Nos articles de blog

Critères risques numériques : décryptage des attendus de la certification HAS

Gregory Cousyn

April 23, 2024

Temps de lecture :

6 minutes

Cadre hospitalier où l'on peut voir trois personnes. Au premier plan, il y a une femme vêtue d'une blouse bleue d'infirmière, concentrée sur l'écran d'un ordinateur portable.
Sanitaire

L'évolution du référentiel de certification 2024 met en lumière l'importance accrue la maitrise des critères des risques numériques dans le secteur de la santé. 

Avec l'introduction de deux nouveaux critères et le renforcement de cinq autres, il devient essentiel de maîtriser ces exigences pour assurer une qualité de soins optimale. 

Quels sont les attendus ? Comment les établissements de santé peuvent-ils se préparer efficacement ?

Cet article répond à ces questions, s'appuyant sur les éclairages apportés lors de notre récent webinar

Pour une compréhension approfondie de ces enjeux, nous vous invitons à visionner le replay du webinar : Certification HAS : décryptage des nouveaux critères risques numériques

Critères risques numériques V2024 : les axes clés de l’évaluation

Le renforcement des critères numériques dans la version 2024 de la certification HAS vise à utiliser le numérique comme levier pour inciter les établissements de santé à améliorer la continuité et la sécurité des soins. 

Focus sur la gouvernance et les compétences professionnelles

Les évaluations menées par la HAS porteront principalement sur deux aspects : la gouvernance et les compétences des professionnels de santé

Concernant la gouvernance, l'accent sera mis sur les stratégies et les mesures organisées par la direction des établissements pour intégrer le numérique dans leurs processus quotidiens.

D'autre part, il sera également évalué comment les professionnels de santé sont formés et informés des pratiques numériques. 

L'objectif est de s'assurer que le personnel est non seulement compétent dans l'utilisation des technologies numériques, mais aussi qu'il est en mesure de les exploiter de manière sécurisée et efficace.

Ce n'est pas une inspection technique

Il est crucial de comprendre que ce renforcement des critères numériques ne constitue pas une inspection ou un audit technique des systèmes d'information eux-mêmes. 

L'approche choisie par la HAS est de faire appel à des experts visiteurs spécialisés dans le risque numérique. 

Ces experts évalueront la dynamique et l'engagement de la gouvernance et des professionnels dans l'adoption et l'optimisation des outils numériques.

Objectif de la HAS : évaluer la qualité de l'utilisation des outils de support numérique

L'objectif central de la Haute Autorité de Santé pour la certification 2024 est d'évaluer l'efficacité de l'utilisation des outils de support numérique dans les établissements de santé, avec un accent particulier sur deux grands axes :

Gestion du risque numérique

La gestion du risque numérique est un volet crucial de l'évaluation. 

Les établissements de santé doivent démontrer leur capacité à identifier et gérer les risques numériques qui pourraient affecter non seulement l'infrastructure de l'établissement, mais aussi le personnel et les patients. 

Voici les principaux éléments qui seront regardés :

  • Cartographie des risques : il sera vérifié si l'établissement a bien identifié les risques numériques à travers des cartographies détaillées.
  • Simulations de crise : l'évaluation portera sur l'organisation d'exercices de simulation, notamment en cas de cyberattaque, pour tester la réactivité et l'efficacité des procédures en place.
  • Plans de continuité et de reprise d'activité : les PCA et PRA seront examinés pour s'assurer qu'ils incluent des provisions spécifiques pour les scénarios de dégradation due à une cyberattaque, affectant tant les dossiers patients que d'autres logiciels critiques, comme les systèmes de paie (par exemple).
  • Formation et sensibilisation : l'établissement doit également prouver l'existence de formations et de sensibilisations régulières pour préparer le personnel à gérer efficacement les risques numériques.
  • Intégration dans les plans globaux : il sera demandé si le volet numérique est correctement intégré dans le plan blanc de l'établissement, destiné aux situations sanitaires exceptionnelles.

