Système de Management intégré

Les principes d’un Système de Management intégré

Pour une organisation, il est important de conduire ses activités métiers de manière responsable en assurant la qualité des produits et des services fournis et la conformité avec les réglementations applicables liées à la qualité et la sécurité des pays où elle opère.

Pour atteindre cet objectif, un système de management intégré des processus couvrant les aspects Qualité, Sécurité et Gouvernance de l’organisation peuvent être mis en place pour :

• S’assurer de la conformité avec les réglementations applicables,
• Fournir un référentiel conforme avec les exigences de ses clients,
• Attribuer des rôles et des responsabilités clairs à toutes les parties prenantes,
• Identifier, analyser et gérer tous les risques liés aux activités,
• Fournir des outils de travail, des technologies appropriées et des procédures permettant la performance au service des clients,
• Gérer et améliorer de manière continue le système de Management et sa performance, ceci incluant la réduction des impacts négatifs au travers d’une revue constante des objectifs, des cibles, des mesures, découlant sur la mise en œuvre d’action préventives et correctives.

Ces principes guident pour la réalisation des procédures opérationnelles pragmatiques et des accords commerciaux. Cette politique est applicable à tous les projets, opérations, contrats de sous-traitance, organisations et collaborateurs.

ISO 9001 la base du système de Management

Le système de Management des processus qui est embarqué dans toutes les normes ISO traitant de ce sujet est issu de la célèbre norme internationale qualité ISO 9001, voici une courte présentation qui vous explique les grands principes d’un SMQ ou Système de Management de la Qualité :

Cas pratique d’un modèle de processus générique

Un exemple, pour lequel j’ai géré la définition et le déploiement complet, concerne un système de gestion intégré de la qualité, en anglais c’est un QMS (Quality Management System) construit en s’inspirant des bonnes pratiques du référentiel international ISO 9001.

L’organisation à mis en œuvre ce QMS détaillé et très large pour la gestion de ses produits et services client : les bonnes pratiques d’ITIL / ISO 20000 pour la gestion des Services IT et Métiers, celles du référentiel CMMI pour la gestion des projets et le développement des solutions logicielles. Les aspects plus spécialisés de la gestion de la sécurité sont repris de la norme ISO 27001, sans oublier les processus d’amélioration continue.

Armé d’une longue expérience acquise dans ces domaines, les pratiques les mieux adaptées à ces opérations et les plus pragmatiques ont été intégrées dans un modèle de maturité des processus CpMM (Common process Maturity Model) qui s’adaptait parfaitement aux besoins de l’organisation. L’objectif étant de standardiser les pratiques sans uniformiser.

La cartographie complète de ce modèle est présentée ci-dessous :

Ce qui donne en détails :

Cliquez sur l’image pour agrandir

La mise en place et le déploiement de ce modèle et des processus opérationnels déclinés pour une DSI internationale a été complété par une organisation dont voici le modèle :

Cliquez sur l’image pour agrandir

Services de consulting

Si vous souhaitez développer un système de management de processus intégré dans votre organisation ou évaluer son déploiement, nous pouvons vous apporter conseils et expériences pour formaliser votre projet en utilisant par exemple le modèle CpMM ou les référentiels standards. Pour cela voici quelques exemples de services :

• Définir et mettre en place un système intégré de Management couvrant tous les domaines opérationnels de l’organisation, déclinaisons des bonnes pratiques en processus opérationnels.
• Mise en place d’une gouvernance des processus et du système d’amélioration continue, définir les objectifs, les méthodes de suivi et de reporting.
• Définir les objectifs du plan de Démarche de Progrès en fonction des objectifs stratégiques.
• Identifier les sources potentielles de progrès  en terme de qualité, coût, délai.
• Déployer les pratiques d’amélioration continue, organiser l’audit interne, préparer aux méthodes d’audit et d’amélioration type Kaizen.

MPP Management Par Projet

Cet article vous présente les définitions principales et le référentiel d’un système de gouvernance de projet au sein d’une DSI en charge du développement d’applications logiciel et de la mise en production des Systèmes d’Information résultants. Ce référentiel complet, dont j’ai coordonné le développement et le déploiement avec le soutien de ACDE Conseil, a été évalué et reconnu CMMI niveau 2.

Définitions

Le Management Par Projet est un ensemble de processus destiné à assurer que les projets sont entrepris en adéquation maximale avec les objectifs stratégiques de la société et que les risques encourus sont identifiés et contrôlés.

Un projet se caractérise par une existence limitée dans le temps, un début, une fin et un objet parfaitement identifiés.

