Une évolution législative, dans le cadre des données à caractère personnel

Appelée loi de modernisation de notre système de santé, la loi santé (dont la première version du texte a été déposée à la fin de l’année 2014) a été adoptée début 2016 à l’Assemblée Nationale. En parallèle, au niveau européen était discuté le Règlement Européen sur la Protection des Données à caractère Personnel. Cette discussion concomitante est due à l’évolution des usages et aux transformations numériques en cours qui ont amené les législateurs français et européen à s’adapter à l’actualité de ces dernières années.

Le Règlement Européen précise la notion de donnée de santé à caractère personnel. Elles comprennent les données médicales mais aussi toute combinaison de données qui indique un état de santé. Par exemple, le diagnostic d’un cancer est une donnée de santé, mais aussi la simple association du poids et de la taille à un moment donné.

Ce Règlement Européen sera applicable le 25 mai 2018. En revanche, la date d’application finale de la loi santé n’est pas connue, même si elle le sera aussi probablement courant 2018. Le présent article a pour objectif de présenter une photographie à l’instant présent de cette nouvelle loi.

L’hébergement des données de santé : aujourd’hui déclaratif, et demain auditable

En France, l’hébergement des données de santé est soumis à une règlementation stricte depuis les années 2000. Toute entité qui héberge des données de santé qu’elle n’a pas produites doit obtenir à cet effet un agrément. Pour ce faire, l’hébergeur dépose un dossier qui sera vérifié par des institutions publiques : l’ASIP-Santé (l’Agence des Systèmes d’Information Partagés de santé), la CNIL et le Comité d’Agrément des Hébergeurs (comitlé ad hoc). Si leur avis est favorable, le Ministère de la Santé délivre l’agrément, valable pour 3 ans. Ce dossier demande notamment aux candidats hébergeurs de mener une analyse de risques et de mettre en place une politique de sécurité des systèmes d’informations.

Un point toujours sujet à interprétation : héberger ses propres données

Le fait que les entités hébergeant elles-mêmes leurs données ne soient pas soumises à l’obtention de l’agrément a historiquement créé une interrogation. Ce point remet en cause la sécurité des données de santé du point de vue des patients de ces établissements. La législation a été construite afin de simplifier l’agrémentation en évitant des démarches trop lourdes pour les petits acteurs de la santé comme les médecins libéraux indépendants. Aussi, la notion même de « produire ses propres données » n’est pas toujours claire.

Aujourd’hui il ne semble pas que le gouvernement ait l’intention de changer l’orientation de la législation sur ce point : son agence l’ASIP-Santé a mis à jour sa foire aux questions le 24 mai 2016 en indiquant expressément que ce sont les hébergeurs de données tierces qui doivent obtenir l’agrément (ou la future certification).

Pour autant, le processus législatif français n’est pas arrivé à terme : ce point pourrait malgré tout être amené à évoluer. La loi est dans l’attente d’une ordonnance pour sa mise en application. Cette même ordonnance « sera précisée par un décret qui définira la procédure de certification. […] L’ordonnance et son décret comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification » (F.A.Q de l’ASIP-Santé).

Que change la nouvelle loi santé ?

La nouvelle loi santé bouscule la procédure d’agrément actuelle, en la faisant passer de l’État aux structures privées. Les candidats hébergeurs devront obtenir une certification, auprès d’un organisme certificateur privé, après audit. Première conséquence : le coût du dispositif n’est plus supporté par l’État mais par les hébergeurs. C’est le changement le plus important : les candidats ne devront plus seulement préparer un dossier (processus déclaratif) mais se préparer à un audit externe, et donc collecter des preuves pour les mettre à disposition des auditeurs.

La loi, publiée au journal officiel le 27 janvier, a déjà mis en application certains changements. Ainsi, le consentement de la personne qui était jusque-là requis est remplacé par une simple obligation d’information. D’autre part, le secteur médico-social entre dans le périmètre de l’agrément. Ce secteur hétérogène comprend notamment les établissements pour personnes âgées (EHPAD, etc.) ou handicapées, les foyers d’accueil pour jeunes, etc. Le secteur médico-social n’avait jusque-là pas de cadre légal concernant le traitement et l’hébergement de ses données. La nouvelle définition des données de santé, émise par le groupe de travail du règlement européen sur la protection des données à caractère personnel, inclut également ce type de données médico-sociales.

