Les nouvelles règles en matière de santé numérique sont un enjeu de conformité compris comme une gestion des risques pour les établissements. Plus encore, elles sont un enjeu de maîtrise stratégique des systèmes d’information notamment quant à la capacité de l’établissement à en conserver la maîtrise dans un environnement évoluant très rapidement tant au plan technologique que de celui des politiques publiques de santé.

De la conformité à l’alignement stratégique

Les règles de protection des données et plus généralement celles concernant la santé numérique sont aujourd’hui dans l’actualité des établissements qui doivent s’engager dans des programmes de conformité. Il leur faut notamment désigner un délégué à la protection des données dit également DPO, établir un registre des opérations de traitements. Les établissements doivent également faire face à l’épineuse question de l’hébergement des données de santé (HDS).

Cette question est d’actualité et dépasse largement celle de la conformité de l’établissement aux règles applicables à l’hébergement des données de santé. Elle touche en réalité à la maîtrise stratégique par l’établissement de son système d’information et ainsi à sa capacité à mettre en œuvre son projet médical.

L’hébergement des données de santé est d’abord une stratégie

Les établissements sont en effet conduits dans le cadre de leurs stratégies de rapprochement ou de coopération territoriale à recevoir des données de santé produites par d’autres établissements de soins[1]. L’établissement recevant les données se trouvera devant l’alternative suivante : obtenir sa certification comme hébergeur de données de santé ou se tourner vers un industriel déjà certifié.

L’externalisation ou pas de l’hébergement de ses données et en pratique du dossier patient ainsi que tout ou partie de ses applications de soins est un choix stratégique pour l’établissement. L’enjeu sera financier, notamment au regard des équipements déjà acquis en cours d’amortissement.

Il concernera bien sur la qualité de service et enfin et surtout la maîtrise de l’établissement sur son système d’information.

Il s’agit in fine de sa capacité à adapter son SI aux évolutions des politiques publiques de santé ou à l’aligner sur son projet médical d’établissement.

La question de l’hébergement n’est donc pas une unique question de conformité. Les établissements devront intégrer dans leur stratégie SI la contrainte du cadre juridique applicable à l’activité d’hébergement de données de santé.

La sécurité et la protection des données doit être au cœur de la stratégie SI de l’établissement

A l’aune de son choix, l’établissement devra notamment considérer l’exigence grandissante de sécurité de son système d’information.

Toute stratégie de maintien en interne du cœur du SIH, notamment du DPI, de la GAM et de la base identités et mouvements, exigera des moyens importants et dans la durée afin de hisser le SIH au niveau des référentiels réglementaires[2] et normatifs notamment pour ces derniers la norme ISO/CEI 27001 relative au système de management de la sécurité de l’information (SMSI).

L’établissement devra également tenir fortement compte des règles de protection des données notamment du RGPD[3] dans la définition de sa stratégie SI.

Le RGPD permet en effet aux acteurs tels que les GHT qui partagent tout ou partie d’un même système d’information de se reconnaître par une convention passée entre eux comme responsables conjoints du traitement[4].

Un tel accord permettra l’aménagement des responsabilités. Les établissements parties à l’accord se trouveront placés de ce fait, comme nous l’estimons, en dehors de l’exigence de certification des hébergeurs de données de santé. Les dispositions du RGPD sont par conséquent de véritables outils au service de la stratégie SI notamment des GHT.

La stratégie SI des établissements commandera la certification

Dans l’hypothèse où l’établissement se tournerait vers un hébergement de ses données voire de tout ou partie de son système d’information de soins, se posera la question déterminante du périmètre des prestations d’hébergement nécessaires au projet d’externalisation.

L’établissement souhaite-t-il faire héberger les couches « basses » de son système d’information, c’est-à-dire la salle blanche, le réseau, les serveurs, éventuellement virtualisées et conserver, même à distance, la gestion des applications ou au contraire faire infogérer ses applications, éventuellement dans les locaux de l’établissement ?

Quelle que soit sa stratégie, l’établissement devra veiller à choisir un prestataire titulaire d’une certification HDS couvrant les catégories d’activités[5] correspondantes à son projet et en mesure de lui offrir des garanties, notamment de réversibilité, correspondant à sa stratégie SI.

Ces quelques exemples d’actualité démontrent bien que la santé numérique est d’abord et avant tout une stratégie dont les règles de droit sont les outils.

[1] Au sens de l’article L 1111-8 du code de la santé publique

[2] Référentiels de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S)

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD)

[4] Article 26 du RGPD

[5] Article R 1111-9 du code de la santé publique