Vers un réaménagement de la procédure d’agrément des hébergeurs de données de santé par le Comité d’agrément des hébergeurs de donnés de santé (CAH).
A l’issue de sa première période quinquennale d’activité, le CAH a rendu un rapport, publié le 7 septembre 2011 par l’Asip Santé (Agence des systèmes d’information partagés de santé), dans lequel il présente son fonctionnement, les avis qu’il a rendus et la doctrine progressivement dégagée de ses décisions (1).
La procédure d’agrément des hébergeurs de données de santé
Le CAH propose également des évolutions afin de simplifier la procédure d’agrément et d’adapter les référentiels. Il constate en effet que la double instruction des demandes d’agréments par lui et la Cnil est une procédure lourde.
L’expertise menée par ces deux instances porte en partie sur des points identiques générant ainsi « des coûts humains et financiers importants ».
Il constate en outre que le respect des délais impartis se heurte à la « double contrainte » des dates de réunion du CAH et des dates de séances de la Cnil. D’après le Comité, un allègement de la procédure d’agrément tendant à la rendre plus fluide permettrait de palier à ces difficultés.
Pour sa deuxième période quinquennale d’activité, ouverte par la publication de l’arrêté du 14 juin 2011 (2), le CAH propose deux évolutions alternatives. La première alternative consisterait à réécrire le décret du 4 janvier 2006 pour aménager le référentiel. L’objectif de cet aménagement serait de supprimer les redondances avec les instructions menées par la Cnil et de permettre l’adaptation aux évolutions technologiques.
Sur ce point, le CAH souligne le fait que les évolutions technologiques, et plus particulièrement l’informatique en nuage, s’oppose de plus en plus à l’application d’une réglementation fondée sur la description des ressources.
La seconde alternative consisterait à faire évoluer la procédure vers un système de certification inspiré du Cofrac (Comité français d’accréditation). Dans cette hypothèse, la certification serait délivrée en fonction des rapports établis par des évaluateurs privés, dont les coûts d’instruction seraient supportés par les candidats.
La mise en œuvre d’un système de certification pourrait en effet avoir pour conséquence de diminuer sensiblement les coûts humains et financiers engendrés dans le cadre de la procédure d’agrément.
Si ces évolutions envisagées tendent à l’allègement des procédures et contraintes pour les industriels, elles s’inscrivent dans le même objectif que celui poursuivi depuis 2002 par les pouvoirs publics et le législateur : la sécurité des données en vue du développement de la télésanté. Notons à ce sujet que l’Asip santé est en charge de l’élaboration d’une politique générale de sécurité des systèmes d’information de santé (3).
(1) CAH, Premier rapport d’activité 2006-2011
(2) Arrêté du 14-6-2011
(3) www.esante.gouv.fr