Ruée sur l’activité d’hébergeur de données de santé

LE DR PHILIPPE BICLET, gastro-entérologue-hépatologue libéral, doit sa fonction au fait qu’il était conseiller ordinal « offrant des garanties éthiques », lorsque le comité national d’agrément des hébergeurs (CAH) s’est constitué en 2006 pour garantir la sécurité du stockage des données de santé à caractère personnel. Le comité s’est mis en place dans le cadre des premières expérimentations du DMP. En 2009, le CAH validait le nouveau référentiel préparé par l’ASIP Santé pour l’actuel DMP.

Au 28 juin 2011, son bilan présente 30 dossiers examinés dont 21 ont été agréés par le ministre chargé de la Santé* et 9 refusés. « Dans certains cas, les contrats entre l’hébergeur et les professionnels de santé, les établissements ou les patients n’étaient pas clairs, explique le Dr Biclet, ou bien la demande n’entrait pas dans le cadre de l’agrément. » Le comité a ainsi exclu de la procédure les bases de données constituées à des fins de recherche biomédicale mais a décidé d’agréer l’hébergement de données recueillies dans le cadre de programmes d’éducation thérapeutique.

Coffres forts électroniques.

À l’issue de cette période de clarification, le rapport constate la montée en charge de la procédure d’agrément, étape obligée pour les organismes qui proposent un service d’hébergement de données de santé à caractère personnel. En juillet, on est passé de 30 à 66 dossiers déposés, tous conformes.

D’un côté, c’est la ruée sur le « Cloud computing » et le stockage à distance avec des services de sauvegarde en ligne des dossiers patients des médecins (le Réseau santé social vient de recevoir son agrément hébergeur) ou des propositions de coffres forts électroniques pour patients. De l’autre, l’évolution des pratiques médicales va multiplier les serveurs de données partagés par les professionnels de santé.

Or le temps de la procédure, qui exige l’avis de la CNIL (Commission nationale de l’informatique et des libertés), reste long, de 5 à 8 mois. « La procédure est utile, elle est même exemplaire, la Fance a donné le "la" à beaucoup d’autres pays européens, explique le Dr Biclet, reconduit pour un second mandat, mais c’est une usine à gaz qu’il convient de simplifier. Il faut aller vers une certification dont le coût sera supporté par les industriels. » L’agrément est délivré pour trois ans. Le CAH serait chargé du suivi, assurant des visites de sites en collaboration avec la CNIL et l’IGAS.

* Liste sur le site http://esante.gouv.fr

L’ASIP Santé vient de passer un accord pour 3 ans avec le groupement constitué par Stéria et Thalès pour l’assister durant la procédure d’agrément des hébergeurs : analyse des dossiers de demande, renouvellement d’agrément, autoévaluation annuelle des hébergeurs agréés, audits...