À l’occasion de son webinaire organisé le 21 janvier 2025, la HAS a officialisé le lancement du 6^ème cycle de certification des établissements de santé (2025-2029) et présenté la nouvelle version de son référentiel de certification.

La certification des établissements de santé publics et privés est une démarche indépendante et obligatoire prévue par l’article L.6113-3 du Code de la santé public conduite par des experts mandatés par la HAS qui évaluent le niveau de qualité et de sécurité des soins délivrés par les établissements de santé.

Le référentiel de la HAS définit les attendus de qualité et les critères d’évaluation sur lesquels ces établissements seront évalués. Répartis en trois chapitres dédiés aux patients, équipes de soins et établissements, le référentiel pose des critères pour lesquels des éléments d’évaluation sont associés.

Ces éléments d’évaluation constituent des mesures devant être mises en œuvre par les établissements de santé pour atteindre le précieux sésame de la certification, et force est de constater que le numérique occupe désormais une place importante !

Etablissements de santé, êtes-vous prêt pour ce nouveau défi ? On vous donne quelques pistes pour vous aider dans vos démarches.

Le nouveau référentiel de la HAS intègre largement la gestion de la qualité et de la sécurité des soins à travers le fonctionnement sécurisé du système d’information de l’établissement de santé.

Concentrés au sein du chapitre 3 dédié aux établissements de santé, certains objectifs et critères posés par le nouveau référentiel 2025 insistent en effet sur l’importance qu’ont les établissements de santé à maitriser les risques liés à la sécurité informatique.

Une bonne gestion d’un système informatique (« SI »), et des informations qui y transitent, nécessite pour l’établissement de santé de disposer d’une vision d’ensemble sur les outils informatiques et flux de données existants.

À ce titre, le référentiel incite les établissements de santé à réaliser une cartographie de l’ensemble des dispositifs médicaux numériques (« DMN ») à usage professionnel utilisés en interne, laquelle devra être mise à jour « au moins une fois par an » (Critère 3.4-05 du référentiel HAS).

De même, l’établissement de santé doit être en mesure de cartographier les échanges de données de santé non-sécurisés, et établir un plan de transfert vers une messagerie sécurisée de santé (Critère 3.1-09 du référentiel HAS).

Ainsi, l’établissement de santé pourra compter sur le support du délégué à la protection des données (« DPO ») et/ou du référent informatique (généralement le Responsable de la sécurité des systèmes d’information ou « RSSI ») de son établissement ou du groupement auquel il appartient pour formaliser ces actions.

Sécuriser l’accès aux SI de santé

Toujours dans l’optique de renforcer la sécurité du système d’information de l’établissement de santé, ce dernier doit être en mesure de mettre en œuvre des mesures techniques et organisationnelles adaptées à l’état de la cybermenace qui pèse sur les SI de santé et notamment :

• Le référentiel de la HAS rappelle les établissements de santé l’importance de définir des règles d’habilitation (accès, consultation, modification, suppression, …) des utilisateurs de leur SI, lesquels possèdent un compte nominatif accessible à l’aide d’un identifiant et mot de passe personnel unique. (Critère 3.1-08 du référentiel HAS) ;

• De même, la HAS incite les établissements de santé à proscrire certaines pratiques internes tels que le recours en interne à des comptes génériques pour certains profils d’utilisateurs (intérimaires, étudiants, stagiaires, prestataires)(Critère 3.1-08 du référentiel HAS), ou encore de cesser la conservation en local de documents de santé intégrant des données médicales de patients)(Critère 3.1-09 du référentiel HAS).

• Enfin, le référentiel HAS prévoit l’élaboration d’un plan de formation pluriannuel à la sécurité et l’hygiène informatique, et l’organisation d’actions de sensibilisation à destination de tous les professionnels de l’établissement, notamment pour permettre aux équipes de connaitre la conduite à tenir lors d’un incident informatique ou cyberattaque (Critère 3.1-07 du référentiel HAS).