En synthèse : j’héberge des données de santé, que dois-je faire aujourd’hui ?

Aujourd’hui, pour les hébergeurs qui veulent se préparer à la nouvelle loi, trois situations sont possibles :

• J’ai déjà l’agrément hébergeur de données de santé : hier, je déposais un dossier montrant ce que je fais en vue d’un contrôle de ce dossier. Demain, un auditeur viendra contrôler sur site. Alors aujourd’hui, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• Je n’ai pas l’agrément hébergeur de données de santé, mais je vais être amené à héberger des données de santé (ou simplement médico-sociales) produites par un tiers : je dois me mettre en conformité dès maintenant en obtenant l’agrément. Je mets en place des politiques de sécurité en alignement avec les attendus pour le dossier d’agrément et les bonnes pratiques de référence (telle que la norme ISO 27001) Je dépose un dossier sans attendre. Là aussi, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• J’héberge des données de santé que je produis moi-même : alors hier, aujourd’hui comme demain, je n’ai pas de démarche à effectuer, pas d’agrément ou de certification à obtenir.

Aujourd’hui, même incomplète, cette nouvelle loi permet donc aux hébergeurs de données de santé de se projeter dans le monde de la santé numérique qui se dessine. L’adoption de nouveaux référentiels et de nouvelles procédures de mise en conformité permet aux acteurs du secteur de gagner en crédibilité et progressivement d’harmoniser leurs pratiques au niveau européen.

Cet article Nouvelle loi santé : trois situations pour les hébergeurs de données de santé est apparu en premier sur RiskInsight.

Le datacenter d’hier à aujourd’hui

Le modèle de datacenter traditionnel est divisé en 3 couches de service. Tout d’abord, il y a l’hébergement, qui intègre la fourniture d’énergie électrique / de climatisation, les raccordements « réseau » et « télécom », sans oublier la sécurité physique. La 2^ème couche est l’infrastructure qui comprend de son côté les infrastructures mutualisées (réseau, stockage, sécurité, sauvegarde…) et les serveurs dédiés aux applications. Enfin, la dernière couche est celle de l’infogérance : MCO*, administration, suivi des niveaux de services…

Les datacenters consolidés et externalisés tels que nous les connaissons sont nés de 2 grandes mutations :

• Le passage de salles informatiques décentralisées et dont la sécurisation des accès est faible vers des datacenters consolidés a d’abord permis de mieux répondre aux besoins croissants d’hébergement et de sécurité tout en réduisant les coûts du fait de la rationalisation des moyens humains et matériels.
• L’accélération de la croissance des besoins d’hébergement (capacité et disponibilité des infrastructures primaires) et du cycle de vie des applications ainsi que la volonté des grands groupes de se recentrer sur leur cœur de métier ont ensuite généré  l’externalisation des services d’hébergement et infogérance.

Les limites du datacenter actuel

Aujourd’hui, le datacenter traditionnel peine parfois à satisfaire les besoins des grands groupes.

Les coûts et les délais d’activation de nouveaux services sont importants. Le service d’opérations n’est plus suffisamment agile pour répondre aux exigences de flexibilité demandées par les Métiers.

Par ailleurs, la gestion en interne du socle IT force les DSI à s’engager à long terme sur leurs choix de technologies et à conserver en interne les compétences ad hoc. Dans ce contexte de réduction des coûts, ce modèle consommateur de CAPEX ne permet pas aux DSI d’atteindre leurs objectifs.

Enfin, l’évolution, toujours plus grande difficilement prévisible, des besoins d’hébergement rend difficile le dimensionnement des datacenters qui sont conçus pour une durée de 10 à 15 ans.

Des services clouds qui dépassent ces limites…

Le Cloud computing est pour ainsi dire l’évolution du modèle de datacenter traditionnel vers une approche orientée service. Le client commande des ressources packagées sous la forme d’un service (IaaS, PaaS ou SaaS) et ne se préoccupe pas des technologies qui les supportent.

