Vous êtes dans : Accueil > Tribunes libres >

5ème Congrès National de la Sécurité des Systèmes d’Informations de Santé : retour sur 3 journées d’exception (Partie 1)

Charles Blanc-Rolin , MARDI 11 AVRIL 2017

Le #CNSSIS est le rendez-vous incontournable de tous les acteurs se préoccupant de la sécurité des systèmes d’information de santé, et par conséquent de la sécurité des patients et de leurs données. La cuvée 2017 aura encore été un grand cru ! 21 conférences réparties sur trois jours intenses et très riches en partages, rencontres et réflexions. Ce petit écosystème composé de divers acteurs, éditeurs, intégrateurs, professionnels de la sécurité, médecins, avocats, directeurs d’établissements, RSSI, DSI, représentants de l’état, étudiants, n’ont fait qu’un pendant trois jours pour faire avancer la sécurité des SI de santé. Un congrès éprouvant, car il faut bien le dire, les journées sont longues et les nuits sont courtes, mais tellement enrichissant !

Sur le plan institutionnel, Jean-François Parguet (ASIP Santé) nous a indiqué l’arrivée d’un nouveau référentiel sur l’identification des patients, intégrant la gestion du NIR, qui sera mis en concertation publique par l’ASIP Santé et qui viendra compléter les 20 documents et guides pratiques ainsi que les 2 guides organisationnels (pour les cabinets et petits établissements) qui composent la PGSSI-S.

Philippe Loudenot (FSSI MCAS) et Frédérique Pothier (DSSIS) ont insisté sur l’importance de mettre en place en urgence les actions demandées par la récente instruction ministérielle, même si ces actions font déjà partie de la PSSI MCAS, qui elle est déjà opposable. Philippe Loudenot a également rappelé l’importance de l’homologation de chaque projet SI en effectuant une analyse de risques. « Les risques résiduels doivent être présentés ». « Une bonne gestion des risques permet justement de prendre des risques ». Il a également rappelé que l’homologation doit être un processus qui n’est pas figé ! Le Commandant Michel Dubois (Service de santé des Armées) a d’ailleurs ajouté que le Directeur ne peut décider que sur présentation des risques par le comité d’homologation. Michel Raux (DGOS) préfère d’ailleurs aujourd’hui (et à juste titre) parler de risque numérique.

La question qui aura sûrement le plus fait débat tout au long de ces trois jours, est : « Un établissement doit-il être agréé (et prochainement certifié) pour héberger les données de santé d’un autre établissement de son GHT ? »

Pour Jean-François Parguet et Michel Raux, cela ne fait aucun doute, l’établissement doit absolument détenir ce précieux sésame. Pour Cédric Cartau, le texte stipule que le patient est le patient du GHT et par conséquent, il n’y aurait pas hébergement pour le compte d’un tiers. Des propos soutenus par les trois avocats, Omar Yahia, Marguerite Brac De La Perrière et Pierre Desmarais lors de la table ronde juridique. Cela dépendra de qui sera le responsable du traitement. Une coresponsabilité du traitement serait une solution envisageable. L’hypothèse selon laquelle le GHT ne serait qu’en fait un « méli-mélo juridique » incitant les établissements à fusionner est comme l’an passé, rapidement revenu sur le tapis… Selon Me Omar Yahia, les esprits sont assez mûrs pour que les GHT deviennent une personne morale. Le maître de cérémonie, Vincent Trély a d’ailleurs indiqué que les gros établissements qui se sont essayés à la mutualisation, ont rapidement fusionnés.

Me Omar Yahia a d’ailleurs rajouté qu’en cas de fusion, il n’y aurait plus qu’un seul FINESS juridique et qu’en termes de facturation, il y aurait forcément des diminutions côté établissements. Par conséquent, selon lui, ce serait donc l’assurance maladie la grande gagnante de ces fusions. Ce qui a laissé un grand sourire sur le visage de Lazaro Pejsachowicz, ancien président du CLUSIF et surtout ancien RSSI de la CNAMTS.

Toujours sur le sujet de l’hébergement, j’ai noté deux remarques pertinentes qui « convergent » et me confortent dans mon idée.
Cédric CARTAU : « Aujourd’hui, aucun agrément n’est demandé à un établissement pour héberger ses propres données ».
Commandant Michel Dubois : « Ce n’est pas parce que l’agrément n’est pas obligatoire pour héberger les données du GHT qu’il ne faut pas se mettre au niveau ».
Tout le monde s’accorde à dire qu’à termes, la certification ISO 27001 qui fait déjà partie des exigences requises pour la certification HDS, sera une exigence pour héberger des données de santé, que ce soit pour son propre compte ou pour le compte d’un tiers.

Je vous donne rendez-vous dans un prochain billet pour la suite du résumé de ces 3 jours intensifs de réflexion autour de la sécurité des SI de santé.

Petite anecdote rigolote, le hasard (ou pas, laissons un peu planer le doute) faisant souvent bien les choses, le site Internet lemans.org permettant d’acquérir en ligne des billets pour les manifestations sportives se déroulant sur le légendaire circuit du Mans, corrige quelques heures après le passage du congrès dans son enceinte, une énorme fuite de données [1]….

 [1] http://www.zataz.com/fuite-de-donnees-consultation-des-factures-clients/

#sécurité#national#congrès national#rssi#sécurité des si de santé#dsi#médecins#yahia#patient#loudenot#données de santé