Lui est affecté un chef de projet ou Project Manager, responsable de la coordination de la production de l’ensemble des livrables, de l’organisation et de la bonne exécution de l’ensemble des tâches et intervenants concourant à la réalisation du projet, depuis son initialisation jusqu’à sa clôture.

Implicitement cela signifie qu’un projet inclue non seulement des travaux ayant trait au développement de logiciels, pour le cas qui nous intéresse, mais aussi toutes les activités de communication, de documentation et d’industrialisation du système d’information se tenant en amont ou en aval de la production du logiciel.

La décomposition en phases conclues par un jalon ou milestone permet d’évaluer les avantages potentiels et le niveau de risque des projets, de définir des responsabilités claires, de segmenter et d’organiser le travail à effectuer, d’impliquer avec pertinence l’intégralité des acteurs concernés, de maîtriser les engagements de ressources, de valider les travaux accomplis, de prononcer les arbitrages attendus, de décider de poursuivre, de stopper, de différer ou de recadrer certains projets.

Le franchissement du jalon marquant la fin de chaque phase est conditionné à l’approbation par la direction, ou par des instances agissant par délégation, d’un certain nombre de documents de gestions et livrables attestant que le travail convenu a été réalisé conformément aux objectifs fixés, dans les règles de l’art en terme de qualité, dans les limites de temps, de budget ou de charge convenus.

Remarque : Le processus global de management par projet se nourrit d’autres processus tels que les processus d’assurance qualité ou les processus d’ingénierie et de support.

Présentation du processus

Le processus global de Management Par Projet (MPP) se décompose en sept phases essentielles. Chaque phase se conclut par une réunion de revue évaluant la performance du projet en regard de ses objectifs et statuant sur sa continuation. Cette revue est marquée par le franchissement d’un jalon traduisant l’état de maturité du projet.

Le franchissement de chaque jalon est conditionné à :

• La production de certains livrables ou documents de gestion,
• L’approbation d’une autorité prédéterminée (GO/NOGO).

Tous deux dépendant des caractéristiques du projet : produit, maîtrise d’ouvrage, catégorie, criticité.

Les phases d’un projet classique sont les suivantes :

1 – INITIALISATION

Cette phase a pour objet de préciser les raisons prévalant à l’engagement potentiel du projet. Elle se conclut par le jalon « Business Review » marquant l’accord sur la pertinence économique du projet.

2 – ÉVALUATION

Cette phase a pour objet d’apprécier la faisabilité du projet en regard des orientations stratégiques de l’organisation, de ses capacités et du retour sur investissement envisageable. Elle se conclut par le jalon « Faisibility Review » marquant l’accord sur la faisabilité du projet.

3 – SPÉCIFICATION ou  DÉFINITION

Cette phase a pour objet de définir le contenu précis et d’arrêter les choix techniques du projet, elle est l’occasion de développer les exigences avec le client ou la maîtrise d’ouvrage. Elle se conclut par le jalon « Definition Review » marquant l’accord sur la définition du projet.

4 – RÉALISATION ou CONSTRUCTION

Cette phase recouvre la plupart des opérations de réalisation des composants (logiciels et non logiciels) du projet. Elle se conclut par le jalon « Realisation Review » marquant l’accord sur la réalisation du projet.

5 – PRÉPARATION ou VALIDATION

Cette phase recouvre l’ensemble des opérations intermédiaires séparant la production d’un code testé de sa mise à disposition des clients sous forme d’un produit fonctionnel, maintenable, documenté et supporté. Elle inclut les dernières étapes de documentation et la plupart des étapes de recette, d’industrialisation, de production, de mise en exploitation, de mise à disposition à des clients-tests (partenaires de développement, beta-tests), de transferts de connaissance et de responsabilité envers les divisions opérationnelles. Elle se conclut par le jalon « Validation Review » marquant l’accord sur la validation du projet et sur le fait que l’organisation dans son ensemble est prête pour la commercialisation et le support de la version.

6 – LANCEMENT ou PRODUCTION

Cette phase recouvre l’ensemble des opérations marketing, commerciales et de relation client entourant la mise sur le marché d’un nouveau produit ou d’une nouvelle version : actions presse, conférences, formation des utilisateurs. Elle se conclut par le jalon « Launch Review » marquant l’accord sur le fait que les opérations de lancement sont terminées et que la version est maintenant pleinement en exploitation.

7 – CLÔTURE ou BILAN

L’objet de cette phase est d’effectuer un bilan technique et organisationnel du projet afin principalement de recenser les difficultés rencontrées et de suggérer des axes d’évolution ou d’amélioration pour de futurs projets. Elle se conclut par le jalon « Final Project Review » marquant l’accord sur la fin du projet.

