L’annonce faite lors du congrès de l’APSSIS de l’abandon de la certification pour les activités d’administration et d’exploitation d’un SI contenant des données de santé à fait grand bruit dans notre petit monde.
Au risque de surprendre, je dirais qu’il me semble que c’était la seule sortie possible du bourbier dans lequel on pataugeait depuis des années.
Certes, j’avais dans un article précédent sur LinkedIn fait état de la décision inverse en avril 2018, après avoir convenu avec la Délégation à la Stratégie des Systèmes d’Information de Santé que puisqu’ils ne voulaient pas en démordre, il valait mieux que nous ayons une communication coordonnée sur le sujet (communication qui n’est jamais venue de leur côté).
Mais on n’en n’était pas plus avancés, car il était impossible de tracer une délimitation dans le continuum qui va du dépannage occasionnel du poste de travail du généraliste de Saint Flour à l’administration du dossier patient d’un CHU, et personne ne pouvait imaginer sérieusement imposer la certification à l’ensemble des acteurs susceptibles d’être concernés. Tout au plus pouvait-on espérer qu’on laisserait les plus petits voler tranquillement en dessous des radars.
Alors, mieux vaut sans doute abandonner l’obligation que de plonger délibérément une fois encore (qu’on se rappelle le décret Confidentialité) la majorité des acteurs dans l’illégalité.
Mais évidemment, ce rétropédalage ne va pas sans mal. L’article de Sana Bakfalouni paru sur le JDN en est une bonne illustration. On peut aussi s’attendre à des réactions outragées des anciens hébergeurs agréés qui avaient espéré faire de cette certification un argument pour s’intercaler entre leurs clients et les clouds publics.
Là où je pense que l’indignation est mal placée, c’est qu’en réalité il n’y a plus grand chose à perdre en matière de sécurité après le remplacement de l’agrément par la certification. La règle du jeu est désormais qu’il appartient au responsable de traitement de composer un bouquet complet et cohérent de prestations certifiées entre les différents offreurs de service : infrastructure cloud, administration réseau, administration système, administration fonctionnelle ou technique de l’application, intégrateurs, éditeurs, prestataires variés d’acheminement de messages ou de flux, chacun porteur d’un fragment de certification sur un périmètre qu’il définit à son gré. L’exercice serait déjà redoutable pour un architecte informatique chevronné, il est juste inenvisageable pour un professionnel de santé.
Essayer de défendre la certification dans ce cadre, c’est un combat d’arrière garde. S’il y a un espoir de voir les conditions de sécurité des données de santé s’améliorer, c’est désormais au travers des obligations du RGPD, objectivées par les mythiques référentiels opposables de la PGSSI-S, et mobilisées grâce à un réveil tardif des associations de patients.