Promotion du bon usage des outils informatiques

Le deuxième axe majeur concerne la promotion et la vérification de l'utilisation appropriée des outils informatiques disponibles pour le personnel et les patients :

  • Mon espace santé : questions sur l'existence, l'accessibilité et l'alimentation de cet espace par l'établissement avec les documents pertinents, ainsi que sur la capacité des professionnels de santé à y accéder et à l'utiliser.
  • Messagerie sécurisée : évaluation de la mise en place et du fonctionnement de la messagerie sécurisée, y compris qui y a accès et comment elle est utilisée au sein de l'établissement.
  • Identifiant National de Santé (INS) : questions sur la connaissance et l'utilisation de l'INS par le personnel, ainsi que sur les procédures d'admission pour assurer une identification précise.
  • Gestion des accès et des mots de passe : vérification des politiques de sécurité concernant l'attribution et la gestion régulière des mots de passe, pour garantir un accès sécurisé aux systèmes.

Des critères numériques évalués par plusieurs experts

Dans le cadre de la certification V2024, la HAS a structuré l'évaluation des critères numériques en impliquant divers experts, dont certains sont spécialisés dans le numérique

Cette approche multi-expertise vise à enrichir l'évaluation par un croisement de méthodes et une comparaison des résultats obtenus dans différents contextes au sein des établissements de santé.

Expert visiteur numérique seul

Dans certains cas, l'évaluation est menée exclusivement par un expert visiteur numérique, focalisant sur des critères spécifiquement liés à la sécurité et à la gestion des systèmes d’information :

Critère 3.6-02 : Les risques de sécurité numérique sont maîtrisés.

Critère 3.6-06 : L'identification des utilisateurs et des patients dans le système d’information est sécurisée.

Autre expert visiteur seul

Parfois, l'expertise numérique n'est pas requise directement, et c'est un autre expert qui évalue les critères liés plus généralement à la prise en charge des patients :

Critère 1.1-18 : Le patient reçoit une information claire et adaptée à son degré de discernement sur les modalités de sa prise en charge.

Critère 2.3-01 : Les équipes respectent les bonnes pratiques d’identification du patient à toutes les étapes de sa prise en charge.

Collaboration entre l'expert visiteur numérique et un autre expert visiteur

Pour certains critères, la HAS requiert une évaluation conjointe par un expert visiteur numérique et un autre expert visiteur, permettant une analyse intégrée des aspects numériques et cliniques :

Critère 2.2-05 : Les équipes de soins ont accès aux informations du patient avec un système d’information adapté.

Critère 3.1-07 : Les modalités de communication permettent aux usagers et aux médecins de ville de contacter l’établissement aisément.

Critère 3.2-09 : L’établissement est organisé pour permettre au patient d’accéder à son dossier.

L’outil qui vous aide à piloter votre démarche qualité

Détails des attendus sur les critères numériques

La version 2024 de la certification HA) inclut des critères renforcés et de nouveaux critères visant à optimiser l'utilisation des ressources numériques dans les établissements de santé. 

Ces critères sont évalués de manière détaillée pour assurer une prise en charge adéquate et sécurisée des patients ainsi qu'une gestion efficace des outils numériques par les professionnels.

Côté Patient

→ Nouveau critère 1.1-18 

Le patient reçoit une information claire et adaptée à son degré de discernement sur les modalités de sa prise en charge

Ce nouveau critère évalue la qualité de l'information transmise au patient, notamment durant les crises numériques. 

Il est essentiel que le patient soit informé des documents qui alimenteront son Dossier Médical Partagé (DMP) et que les échanges d'informations de santé se fassent via une messagerie sécurisée, excluant l'utilisation de messageries personnelles non sécurisées.

Côté Professionnels

→ Critère renforcé  2.2-05 

Les équipes de soins ont accès aux informations du patient avec un système d’information adapté

Le critère est renforcé par des inspections réalisées par un expert visiteur et un expert numérique. L'évaluation se concentre sur :

  • L'ergonomie du système d'information : assurer que les systèmes sont intuitifs et facilitent plutôt qu'ils ne compliquent les tâches quotidiennes des soignants.
  • La formation des professionnels : vérifier que le personnel est bien formé sur les logiciels auxquels ils ont accès, garantissant une utilisation optimale et sécurisée des technologies disponibles.
  • L'accès au DMP : s'assurer que tous les professionnels de santé comprennent comment accéder au DMP et sont capables de l'utiliser efficacement pour améliorer la qualité des soins.