Il est plus souvent vendu sous forme de Cloud privé, infrastructure dédiée dont l’usage est exclusif à une organisation, ou sous forme de Cloud public, infrastructure mutualisée et ouverte à tous.

Le Cloud, de par ses caractéristiques, semble en effet plus apte à répondre aux attentes des DSI, car il s’avère :

• Agile : le cycle d’activation des nouveaux services est court, de l’ordre de quelques heures à comparer à 3 ou 4 semaines pour le datacenter traditionnel (possible réduction des délais avec la virtualisation)
• Élastique : la capacité du SI s’adapte à la demande du client donnant l’impression d’infini
• Simple à gérer : l’approche « unité d’œuvre » permet de transférer la complexité technique et financière du SI au fournisseur. De plus, la facturation à l’usage optimise les coûts du service
• Conçu dans l’optique de qualité de service grâce à la standardisation de son modèle

… sans pour autant être illimités eux-mêmes !

Certes standardisées et performantes, les offres Cloud nécessitent souvent une adaptation préalable du client, qui peut se révéler coûteuse et chronophage. Aujourd’hui seuls des périmètres standardisés du SI s’avèrent de fait éligibles au Cloud. Cette éligibilité restreinte, ainsi que la complexité accrue pour rendre les SI interopérables, pouvant au final faire du Cloud un élément complexifiant le SI plus qu’il ne le simplifie. Par ailleurs, la capacité du Cloud à respecter les contraintes de confidentialité et de localisation des données imposées par les réglementations (données personnelles…) pose encore question.

Enfin, la perte de la maîtrise du SI en interne de bout en bout inhérente au Cloud effraie beaucoup les DSI. La dépendance au fournisseur est grande et la réversibilité est encore floue.

Quels services de datacenter pour demain ?

Malgré les freins qui sont inhérents au Cloud et à anticiper, du fait de ses nombreux avantages, ce dernier se développe, même si principalement sous forme « privée » ou sur des périmètres restreints. La mouvance vers le Cloud passera par deux étapes.

Dans un premier temps, le mouvement va préférentiellement s’opérer du datacenter traditionnel vers le cloud privé, qu’il soit interne ou externe. Ce mouvement sera naturel dans le cas des services infogérés externes, notamment par l’évolution des contrats vers une approche orientée service. Pour les datacenters internes, il sera provoqué par les pressions des Métiers sur la DSI pour l’implémentation d’un service moins coûteux et plus lisible. Ces premières implémentations participeront à la levée des freins à l’adoption du cloud, ce qui permettra le développement du Cloud public dans un second temps.

Même si le cloud risque de faire perdre des parts de marché au datacenter traditionnel, l’avenir n’est pas à la disparition mais à la cohabitation. De son côté, le datacenter traditionnel restera présent pour les infrastructures spécifiques (Mainframe ZOS, AS400…) ou dans le cas d’un SI très spécifique. Le Cloud privé quant à lui sera exploité dans le cas de SI standards ou standardisables mais contenant des données stratégiques. Enfin, le Cloud public fera loi dans le cas de SI standards ou standardisables dont les données manipulées sont non stratégiques et non confidentielles et dont le besoin d’intégration avec les infrastructures hors du Cloud est faible.

Cet article Datacenter contre cloud computing : mort programmée de l’hébergement en datacenter « traditionnel » ? est apparu en premier sur RiskInsight.

Cependant, les principes de la renégociation des contrats d’infogérance sont contradictoires, car la DSI cherche constamment à innover et augmenter sa qualité de service, tout en diminuant le coût et les moyens techniques à mettre en œuvre. Une bonne connaissance des leviers d’action et de leurs limites est donc nécessaire pour que la négociation reste réaliste et puisse aboutir.

 Un objectif de réduction des coûts…

Le premier objectif évoqué lors de la plupart des renégociations de contrats d’infogérance est la baisse des coûts.