Le cycle de vie projet

Ce cycle d’enchaînement de phases et de jalons se nomme Cycle de Vie Projet, il a été synthétisé dans un poster que chaque membre de l’équipe projet peut afficher comme aide mémoire pragmatique pour les prises de décision et les livrables attendus. Dans cette version du poster la définition et le nommage des phases du projet ont été adaptés à un cycle de vie de développement logiciel (SDLC).

Afficher ce document sur Scribd

Une autre représentation de ce cycle de vie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent tout au long du cycle Phases/Jalons sur une disposition classique en « V » entièrement couvert par le processus PM :

Cliquez sur l’image pour agrandir

Le déploiement pratique de cette cartographie de processus en procédures opérationnelles standards peut être représenté comme suit :

Cliquez sur l’image pour agrandir

Organisation

Le choix a été fait de mettre en place une structure matricielle ou structure par projet, c’est une structure temporaire limitée à la durée d’un projet.

Son principe est le suivant : les services permanents, organisés par fonctions techniques (les ex silos), affectent leur personnel dans des équipes projet en fonctions de besoins. Quand le projet est achevé, chacun rejoint son service d’origine en attente d’une nouvelle affectation. Une ressource peut être affectée à plusieurs projets selon sa charge.

Dans une structure matricielle, la fonction de management n’est plus dans les mains d’une seule personne, mais d’au moins deux. Il est ainsi primordial que le partage des responsabilités, mais aussi et surtout de l’autorité, entre les managers soit clair et précis.

Les avantages de la structure matricielle par projet sont de:

• permettre une grande flexibilité dans la gestion des ressources humaines et le management,
• développer l’innovation par l’émulation des idées entre des profils différents,
• favoriser la collaboration,
• ouvrir des nouveaux champs de communication entre les fonctions.

Bref, elle est bien adaptée à un monde économique complexe qui exige adaptation, innovation, réactivité des entreprises.

Le référentiel MPP

Vous trouverez ci-dessous la documentation en anglais du référentiel de Management Par Projet tel qu’il a été utilisé pour l’évaluation CMMI, en particulier vous y découvrirez les instances de pilotage et de direction à mettre en place, ainsi que les rôles et responsabilités de tous les acteurs du projet. Enfin l’ensemble des processus et des livrables pour réaliser le projet est décrit.

Afficher ce document sur Scribd

Déploiement du Management Équitable

Construire un comportement homogène et éthique pour l’ensemble des acteurs de l’entreprise nécessite pour chacun une adhésion forte à des principes humains fondamentaux.

Valeurs

Aussi le Manager appliquant les principes du Management Équitable s’attache à développer une culture d’entreprise autour des valeurs suivantes :

Équité

Représente le sentiment naturel, spontané, du juste et de l’injuste. Il faut traiter chacun selon ce qui lui revient de droit, selon son mérite. Ceci spontanément et de façon égalitaire pour les hommes ou les idées en fonction de la justesse et du mérite.
C’est la volonté ferme et durable de reconnaître à chacun ses droits humains fondamentaux et de contribuer à les promouvoir.
Le manager fait preuve d’équité en particulier en replaçant l’humain au centre de ses pratiques de management.

Respect

Correspond au sentiment de considération, d’égard envers l’autre. Le souci de ne pas porter atteinte à l’autre. Il demande d’être à la hauteur et de ne pas porter atteinte aux hommes ou aux idées.
Le respect est la règle de base du comportement du manager dans tous ses actes : respect de soi, des autres collaborateurs, des clients, des tiers, des partenaires sociaux, de la société en général, des principes du groupe, des lois et des règlements, de l’environnement, de l’équité et de l’éthique au sens le plus large.

Partage

Littéralement c’est la division en plusieurs portions, réparties entre les participants. Le fait de partager, d’avoir quelque chose de commun avec quelqu’un.
Le manager est évidemment solidaire de son équipe et de ses collaborateurs mais il l’est également de l’entreprise. Il adopte une attitude résolument positive qui va de pair avec réalisme et courage, il favorise ainsi le développement de l’esprit d’équipe à  tous les niveaux.

Exemplarité

C’est la qualité de ce qui est exemplaire, de ce qui peut servir d’exemple, de modèle et qui peut être imité, répliqué. Ceci se traduit par donner le meilleur de soi-même, rechercher en permanence la qualité, faire preuve d’un professionnalisme exemplaire en exigence quotidienne.
Le manager doit être un responsable porteur de sens, en ayant une grande cohérence personnelle et en soutenant l’humanisation des règles. L’exemplarité est la condition nécessaire, indispensable, mais non suffisante, pour acquérir de la légitimité. A contrario, le manager illégitime fixe des règles qui ne sont valables que pour les autres.

