Le 21 décembre 2017, l’ASIP Santé organisait une manifestation pour présenter les modalités du passage de l’agrément à la certification des hébergeurs de données de santé et le référentiel de certification. L’objectif est de pouvoir publier le décret d’application de la loi portant modernisation de notre système de santé, publiée le 26 janvier 2016, au cours du printemps 2018.
Quelle différence entre agrément et certification ? La différence est essentiellement d’ordre organique. L’agrément est en principe accordé par une entité publique ou parapublique, tandis que la certification est délivrée par un organisme certificateur accrédité par le COFRAC. Depuis quelques années, la France privilégie la certification obligatoire aux traditionnelles procédures d’autorisation préalable. L’exemple le plus connu, en matière sanitaire, est la certification des laboratoires de biologie, qui a abouti à la concentration de ces structures du fait des coûts de certification. Car la certification a un coût, pesant sur la personne certifiée. L’opération est donc favorable aux pouvoirs publics qui peuvent ainsi imposer leurs exigences, sans en supporter le coût.
Le passage à la certification risque en revanche d’être brutal pour les prestataires. Dans le cadre de l’agrément, la procédure était déclarative. Les dossiers n’étaient étudiés que sur pièce, ce qui aboutissait parfois au constat de non-conformité, a posteriori. A l’inverse, pour être certifié, un hébergeur devra démontrer à l’auditeur, sur site, la façon dont il répond aux obligations figurant aux référentiels. Le niveau d’exigence va donc être renforcé, rien que du fait du changement de procédure. Ce ne sera certainement pas une sinécure. Mais la certification résonnera in fine comme un gage de qualité aux oreilles des clients et prospects.
Autre avantage de la procédure, pour les candidats, la transparence du référentiel. Le contenu est désormais clairement défini, sans être prescriptif pour autant. Les candidats auront donc une parfaite visibilité sur les exigences auxquelles répondre pour être certifiés, ce qui n’était malheureusement pas le cas, jusqu’à présent. Ajoutons à cela une procédure probablement plus rapide – du fait de la démultiplication du nombre d’auditeurs – et l’on pourra convenir de ce que le passage à la certification pourrait être intéressant, même pour les hébergeurs.
Qu’en sera-t-il alors pour les clients ? Mauvaise nouvelle. Ceux-ci vont vraisemblablement voir augmenter les tarifs de leur prestataire habituel et, parallèlement, constater plus de rigueur, au plan opérationnel. En effet, le passage en certification impliquera pour les hébergeurs la nécessité de rester conforme à leurs engagements et de faire face à des charges plus lourdes. A l’avenir, fini les prestations sur mesure. Il faudra se contenter du prêt-à-porter proposé par l’hébergeur ou s’adresser à un tiers. Le passage à la certification profitera toutefois également aux clients. Dans l’immense majorité des cas, ceux-ci sont en effet des professionnels ou établissements de santé, entrant dans le champ d’application du Règlement Général relatif à la Protection des Données. Or, son article 28§3 impose aux responsables de traitement – ici, les clients – « la réalisation d’audits, y compris des inspections ». Une obligation souvent illusoire. Sauf peut-être lorsque le sous-traitant est soumis à certification, les audits réalisés par l’organisme certificateur pouvant alors suffire à démontrer l’encadrement.
Comme tout changement, le passage de l’agrément à la certification des hébergeurs de données de santé fera des mécontents. Mais placer cette évolution dans un contexte réglementaire et économique plus général permet de mettre en avant plusieurs avantages, et ce pour tous les acteurs de la chaine.
Pierre Desmarais
Avocat
Analyste de Risques SI
Article publié précédemment sur le site de mind Health