En effet, comme l’avait souligné l’Agence nationale de la sécurité des systèmes d’information (« ANSSI ») dans son rapport publié le 7 novembre 2024 sur l’état de la menace informatique dans le secteur de la santé, les établissements de santé sont des cibles de choix des cyberattaques, en raison notamment de la valeur des bases de données de santé revendues sur le Darnekt.

Inutile donc de rappeler toute l’importance de ces mesures pour les établissements de santé.

En effet, l’établissement doit être en mesure de formaliser une politique de réaction adaptée en cas d’incident informatique, en particulier si celui-ci révèle une violation de données à caractère personnel, dont les premières heures qui suivent après sa survenance sont cruciales.

Quels éléments rapporter ? Qui contacter ? Dois-je obligatoirement prévenir la Commission Nationale de l’Informatique et des Libertés (« CNIL »), l’ANSSI ou encore l’Agence du Numérique en santé (« ANS ») ? Que faut-il documenter ? Doit-on informer les personnes concernées de la violation ? Voici autant de questions qui devront être anticipées et formalisées au sein d’une procédure, puis être portée à la connaissance des membres du personnel.

À noter que ces exigences contribuent également à la conformité de l’établissement aux exigences posées par la règlementation sur les données personnelles, notamment celles prévues par l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »). L’occasion ici de vous rappeler qu’une synergie existe entre la gestion qualité et le RGPD, c’est ce que nous avions démontré dans un précédent article.

Par ailleurs, les établissements de santé auront tout intérêt à s’appuyer sur leur charte informatique pour répondre aux attentes posées ici par le référentiel, et ainsi prévoir des règles encadrant l’accès et l’usage des outils composant le SI de l’établissement. Attentiontoutefois à l’opposabilité de celle-ci auprès des utilisateurs !

De même, l’élaboration d’une politique d’habilitation permettra également à l’établissement de santé de repenser le fonctionnement de ses services et de renforcer par la même occasion sa pratique en matière d’échange et de partage d’informations médiales, dont les règles prévues par les dispositions de l’article L.1110-4 du Code de la santé publique sont parfois complexes à appréhender et à mettre en œuvre (habilitation accordée par service de santé ? par unité fonctionnelle ? par profession ? etc…).

À ce titre, la CNIL est amené prochainement publier un guide sur les dossiers patients informatisés (« DPI »), qu’il conviendra de mettre en perspective avec les exigences de la HAS.

Une évaluation des besoins techniques et juridiques

Les objectifs et critères posés par le référentiel de la HAS poussent les établissements de santé à renforcer leur maitrise des outils informatiques déployés pour les besoins de leurs activités.

• En effet, le référentiel s’attend à ce que les établissements de santé disposent d’une organisation structurée pour répondre aux besoins des équipes de soins en matière d’acquisition de dispositifs médicaux numériques (Critère 3.4-05 du référentiel HAS).

Les établissements de santé devront ici s’entourer de leurs équipes informatiques et juridiques, mais aussi achats pour formaliser une organisation adaptée à l’évaluation des besoins des professionnels de santé et la sélection des offres d’éditeurs de solutions de DMN.

Au-delà des règles propres à la commande publique qui s’imposent aux établissements de santé selon les seuils définies par le Code de la commande publique, les établissements de santé devront être particulièrement vigilants aux termes proposés par les éditeurs dans leurs offres de contrat/licence.

En effet, de par notre expérience, nous sommes témoins du fait que bien souvent les établissements de santé ne prêtent pas attention aux modalités techniques et contractuelles proposées par l’éditeur (conditions et coût de la maintenance, description des niveaux de maintenance réalisées, hébergement de données, conditions de support, modalités de modification/résiliation du contrat, interopérabilité …).

La négociation de contrats de solutions informatiques et numériques par les établissements de santé revêt un enjeu d’une importance capitale dans le bon fonctionnement de ses services qu’il convient de ne pas négliger dès le stade des négociations avec l’éditeur. Le recours aux centrales d’achat ne peut exonérer les établissements à cette indispensable négociation.

