Certification HAS : retour d’expérience
Jusqu’à présent, la démarche d’amélioration continue que constitue la certification HAS était assez éloignée des préoccupations des directions de système d’information. Dans le contexte GHT, elle devient la doctrine principale d’une DSI qui souhaite se transformer en centre de services.
Initiées en 2002, les visites de certification en sont à leur 4ème itération (V1, V2, V2010 et V2014), chacune de ces itérations présentant des changements, soit de périmètre, soit de référentiel. Dans la dernière version, la méthodologie a été remise à plat. Désormais, il convient que l’établissement réalise une analyse de risques (tiens, tiens !, c’est une notion qui rencontre un écho dans le domaine du système d’information), afin d’identifier les risques principaux sur le périmètre de la certification, de proposer, puis de suivre, des actions correctives, visant à réduire ces risques.
Ce retour d’expérience porte sur la 4ème itération (V2014) réalisée au sein de notre groupement hospitalier de territoire (GHT). Premier groupement à réaliser une visite de certification sur un périmètre communautaire (en 2016), notre GHT a fait le choix, après avoir bien pesé les bénéfices et les risques, de proposer la thématique « Gestion du Système d’Information », comme thématique communautaire investiguée par les experts-visiteurs. En effet, il s’agit d’un exercice périlleux, dans un contexte de mutualisation de la fonction SI, ce, au début de la transformation des DSI des cinq établissements en DSI communautaire (dans un mode centre de service). Cela signifie que le système d’information a été investigué individuellement dans chacun des cinq établissements membres du GHT mais il a aussi fait l’objet d’une évaluation à l’échelle du GHT. Il faut souligner que cette thématique est rarement investiguée par les équipes d’experts-visiteurs (seulement dans 6,6 % des visites de certification) .
Travaux préparatoires ?
Tout d’abord, il convient comme pour tout projet d’identifier un pilote (appelé « pilote de processus » dans le jargon) qui va coordonner la démarche pour cette thématique. Dans notre cas, le RSSI a assuré cette mission, sachant qu’il avait une bonne connaissance du processus de certification, ayant travaillé auparavant au sein de la cellule qualité/gestion des risques. A ce titre, il avait déjà eu l’occasion de coordonner la démarche dans sa globalité. Cela aide, mais après tout, le RSSI est le gestionnaire des risques spécialisé dans le domaine du système d’information.
De plus, c’est également le RSSI qui a assuré la responsabilité du suivi du programme Hôpital Numérique (HN). Et il se trouve que HN, qui a servi de tremplin pour la démarche de sécurité du système d’information (notamment pour sa démocratisation), constitue également un bon marchepied pour la certification HAS.
D’ailleurs, l’analyse de risques SI, réalisée quelques mois plus tôt afin de satisfaire aux prérequis HN, a été conçue de façon à pouvoir être réutilisée dans le cadre de la certification HAS. Toutefois, il a fallu collaborer avec les directions Qualité pour que la méthodologie (EBIOS) puisse s’intégrer dans les outils développés par les qualiticiens pour les autres thématiques.
Les fondations de la démarche étaient posées. Ensuite, comme dans toute démarche de certification, il faut être en capacité de justifier le respect des référentiels et de la bonne réalisation des engagements pris dans les politiques, par la production de documentation, la conservation d’éléments de traçabilité et le suivi d’un tableau de bord.
Harmoniser les pratiques dans les établissements du groupement
Tout l’intérêt, dans cette approche communautaire, c’est que la démarche mutualisée a permis d’harmoniser les pratiques dans les établissements du groupement, et également de limiter le temps nécessaire à la préparation de ces visites.
Enfin, les cinq visites des experts-visiteurs se sont déroulées sur quatre mois. Dans chaque établissement, une rencontre de l’équipe SI et d’un expert-visiteur était organisée. Afin d’assurer la cohérence globale de la démarche, l’équipe SI était constituée du DSI de GHT, du RSSI de GHT et du RSI historique de l’établissement.
Dans leurs restitutions et leurs rapports de certification, les experts-visiteurs ont salué la démarche engagée sur la thématique SI (trois établissements évalués à 96,4 % et deux établissements évalués à 100%).
Si ces bons résultats constituent un satisfecit pour la démarche engagée, ils ont aussi permis de la crédibiliser auprès des directions d’établissement, ainsi que des professionnels de santé. Mais attention, il s’agit juste d’une photo à l’instant T, et la roue (de Deming) continue …
Loin de s’endormir sur ses lauriers, la DSI a souhaité transformer l’essai en s’engageant dans une certification ISO27 001, démarche similaire dédiée à la maitrise des risques des systèmes d’information. En effet, au sein des GHT, le système d’information constitue un moyen majeur de convergence, tandis que la maitrise des risques du système d’information (SSI) constitue le gage de confiance. Il est donc primordial que la maitrise du système d’information s’appuie sur la démarche d’amélioration continue pour conserver, et même accroitre, la confiance des patients et des professionnels, surtout dans le cadre d’une transformation en centre de services.
Vous l’aurez compris, il est important de définir une stratégie claire et lisible en se fixant des objectifs et des échéances atteignables. En effet, l’escalier de la démarche d’amélioration continue est long et parfois sinueux. Il est primordial de le monter marche après marche, plutôt que de les monter quatre à quatre, au risque de trébucher ou de s’essouffler !!!
La démarche de certification
L’établissement transmet son auto-évaluation à la Haute autorité de santé afin que l’équipe d’experts-visiteurs en prenne connaissance. Ces derniers, professionnels exerçant dans le milieu sanitaire (médecin, directeur, personnel d’encadrement, qualiticien) se rendent dans l’établissement afin de vérifier que la philosophie de l’amélioration continue est bien ancrée dans les pratiques des professionnels rencontrés. Sur la base de leurs investigations, les experts-visiteurs produisent un rapport de visite, qui est transmis au collège de la certification. Ce dernier statue sur la décision de certification (A à E). Selon les résultats obtenus, soit l’établissement reçoit une nouvelle visite (dans les quatre à six ans), soit il doit produire un rapport complémentaire sous quelques mois, ou enfin, dans les situations les plus délicates, il doit organiser une nouvelle visite des experts dans des délais courts. Les résultats de la certification HAS sont rendus publics sur le site web de l’organisme.
Yohann Fourchon est Responsable Sécurité du Système d’Information ainsi que Délégué à la Protection des Données au sein du Groupement Hospitalier d’Armor (Bretagne). Il fait partie de la DSI de GHT qui compte un peu plus de 50 personnes. Travaillant auparavant en milieu industriel, il a rejoint le secteur de la santé en 2002 sur des compétences qualité/gestion des risques en établissement de santé. En 2011, il s’oriente dans le domaine des systèmes d’information en qualité de référent sécurité du SI. Après l’obtention d’un master II en Management des Risques SI, il est nommé RSSI de la CHT d’Armor début 2016, devenue GHT d’Armor en juillet 2016.