Efficacité

Elle traduit le caractère de ce qui est efficace, de ce qui produit sont effet. C’est la capacité de produire le maximum de résultats avec le minimum d’efforts, et la plus grande valorisation des ressources.
Les leviers d’efficacité managériale sont d’associer des principes de comportement et des compétences, de gérer par des actes plutôt que des discours.

Audace

Mouvement de l’âme qui porte à des actions extraordinaires, au mépris des obstacles et des risques. Tendance à oser les actions difficiles.
Le bon manager est celui qui prend des risques, il sait être audacieux, dans la mesure où son destin individuel est la manifestation du destin collectif, il est celui qui prend le plus de risques pour le collectif. Ce n’est qu’à cette condition qu’il peut se prétendre manager et le prétendre aux autres.

Anticipation

Action de prévenir, de devancer. Il ne se dit que du Temps et, par ellipse, des Choses dont on prévient le temps.
Action de se représenter une chose future, considérée comme plus probable que le rêve en se basant sur le présent et plus proche de sa réalisation que le simple projet.
Le manager doit faire preuve d’anticipation en utilisant son expérience pour éviter de basculer dans la gestion de crise, mais aussi pour mieux informer, partager et impliquer. Associé à l’audace il doit être un bon gestionnaire de risques.

En synthèse

Les valeurs du Management Équitable privilégient la dimension humaine sans oblitérer la finalité de performance des organisations, elles se doivent d’être à la fois individuelles et collectives. Ces valeurs sont soutenues par des Managers forts d’une personnalité induite ou projetée de guide juste et sincère, qui mette en oeuvre ces principes afin d’instaurer une culture de Management exemplaire. La diffusion et le partage de cette culture commune et authentique constitue la clé de voûte des futurs succès de l’entreprise et de sa pérennité.

Ces valeurs sont celles de l’AFraME et de ses adhérents qui souhaitent les partager avec tous les Managers qui veulent les mettre en œuvre au travers de la Charte du Management Équitable dans leur organisation.

Services de consulting

Si vous souhaitez développer ces valeurs dans votre organisation ou évaluer leur déploiement, nous pouvons vous apporter conseils et expériences pour formaliser votre projet en utilisant la charte, le label et les bonnes pratiques du Management Équitable, par exemple :

• Sensibiliser à la mise en place des nouvelles pratiques de Management équitables.
• Animer des ateliers sur les bonnes pratiques de Management pour les ancrer.
• Présenter les entretiens-clés de Management opérationnels : motivation, kick-off, pilotage, évaluation annuelle, briefing, suivi d’activité…
• Définir des méthodes de priorisation de l’activité, de la gestion des risques.
• Définir et mettre en place des indicateurs de performance opérationnels efficaces.
• Préparer à l’évaluation régulière des pratiques de Management par un organisme spécialisé tel que l’AFraME.

Déploiement des processus ITIL

Dans cet article je présente une méthode projet à suivre pour réussir simplement le déploiement des processus de gestion et de support des Services IT en s’appuyant sur le référentiel ITIL. Dans ce domaine on parle de projet ITSM pour IT Service Management. Cette présentation est complétée par un document de retour d’expérience sur un projet ITSM majeur que j’ai coordonné au sein d’une DSI internationale.

L’état des lieux

Afin de démarrer un projet de type IT Services s’appuyant sur le référentiel ITIL, il est nécessaire de réaliser un état des lieux, si possible  avec l’aide d’un conseil externe qui apportera une vision objective de la situation.

La méthode utilisée classiquement est basée essentiellement sur des entretiens avec les dirigeants, les managers et des personnes clé de l’organisation. Elle est complétée par une analyse documentaire de l’existant.

Constats

Les constats suite à cet état des lieux se découpent en deux parties :

• Les points positifs,
• Les points d’amélioration.

Ces points seront autant d’éléments en entrée du projet de définition et de mise en place des processus IT.

Il est important de synthétiser ces constats sur une cartographie de processus existants qui permet souvent de bien visualiser la complexité d’une organisation et sa maturité en terme de rationalisation.

Les verbatim capturés pendant les interviews sont aussi très importants à conserver, comme par exemple :

• « On est dimensionnés pour des pics, on ne sait pas lisser la charge. »
• « On réinvente la roue sans cesse, parce qu’on bosse dans l’urgence. »
• « La culture interne n’impose pas de rendre des comptes sur l’activité. »

Fixation des objectifs

Un projet IT Services vise habituellement à accompagner la transformation d’une DSI en fournisseur de services en utilisant le référentiel ITIL comme guide.

