L' AFHADS : un acteur de l'amélioration continue de la sécurité des données personnelles de santé

Jusqu'alors, un responsable de traitement, au sens de la loi Informatique et Libertés, répondait seul de la sécurité et de la conformité légale des traitements qu'il mettait en place, s'appuyant pour ce faire sur des solutions d'édition et éventuellement d'hébergement de son choix. L'hébergeur n'était traditionnellement alors qu'un fournisseur de ressources, un prestataire de services.

 

L'hébergeur agréé est dorénavant investi d'une toute autre mission. Il doit assurer l'analyse des risques de sécurité pesant sur les données qui lui sont confiées et mettre en place des dispositions de sécurité appropriées pour y répondre.  Cette analyse se doit de couvrir l'ensemble des traitements déployés, car les risques de sécurité majeurs proviennent rarement de la seule prestation technique d'hébergement. En parallèle, l'hébergeur est également chargé de veiller à la conformité légale de l'hébergement envers les utilisateurs et les patients. De prestataire technique, il devient un auxiliaire essentiel du responsable du traitement.

 

L'émergence de ce nouveau métier ne peut se faire sans questionnements. C'est pourquoi, dès les premiers agréments délivrés selon un processus redéfini par l'Agence des systèmes d'information partagés de santé (ASIP Santé), les hébergeurs agréés ont ressenti le besoin de partager leur expérience au sein de l'Association Française des Hébergeurs Agréés de Données de Santé à caractère personnel (AFHADS). Cette association, constituée en septembre 2010 par les sept premiers hébergeurs agréés et rejointe depuis par la quasi-totalité des autres, de tous statuts et domaines d'activité, a pour buts :

Le premier objectif est le fondement même de l'agrément, mais ne devrait évidemment pas être limité à ce cadre. L'agrément des hébergeurs constitue un pilote pour une démarche plus globale, structurée par la Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSIS) dont la définition relève de l'Agence des systèmes d'information partagés de santé (ASIP Santé) et pour laquelle l'AFHADS s'associe.

 

La promotion de l'agrément passe par la mise en évidence, au-delà du caractère contraignant de la loi, des spécificités et des apports des hébergeurs agréés.

 

Le référentiel d'agrément établi par l'ASIP Santé en concertation avec les industriels, dans sa forme actuelle, est un excellent outil. En privilégiant la gestion des risques plutôt qu'en imposant des solutions, il permet une approche flexible et évolutive des problèmes particuliers à chaque application. Toutefois, la confrontation des expériences montre que quelques points spécifiques sont source de bien des perplexités et méritent d'être éclaircis.

 

L'AFHADS permet enfin aux hébergeurs agréés d'élaborer et d'exprimer des positions communes tant envers ses partenaires institutionnels naturels qu'envers des acteurs qui ne considéreraient pas la sécurité des données personnelles de santé comme un enjeu significatif.

 

La représentativité et la pertinence de l'AFHADS sont aujourd'hui incontestables. En travaillant en partenariat avec l'ensemble des acteurs concernés, nous espérons contribuer par notre expérience quotidienne à l'amélioration continue de la sécurité des données personnelles de santé.