→Critère renforcé 2.3-01 

Les équipes respectent les bonnes pratiques d’identification du patient à toutes les étapes de sa prise en charge

Ce critère renforcé met l'accent sur plusieurs éléments essentiels pour assurer une identification précise et sécurisée du patient :

  • Utilisation de l'Identifiant National de Santé (INS) : L'accent est mis sur l'importance de l'utilisation correcte de l'INS pour garantir l'identification univoque du patient à travers tous les services de santé.
  • Connaissance de la cellule identito-vigilance : Les professionnels de santé doivent être formés et informés sur les procédures de la cellule identito-vigilance, s'assurant qu'ils comprennent comment gérer et signaler toute anomalie relative à l'identification des patients.
  • Gestion des documents papier : s'il est encore nécessaire d'utiliser des documents papier, ceux-ci doivent inclure tous les éléments nécessaires pour l'identification complète du patient, conformément aux normes de sécurité et de confidentialité.

Côté Gouvernance

→Critère renforcé 3.1-07 

Les modalités de communication permettent aux usagers et aux médecins de ville de contacter l’établissement aisément.

Ce critère a été enrichi avec des éléments d'évaluation supplémentaires visant à assurer une communication efficace et sécurisée. L'établissement est tenu de : 

  • Réaliser une cartographie des échanges de données de santé qui ne sont pas sécurisés, comme l'utilisation de messageries non sécurisées (telles que WhatsApp par exemple)
  • Surveiller le taux d'alimentation du DMP (Mon Espace Santé), une exigence qui s'inscrit dans le cadre de cette certification et des IFAQ (Incitation Financière à l’Amélioration de la Qualité des soins).

Il est crucial que l'établissement élabore un plan d'actions pour rectifier les lacunes identifiées si les objectifs de sécurité des données et d'alimentation du DMP ne sont pas atteints.

Sur ce critère, des ajustements ont été faits pour évaluer de manière approfondie les compétences et la pratique des professionnels de l'établissement en matière de communication numérique. 

Lors des visites, les experts examineront spécifiquement :

  • La connaissance des professionnels sur la messagerie sécurisée, évaluant non seulement leur familiarité avec cet outil, mais aussi leur compétence dans son utilisation pratique au quotidien.
  • L'utilisation de la messagerie sécurisée, en s'assurant que les professionnels l'utilisent effectivement pour les échanges d'informations critiques de santé.
  • La transmission des informations au DMP, où il sera vérifié si les professionnels sont bien informés des documents et informations qui doivent être intégrés au DMP et si cette transmission se fait de manière sécurisée.

→Critère ajusté 3.2-09

L’établissement est organisé pour permettre au patient d’accéder à son dossier

Des ajustements ont été apportés pour évaluer comment l'établissement informe les patients de : 

  • L'existence et de l'utilisation de Mon Espace Santé
  • Des informations fournies dans le DMP.

→ Critère renforcé 3.6-02

Les risques de sécurité numérique sont maîtrisés

Dans sa version révisée pour la certification 2024, ce critère connait un ajustement significatif et un renforcement pour couvrir plus exhaustivement les pratiques de sécurité numérique au sein des établissements de santé. 

Ce critère étend désormais son champ d'application pour inclure des évaluations détaillées sur plusieurs aspects cruciaux de la gestion des risques numériques :

Plans de continuité et de reprise d'activité 

Les établissements sont tenus de disposer de plans de continuité (PCA) et de reprise d'activité (PRA) bien définis qui couvrent tous les secteurs et pas uniquement les systèmes d'information liés aux dossiers patients. 

Ces plans doivent être concrets, testés et prêts à être déployés en cas de panne ou d'interruption majeure, assurant la continuité des opérations sans compromettre la sécurité des données ou la qualité des soins.

Formation aux plans de reprise 

Il est impératif que les professionnels de santé soient formés spécifiquement sur l'utilisation des modes opératoires dégradés prévus dans les plans de reprise. 

Cette formation doit leur permettre de rester efficaces même en cas de défaillance des systèmes numériques, minimisant ainsi les perturbations des services de soins.

