de santé. Il faudra donc qu’ils passent la certification ! Si l’ASIP voulait stopper l’innovation elle ne se serait pas prise autrement. En effet, dans le domaine médical, on ne compte plus le nombre de start-up et de PME, comment vont-elles faire demain pour se concentrer non seulement sur leur R&D et passer cette certification ?

Devant de telles incohérences et une telle méconnaissance du monde de l’entreprise, il est urgent que l’ASIP revoie sa copie tant au niveau du timing que des critères de la certification. Le risque est d’une part de « tuer » la R&D, et d’autre part que de nombreux hébergeurs de santé surtout en région renoncent à poursuivre leurs offres dans ce domaine… laissant les hôpitaux, cliniques et plus largement toute la filière de la santé sans fournisseur ce qui à l’heure de la digitalisation de la société serait un comble !




Voir les articles précédents

    

Voir les articles suivants