Le rapport de l’ANSSI sur la menace informatique en santé souligne que la prise en charge des patients repose sur des systèmes interconnectés, essentiels à la gestion des données. Cette interconnexion augmente l’exposition aux cyberattaques, risquant d’entraîner une indisponibilité des services. Ce risque est encore plus marqué dans les Groupements Hospitalier de Territoire (« GHT ») et les Groupements de Coopération Sanitaire (« GCS »), où les dépendances entre établissements peuvent provoquer des dommages en cascade en cas d’attaque.

Ainsi, la négociation des contrats numériques doit intégrer l’ensemble de ces éléments concrets dans le fonctionnement du SI de l’établissement de santé.

L’accompagnement des professionnels dans l’acquisition des DMN

Le référentiel de la HAS met également l’accent sur la formation des professionnels de santé à l’utilisation de DMN.

Le référentiel prévoit en effet que l’établissement de santé organise la formation des professionnels utilisateurs d’un DMN pour que ces derniers puissent en connaitre les performances, conditions d’usage et les limites (Critère 3.4-05 du référentiel HAS).

Encore une fois, les termes du contrat conclu avec l’éditeur devront être examinés avec soin par les équipes juridiques et informatiques de l’établissement de santé. En effet, il est courant que l’éditeur d’une solution informatique propose, sous forme de prestations complémentaires ou non, des formations à destination des utilisateurs de son client pour que ces derniers puisse s’approprier le fonctionnement du DMN. Vigilance donc sur ces clauses, en particulier lorsque les outils concernés font appel à de l’intelligence artificielle (« IA ») – voir plus bas nos développements.

Une incitation à s’approprier certains outils dont la télésanté

Le référentiel de la HAS pousse également les établissements de santé a s’approprier certains outils informatiques dans le cadre de leurs activités de soins.

• Le référentiel dédie notamment un critère entier à l’utilisation de la télésanté par l’établissement pour améliorer la prise en charge du patient. La HAS précise notamment que l’établissement peut proposer une prise en charge à distance à un patient qu’il soit suivi ou non par un professionnel de santé de l’établissement, et ce, dans le but de faciliter l’accès aux soins (Critère 3.4-04 du référentiel HAS).
• De même, le critère précité prévoit également la possibilité pour l’établissement de santé de solliciter des professionnels de santé extérieurs pour la prise en charge de ses patients par télésanté (Critère 3.4-04 du référentiel HAS).

Bien que ces éléments soient posés par le référentiel de la HAS, il peut être relevé qu’il s’agit plutôt pour le moment d’une incitation pour les établissements de santé à réfléchir sur l’opportunité de recourir ou non à la télésanté, et le cas échéant procéder aux formalités nécessaires, tant sur le plan administratif (déclaration auprès de l’ARS) que sur le plan technique (notamment les normes de sécurité de l’ANS en matière d’identitovigilance, etc …).

Enfin, le référentiel de la HAS pousse également les établissements de santé a faire un pas supplémentaire dans l’appropriation de « Mon Espace Santé » (« MES »). A ce titre, la HAS prévoit l’instauration d’un processus d’évaluation de la qualité et de la complétude des éléments versés au sein du « Dossier Médical Partagé » (« DMP ») du patient, ainsi qu’une formation des professionnels de santé a l’utilisation de cet outil et de la messagerie de santé sécurisée présente au sein de MES (Critère 3.1-09 du référentiel HAS).

L’alimentation du DMP est obligatoire depuis le 1^er janvier 2024 (article L.1111-15 du Code de la santé publique) mais connait depuis certaines difficultés pratiques dans sa mise en œuvre auprès de certains professionnels de santé, notamment en ce qui concerne la gestion des consentements du patient à l’alimentation et/ou la consultation de son DMP (à quel moment informer ? Comment recueillir le consentement ? Comment conserver le consentement ? etc…).

Les établissements de santé doivent donc anticiper l’intégration de ces outils numériques en structurant leur approche et en tenant compte des exigences réglementaires et sécuritaires. Cela implique de leur part une réflexion stratégique, technique et juridique, pour établir des processus adaptés.

Contrôle renforcé de l’IA

Le nouveau référentiel de la HAS ne sera pas épargné par l’effervescence existante autour de l’intelligence artificielle !