Les principaux objectifs d’un projet doivent être clairement présentés à la direction pour obtenir son soutient, en voici quelques exemples :

• Changer la culture des équipes.
• Améliorer la qualité des services rendus et du support.
• Aligner les services sur les besoins métiers et ceux des clients finaux.
• Donner plus de visibilité à nos clients sur le fonctionnement de l’organisation.
• Contrôler, refacturer et optimiser les coûts.
• Centraliser le support afin de fournir un service de bout en bout.
• Clarifier les rôles.

Afin de suivre ces objectifs, des indicateurs ou KPI doivent être mis en place pour mesurer les progrès, ces indicateurs seront des éléments importants à restituer à la direction pour faire une mesure de ROI, en voici quelques exemples :

• Satisfaction des clients.
• Couverture du Catalogue de services standardisés.
• Pourcentage de services facturés et rationalisation de la capacité.
• Mise à jour de la nomenclature métier et des fiches de poste.
• Cartographie complète des processus.
• Point d’entrée unique pour le support et indicateurs de gestion d’incidents.

Rôles et responsabilité

Dans tout projet de mise en oeuvre de processus il est important de définir plusieurs rôles, essentiellement au niveau de la gestion des processus, qui complètent les rôles opérationnels classiques d’une DSI :

• Process Coordinator : Il anime la collaboration entre les responsables de processus du projet et contribue à la coordination dans le déploiement des processus. Il exerce un rôle de support des Process Owners et de responsable qualité du projet.
• Process Owner : C’est le propriétaire d’un processus dont il a la charge. Ses responsabilités incluent le soutient, la conception, la gestion des changements et l’amélioration continue du processus et de ses métriques. Son rôle est principalement de s’assurer que le processus utilisé est adapté aux besoins opérationnels. Il y a un Process Owner par processus défini.
• Process Manager : Il gére la bonne application de la mise en oeuvre opérationnelle des processus. Ceci en incluant la planification et la coordination de toutes les activités exigées pour effectuer, surveiller et rendre compte de l’application du processus en charge. Il peut y avoir plusieurs Process Managers pour un même processus.

La cartographie des processus

Une représentation de cette cartographie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent selon les cinq  domaines clefs du référentiel ITIL :

Cliquez sur l’image pour agrandir

Voici un exemple pragmatique de cette cartographie de processus, sous forme de procédures opérationnelle standards, mise en place sous ma responsabilité en utilisant en grande partie les bonnes pratiques du référentiel ITIL et ISO 27001 regroupées et rationalisées dans un référentiel qualité interne :

Cliquez sur l’image pour agrandir

Retour d’expérience

Le document suivant est la présentation complète du projet ITSM réalisé sous ma coordination pour la DSI de Cegedim, l’organisation de départ était principalement structurée en silos technologiques. L’étude, la mise en place progressive et la stabilisation des nouveaux processus se sont déroulées sur un cycle de trois ans, cycle nécessaire au changement de culture pour l’ancrer dans l’organisation.

Afficher ce document sur Scribd

Vous trouverez dans l’article de solutions-numeriques.com un témoignage sur ce projet plus orienté vers le choix de l’outil initial de gestion ITSM, support de la démarche de déploiement des processus.

 

Conformité pour l’hébergement de données de santé à caractère personnel

Définition

Selon l’ASIP, l’Agence des Systèmes d’Information Partagés de santé devenue depuis l’Agence du Numérique en Santé :

« Une entité est soumise à l’obligation d’être hébergeur agréé ou certifiée dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale. »

La CNIL nous donne aussi une définition de ce qu’est une donnée de santé selon le règlement européen (RGPD) :

« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

La confidentialité des données de santé à caractère personnel : une exigence légale

Le système d’information de santé est un support indispensable dans l’amélioration de la prise en charge des patients, le développement de nouveaux services et des travaux de recherche. Parmi les prérequis essentiels à la mise en oeuvre de ce support, figurent des fondamentaux de sécurité de l’information de santé dont la garantie de protection des données des patients. Le législateur a donc encadré le stockage et la manipulation de ces données sensibles afin de garantir leur pérennité et leur intégrité.

Depuis la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, l’hébergement des données de santé nécessite l’obtention de l’agrément HADS (Hébergeur Agréé de Données de Santé). Celui-ci est délivré par le Ministère de la Santé selon un processus défini par le décret du 4 janvier 2006, et sur la base du référentiel publié par l’ASIP santé.