Trois leviers de renégociations financières

• De productivité : la négociation peut s’appuyer sur la connaissance du contexte et l’industrialisation des processus par l’infogérant historique pour espérer des gains de productivité, et ce quitte à prévoir des projets de transformation permettant des gains de productivité partagés entre la DSI et l’infogérant ;
• Stratégiques: délocalisation de toute ou partie des activités de l’infogérant (hors site, nearshore, offshore) ;
• Techniques: adaptation des ressources techniques pour mieux correspondre aux besoins et éviter la surqualité (capacité, performance), renouvellement des solutions techniques pour gagner en efficacité financière.

 Une renégociation financière non maîtrisée peut cependant présenter certains risques :

•  La limite de l’efficacité humaine : rechercher toujours plus de productivité doit se faire dans la limite de l’impact de la baisse des coûts des unités d’œuvre associées sur la qualité du service délivré ;
• La baisse de qualité de service : délocaliser toute ou partie de l’activité de l’infogérant (offshore) semble être un levier efficace et simple pour abaisser drastiquement les coûts de la DSI. Dans la pratique, le bas coût des ressources offshore est rapidement compensé par les effectifs supplémentaires à mettre en place pour piloter les équipes et garantir la qualité de la prestation ;
• La difficulté d’anticipation : l’optimisation des coûts des infrastructures et ressources techniques doit tenir compte du niveau de qualité de service exigé, des SLA (service level agreements) contractées, ainsi que du capacity planning et des urgences éventuelles. Ajuster ces ressources au plus juste sans anticipation pourrait amener la DSI à investir plus lourdement dans le futur.

 …mais aussi d’’amélioration de la qualité des services IT

Si la DSI ne doit pas faire dans la surqualité, ses services se doivent avant tout d’être fiables et de respecter les SLA. La renégociation d’un contrat d’infogérance peut donc être dirigée par une volonté d’amélioration de la qualité des services IT.

La renégociation du contrat d’infogérance peut alors se baser sur des termes :

• Organisationnels : adaptation des équipes IT aux changements d’organisation des métiers ; mise en place d’interlocuteurs spécifiques afin de simplifier et sécuriser les relations avec les correspondants métier ; revue des engagements de service internes et externes à la DSI, etc. ;
• Techniques : la négociation peut intégrer des projets de transformation techniques permettant d’améliorer la qualité des services à coûts partagés entre la DSI et l’infogérant.

 La recherche de la qualité génère néanmoins quelques difficultés pour la DSI :

En effet, la surqualité est à proscrire. Le défi est de délivrer les niveaux de ressources et de qualité de service les plus en ligne possible avec les objectifs des métiers, tout en garantissant une évolutivité des services et des ressources.

L’infogérance: une délégation à construire en continu par la DSI

L’évolution des contrats d’infogérance est constante. Qu’elle soit provoquée par des opportunités technologiques ou financières, des obsolescences ou des réorganisations, elle ne doit pas détourner la DSI de son objectif premier qui est la compétitivité, mais au contraire faire office de facilitateur dans une démarche stratégique et maîtrisée de son organisation. Le recours à l’infogérance n’est en aucun cas pour la DSI une manière de se délester d’une partie de ses activités, ni de ses responsabilités.

Le contrat doit donc être assez flexible pour ne pas avoir à le renégocier régulièrement, notamment grâce à des gammes de services modulables et un modèle de facturation autorisant des évolutions de périmètre. Mais cette flexibilité a des limites et pour les atténuer, les DSI doivent concevoir la gouvernance des contrats de manière à laisser de la place à la négociation.

Les facteurs clés de succès de ces négociations seront donc premièrement de connaître le terrain, et donc de disposer d’indicateurs permettant un comptage rigoureux des éléments dimensionnants ; deuxièmement d’identifier clairement les objectifs, les sources de gains, les quantifier et s’assurer qu’ils resteront mesurables à iso-volume tout au long du processus de renégociation ; et enfin la signature du nouveau contrat ne doit se faire qu’en pleine connaissance des gains attendus, mais aussi des nouvelles obligations de chaque partie, afin d’atteindre une situation gagnant-gagnant entre la DSI et l’infogérant.

[Article rédigé en collaboration avec Jean-Charles Prabonneau, Consultant]

Cet article Pourquoi et comment renégocier ses contrats d’infogérance ? est apparu en premier sur RiskInsight.