Dans le cadre de l’adaptation des soins aux innovations numériques, deux critères évoquent désormais le recours à des outils informatiques faisant appel à de l’IA pour des finalités médicales (Critère 3.4-05 du référentiel HAS) ou sans finalités médicales (Critère 3.4-06 du référentiel HAS).

• Le référentiel de la HAS prévoit en effet que le déploiement d’un DMN faisant appel à de l’IA fasse l’objet d’une analyse de son impact avant son déploiement, mais également d’une évaluation régulière dans le cadre d’un processus de contrôle qualité (Critères 3.4-05 et 3.4-06 du référentiel HAS) ;
• De même, les professionnels de santé doivent être formés à l’utilisation de ces outils (Critères 3.4-05 du référentiel HAS) ;
• Lorsqu’ils utilisent un dispositif médical numérique basé sur un algorithme, notamment pour un diagnostic ou un traitement, les professionnels informent la personne concernée et, si besoin, lui expliquent les résultats obtenus (Critères 3.4-05 du référentiel HAS).

Bien que ces critères reprennent des obligations légales notamment les règles issues de la loi bioéthique de 2021, la mise en place d’un processus de contrôle qualité des DMN reposant sur la technologie de l’IA constitue à n’en pas douter une nouveauté majeure pour les établissements de santé.

Les établissements de santé peuvent s’appuyer sur un processus bien connu de la réglementation sur les données personnelles pour définir les bases de ce contrôle qualité : l’analyse d’impact relative à la protection des données (« AIPD ») (article 35 du RGPD).

En effet, cette analyse devra dans tous les cas être obligatoirement réalisée par l’établissement de santé qui souhaiterait faire l’acquisition et l‘usage d’un DMN dopé à l’IA, au vu notamment de la sensibilité des données traitées et du risque élevé qu’engendre le traitement des données du patient. Cette analyse d’impact spécifique à l’IA est d’ailleurs prévue par le règlement IA Act qui entrera en application pour la partie concernant les « Obligations incombant aux fournisseurs et aux déployeurs de systèmes d’IA à haut risque et à d’autres parties » à partir du 2 août 2026.

S’agissant de l’information délivrée aux patients concernés, celle-ci devra reprendre les exigences posées par l’article 13 du RGPD, notamment en ce qui concerne les traitements automatisés de données, sans oublier celles du code de la santé publique issues de la loi bioéthique de 2021. Enfin, la HAS attend des établissements de santé à ce qu’ils évaluent l’impact de l’utilisation de ces outils alimentés en IA sur l’organisation des soins (Critère 3.4-06 du référentiel HAS).

L’engouement autour de la technologie de l’IA appelle à une certaine mise en garde que tente ici de dresser la HAS à travers les critères de son nouveau référentiel.

Ainsi, et dans la continuité des enjeux auxquels font face les établissements de santé dans le cadre de l’intégration de l’IA, la réalisation d’une charte dédiée à l’IA constitue une piste à explorer pour les établissements de santé qui pourront ainsi déterminer des règles d’usages plus strictes et plus adaptées à l’utilisation des outils ayant recours à l’IA mais également pour encadrer les recours éventuels à de l’IA générative dans les tâches administratives.

Le numérique s’impose donc comme un pilier central du nouveau référentiel HAS 2025-2029.

La certification HAS renforce ainsi l’encadrement des innovations numériques tout en imposant des exigences accrues en matière de gestion des systèmes d’information, notamment par l’intégration de l’IA dans les critères d’évaluation.

On relèvera que les critères numériques posés par la HAS dans son référentiel constituent des obligations existantes prévues par le code de la santé publique ou la règlementation sur les données personnelles, ou encore de l’IA Act, dont elle se fait ici le relai, notamment en ce qui concerne l’échange et le partage d’informations médicales, l’alimentation du DMP, la mise en œuvre de mesures de sécurité techniques et organisationnelles, la gestion des données personnelles du patient ou encore la documentation interne de procédures adaptées.

Face à ces nouvelles obligations complexes, une analyse rigoureuse et une adaptation continue des établissements de santé seront essentielles pour pouvoir répondre aux attentes de la HAS et assurer une transformation numérique maîtrisée et sécurisée.

Alors, on s’y met ?