Accueil Santé : des hébergeurs habilités

Santé : des hébergeurs habilités

Un autre secteur totalement contraint par ses législations : le secteur de la Santé. Dans ce cas, le Dossier Médical Personnel ou DMP impose des contrats avec des hébergeurs particuliers. Le processus est imposé et l’hébergeur doit passer une habilitation devant l’ASIP, agence d’état dans le domaine de la santé. Aujourd’hui, seuls 6 dossiers sont déposés. Car le décret est récent (mai 2009) mais aussi et surtout car l’hébergeur doit rendre compte sur différents points tels que la qualité de service, les solutions techniques employées et sur le plan sécurité, la réalisation d’une analyse de risques tout comme la description de la sécurité mise en place. “Dans ce cas, il y a eu une véritable prise en main de l’état français pour s’assurer de la qualité des données. Mais aujourd’hui peu d’hébergeurs osent se lancer sur ce créneau car il faut beaucoup d’argent pour obtenir l’habilitation sur un secteur pourtant très demandeur.” En termes de coût, cela exige entre 50 et 100 K€ d’investissement, uniquement pour obtenir l’habilitation, et sans parler des investissements techniques à mettre en oeuvre pour devenir conforme. Il faut compter un an pour obtenir l’habilitation, qui est donnée pour 3 ans, avec une revue chaque année (une analyse de risques), pour s’assurer que le niveau requis est conservé. De plus, un médecin doit être compris dans l’équipe de l’hébergeur pour l’accès aux données de type médical. Pourquoi mettre l’accent sur l’agrément d’un hébergeur santé ? Car tout ce qu’on lui demande c’est ce dont rêve l’entreprise quand elle sort ses données hors de ses murs et ce qui convient aux données médicales convient obligatoirement aux données d’entreprise. Alors pourquoi ne pas considérer cette habilitation comme un gage de sérieux en termes de sécurité et donc rechercher de préférence des fournisseurs de datacenter ayant obtenu cette certification ? D’autant que ce genre d’habilitation permet souvent à l’hébergeur de se structurer, un acte qu’il remet souvent à plus tard. Et c’est également une façon de lui faire prendre en compte tous les aspects de la sécurité. En ce qui concerne cette caste particulière de datacenters, une liste officielle sera établie d’ici fin 2010 qui indiquera quels seront ceux qui seront agréés. Les autres ne pourront plus héberger de données médicales. Parions que d’ici un an, le nombre de datacenters agréés aura doublé …