L’article L1111-8 du Code de la Santé Publique prévoit que les professionnels de santé, les établissements de santé ou la personne concernée ne peuvent externaliser le dépôt de données de santé qu’auprès d’un hébergeur agréé ou certifié.

Le processus d’agrément

Pour obtenir l’agrément, la politique de confidentialité et de sécurité doit être particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne.

Pour prétendre à l’agrément, les hébergeurs ont à démontrer leurs ambitions et les processus mis en place pour atteindre les exigences de sécurité nécessaires à la protection des données de santé. Cette activité doit répondre aux contraintes de redondance, d’authentification et bien sûr de confidentialité des données personnelles de santé.

L’agrément est obtenu pour trois ans et doit être renouvelé ensuite. Il impose une démarche d’audit en auto-évaluation chaque année, de la réalisation d’un audit tierce partie pour obtenir le renouvellement et peut donner lieu à des contrôles par la CNIL et l’IGAS.

Les candidats à l’agrément doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante, tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Le dispositif d’hébergement en projet doit être mis en cohérence avec les exigences du décret. La formalisation et la documentation de l’existant et la construction du dossier de demande d’agrément doivent être effectuées en conformité avec le référentiel publié par l’ASIP santé.

Depuis le 1er avril 2018 il n’est plus possible de déposer des demandes d’agrément, il faut dorénavant se faire certifier avec l’aide d’un organisme de certification accrédité par le COFRAC. Les hébergeurs agréés avant cette date ont un délais poussé jusqu’à la fin de leur agrément pour se faire certifier.

La certification des Hébergeurs de Données de Santé

Depuis le 1er avril 2018, la législation encadrant l’hébergement des données de santé (HDS) impose à tout hébergeur d’être titulaire d’une certification, délivrée par un organisme accrédité, en remplacement de l’ancienne procédure d’agrément.

Le nouveau dispositif de certification du système de management de la sécurité des systèmes d’information des hébergeurs de données de santé à caractère personnel a été prévu par la loi du 26 janvier 2016 sur la modernisation du système de santé.

Le changement de procédure, une certification en remplacement de l’agrément, vise à instaurer une meilleure évaluation de la conformité, sur la base d’un référentiel, à accroître la fiabilité du contrôle des exigences grâce à des audits menés sur site, là où il se limitait auparavant à une analyse documentaire du dossier de demande d’agrément.

Toutes les données de santé à caractère personnel ne sont pas concernées par ce dispositif de certification. Seules celles hébergées par un tiers sur un support numérique et recueillies à l’occasion d’une prise en charge sanitaire ou médico-sociale, à l’occasion de consultations médicales par exemple, sont couvertes par cette obligation. Les autres données de santé relèvent quant à elles de la surveillance de la CNIL ou d’un agrément ministériel.

Ce dispositif s’applique à tout hébergeur de données de santé qui propose des services à des responsables de traitements localisés en France ou à des patients pris en charge en France. Néanmoins, il peut arriver que les données de santé soient stockées sur des serveurs localisés à l’étranger. Pour dépasser les frontières et s’aligner sur des standards partagés dans le monde entier, le référentiel de certification HDS s’appuie sur des normes internationales :

• La norme ISO 27001 complète pour le « système de gestion de la sécurité des systèmes d’information – SMSI» ;
• Des exigences de la norme ISO 20000-1 pour le « système de gestion de la qualité des services informatiques » ;
• Des exigences de la norme ISO 27018 portant sur la « protection des données à caractère personnel ;
• Et des exigences spécifiques à l’hébergement de données de santé.

Un processus de certification peut conduire à un certificat par niveaux proposés aux hébergeurs en fonction de leur activité :

• Deux niveaux « hébergeur d’infrastructure physique », pour la mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle, habituellement nommé salle blanche ou hébergement sec :

• Quatre niveaux « hébergeur infogéreur », pour la mise à disposition d’infrastructure virtuelle, de plateforme logicielle, d’infogérance et de sauvegarde externalisée :

L’hébergeur peut demander une certification sur un ou plusieurs niveaux de ces échelles de certification. Le certificat est valable trois ans, il est délivré par un organisme certificateur accrédité qui certifie le système de management de la sécurité des systèmes d’information de l’hébergeur de données de santé.

L’ASIP Santé a publié un article sur les nouveaux horizons pour les hébergeurs de données de santé qui permet de mieux comprendre ce changement en 2018.

Services de consulting

• Assistance à la conception d’une organisation visant la certification HDS,
• Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé ou certifié,
• Conseil pour l’analyse de risque (EBIOS RM) avant la définition d’une Politique de Sécurité (PSSI),
• Conseil sur a mise en oeuvre du système de management de la sécurité (SMSI),
• Formation à la réalisation des audits d’auto-évaluation HDS,
• Réalisation d’audit tierce partie de renouvellement HDS,
• Audit blanc de conformité aux exigences du référentiel de certification ou de la PGSSI-S,
• Audit d’amélioration des processus opérationnels, support de l’hébergement,
• Exercice sur table de préparation à la continuité d’activité en cas de crise.

Exemple de prestation d’évaluation d’un référentiel HADS.

L’hébergement agréé de données de santé

Le métier d’hébergeur de données de santé est de construire, en tant que responsable de traitement ou en support essentiel de celui-ci, les conditions de la sécurité et de la licéité des traitements de données de santé à caractère personnel.

Il faut pour cela appréhender l’application de gestion des données de santé, les conditions d’usage, les types d’utilisateurs, imaginer des solutions techniques, organisationnelles, contractuelles permettant de faciliter le travail coopératif des professionnels de santé au bénéfice du patient, sans jamais transiger sur les droits et la protection de ce dernier. La matérialisation par des ressources n’est que le fruit de ce processus dans lequel réside la véritable valeur ajoutée de l’hébergeur agréé.

La régulation est en ce domaine essentielle, car la protection des données personnelles de santé est un impératif et on ne peut admettre que l’essor des nouveaux services et usages du numérique, en particulier du Cloud ou du Quantified-Self, se fasse au détriment du respect de l’intimité de la vie privée de chacun.

Les Hébergeurs Agréés de Données de Santé (HADS) sont des industriels des TIC acceptant des ambitions de sécurité et de confidentialité spécifiques aux données de santé et s’inscrivant dans une démarche structurante d’agrément par le ministère de la Santé.

L’hébergement de données de santé à caractère personnel relève d’un régime spécifique exigeant, précisé par un décret du 4 janvier 2006. Ce décret s’impose à toute personne physique ou morale souhaitant assurer l’hébergement de données de santé à caractère personnel mentionné à l’article L. 1111-8 du Code de la Santé. Le décret précise les conditions à remplir pour obtenir cet agrément.

La politique de confidentialité et de sécurité (PSSI) de l’hébergeur sera particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne. L’hébergeur de données de santé relève d’un agrément du ministre de la Santé.

Cette présentation est extraite du livre blanc de l’AFHADS auquel j’ai contribué et qui est publié sur le site de la revue DSIH.

Si vous souhaitez consulter un exemple de PSSI à mettre en oeuvre pour ce type d’hébergement, voici un document que j’ai publié avec l’AFCDP pour montrer le périmètre d’une politique de sécurité opérationnelle dans ce cadre.

Afficher ce document sur Scribd

Si vous souhaitez avoir une présentation plus détaillée sur le référentiel d’agrément et les contraintes réglementaires, ou sur la structure de gouvernance et de processus à mettre en place, n’hésitez pas à me contacter via le formulaire de contact.

Les récentes évolutions légales de l’hébergement agréé des données de santé ont étendu les domaines de santé couverts et le champs d'application de cet agrément. L'association des hébergeurs agréés (AFHADS) a d'ailleurs affiché une position "critique" sur l'évolution du cadre légal de l'HADS.

Lean et Kaizen en pratique

Lean

La discipline Lean est marquée par la recherche de la performance en matière de : valeur ajoutée client, productivité, qualité, délais et enfin coûts. Cette performance est rendu plus facile à atteindre par l’amélioration continue des processus et l’élimination des gaspillages.

Kaizen

Au sein des disciplines Lean existe le Kaizen, c’est un processus d’amélioration continue basé sur des actions concrètes, simples et peu coûteuses. Le Kaizen est tout d’abord un état d’esprit qui nécessite l’implication de tous les acteurs concernés par le processus à améliorer. Le mot en lui même est composé de deux mot japonais : Kai pour changement et Zen pour bon, donc littéralement un « changement pour aller vers le meilleur ».

Mise en œuvre de ces méthodes

Vous trouverez ci-dessous dans ce document en anglais, l’approche pragmatique que j’ai utilisée avec succès à plusieurs reprises dans des projets d’amélioration de processus dans les domaines de la gestion de services IT ou de la gestion de projets informatiques.

Afficher ce document sur Scribd

Si vous souhaitez comprendre cette méthode ou avoir plus de détails, n’hésitez pas à me contacter via le formulaire de contact.

 

AFHADS – Hébergement de données de santé

L’Association Française des Hébergeurs Agréés de Données de Santé AFHADS veille aux garanties professionnelles et à l’amélioration de la sécurité des données personnelles de santé. Elle assure la promotion de l’agrément, établit une doctrine commune entre tous les hébergeurs agréés et représente ses membres auprès des agences nationales comme l’ASIP au sein du Ministère de la Santé ou la CNIL.

J’ai pris le rôle de Trésorier fondateur de l’association à sa création en 2010 et j’ai été membre actif des groupes de réflexion, en particulier sur la standardisation de la sécurité et de la protection des données de santé au sein des groupes de travail de l’ASIP, plus particulièrement sur la Politique Générale de Sécurité des Systèmes d’Information de Santé PGSSI-S.

Dans le cadre de mes missions professionnelles, j’ai coordonné plusieurs projets d’agrément d’hébergement de données de santé (HDS) au sein du groupe Cegedim qui ont abouti à l’un des premiers agréments hébergeurs en France en février 2010. Cette coordination portait sur l’ensemble du périmètre opérationnel d’hébergement, que ce soit au niveau des rôles et responsabilités, des processus IT et du management de la sécurité du SI.

Comment standardiser sans uniformiser ?

J’ai contribué au Club PMO animé par ACDE Conseil en faisant un retour de mon expérience de standardisation pragmatique de processus au sein d’une organisation de services spécialisée en développement et hébergement de logiciels pour le monde de la santé.

Cegedim a souhaité définir un référentiel commun de bonnes pratiques, propre à l’entreprise, construit à partir de plusieurs méthodologies et référentiels : CMMI, Prince 2, ITIL, ISO 2701, ISO 9001, etc.

Cette approche de rationalisation interne des référentiels sert également à montrer aux clients de l’organisation comment sont gérés les projets et les services, cette standardisation aide à vendre la démarche de définition des processus internes aux Managers opérationnels.

Un point de vigilance qu’il ne faut pas négliger dans ce type de projet, c’est de rechercher et trouver le bon niveau de détails dans la définition des processus sans nuire à l’innovation.

Vous pouvez retrouver cette présentation sur le site du Club PMO ou directement en la téléchargeant ici.

Protéger les données de santé

Le Quantified-Self

Pour présenter simplement cette discipline, le Quantified-Self est la pratique qui consiste à se mesurer soi-même et à partager ses données en utilisant la technologie.

Cette « mesure de soi », qui consiste à quantifier son propre quotidien en mesurant toute sorte de paramètres personnels afin d’en suivre l’évolution dans le temps, s’applique à tous les domaines de la vie quotidienne et personnelle, les deux principaux sont : la santé et la performance physique.

Pour la santé, il s’agit par exemple de mieux vivre avec une maladie chronique grâce à une auto-surveillance de son état de santé, une amélioration de sa nutrition, de son sommeil et une surveillance accrue de ses données vitales, à commencer par son poids. Tandis que, pour la performance physique, il s’agit de se comparer à d’autres et de s’améliorer en se fixant des objectifs et en s’imposant des programmes pour les atteindre.

Le groupe de travail

Le groupe « Quantified-Self » de L’Association Française des Correspondants à la protection des Données à caractère Personnel AFCDP, actif depuis septembre 2012, a produit un rapport intitulé « Quantified Self et Informatique et libertés » auquel j’ai contribué activement.

L’AFCDP est l’association représentative des Correspondants Informatique et Libertés (CIL), elle regroupe plus largement toutes les personnes intéressées par la protection des données de santé à caractère personnel, aux profils divers : avocats, spécialistes RH, informaticiens, responsables de la sécurité des systèmes d’information (RSSI), professionnels du marketing… l’AFCDP encourage la discussion et les échanges en matière de protection des données personnelles en vue notamment de promouvoir de meilleures pratiques.

Ce rapport présente la synthèse des travaux accomplis depuis un an par les onze experts en protection des données de santé dont je faisais partie dans le domaine des nouvelles technologies et des systèmes de santé connectés.

Quantified Self connecté et Informatique & Libertés

Après avoir présenté le contexte « technique » du Quantified Self connecté, avec son dispositif type, ses acteurs, les flux de données, les services associés, ce rapport aborde la question du traitement des données à caractère personnel et des réglementations applicables y compris dans le domaine de la santé.

Il propose notamment un arbre de décision qui vise à aider les personnes en charge de la conformité Informatique et Libertés dans leurs réflexions. Le sujet de l’hébergement agréé des données de santé à caractère personnel y est aussi abordé.

Enfin, une bibliographie succincte est jointe en annexe.

Téléchargement

Le rapport est disponible en téléchargement gratuit sur le site de l’ASIP (Agence des Systèmes d’Information Partagés de santé)