Audits de sécurité 

Un accent particulier est mis sur l'évaluation et l'amélioration continue à travers des audits de sécurité réguliers. 

Les établissements doivent avoir un plan d'actions clair pour répondre aux vulnérabilités identifiées lors de ces audits, renforçant ainsi leurs défenses contre les risques numériques.

Formation et sensibilisation aux risques numériques 

La formation régulière et la sensibilisation des professionnels aux risques numériques sur les meilleures pratiques de sécurité, la gestion des incidents et la prévention des cyberattaques.

Référents système d'information

Les établissements doivent désigner des référents SI dans chaque service, qui serviront de points de contact pour les questions relatives à la sécurité numérique. 

Ces référents jouent un rôle clé dans la diffusion rapide et efficace des informations relatives aux risques et aux protocoles de sécurité à l'ensemble du personnel.

Conduite à tenir et conservation des données de santé

Il est attendu que tous les professionnels connaissent les conduites à tenir en matière de sécurité des données. 

Exemple : il doit être clairement établi que les fichiers contenant des données de santé (tels que les fichiers Excel)  ne doivent pas être conservés sur les bureaux des ordinateurs locaux pour éviter les risques de fuites ou d'accès non autorisés.

→Nouveau critère 3.6-06

L'identification des utilisateurs et des patients dans le système d’information est sécurisée

Voici une explication détaillée des aspects couverts par ce nouveau critère :

Formalisation des règles d'habilitation

Les établissements doivent démontrer qu'ils disposent de règles d'habilitation clairement définies pour tous les professionnels de santé. Cela inclut des procédures spécifiques pour l'attribution, la révision et la révocation des droits d'accès aux systèmes d'information.

Il est essentiel que ces règles soient régulièrement mises à jour et communiquées à tous les utilisateurs concernés.

Formation des professionnels à l'utilisation du SI 

Les professionnels doivent être formés non seulement sur l'utilisation fonctionnelle des systèmes, mais aussi sur les aspects de sécurité liés à ces systèmes. 

Cette formation doit couvrir les pratiques de sécurité informatique, la gestion des mots de passe et les protocoles en cas de détection d'anomalies.

Gestion des entrées et des sorties des comptes utilisateurs

Une gestion rigoureuse des comptes utilisateurs est requise, impliquant un contrôle strict des activations de nouveaux comptes et des désactivations en cas de départ de personnel ou de modification des rôles.

Authentification renforcée pour le télétravail 

Dans ce contexte, les établissements doivent mettre en œuvre des mesures d'authentification renforcée. 

Par exemple, cela peut inclure : l'utilisation de l'authentification multi-facteurs (AMF), des VPN sécurisés, et des politiques strictes sur les appareils utilisés pour accéder aux réseaux de l'établissement.

Codes et protocoles de sécurité spécifiques au télétravail 

Les établissements doivent définir et mettre en œuvre des codes de sécurité spécifiques pour les professionnels en télétravail. 

Critères numériques V2024 : les ressources de la HAS

Pour accompagner les établissements de santé dans la préparation à la certification 2024, notamment concernant les nouveaux critères numériques renforcés, la Haute Autorité de Santé (HAS) a développé et mis à disposition un ensemble de ressources pédagogiques. 

Ces fiches pédagogiques fournissent une explication claire des objectifs et des méthodes d'évaluation. 

Elles offrent également des exemples de questions que les experts visiteurs pourraient poser lors des visites, permettant ainsi aux établissements de se préparer :

Cet article sur les critères numériques de la V2024 vous a intéressé.e ? Restez informé.e des actualités de votre secteur en vous abonnant à notre newsletter.

Partager l’article

Questions fréquentes

Découvrez nos réponses aux questions fréquemment posées sur le DUERP en structure médico-sociale, sociale et sanitaire.

Questions fréquentes

Questions fréquentes

À propos de l’auteur

Gregory Cousyn

Grégory occupe le poste de Head of Customer Care & Quality chez Qualineo. Son parcours : ancien infirmier diplômé d’état ayant travaillé pour le Ministère des Armées, Grégory Cousyn intègre un établissement de santé où il occupait un poste de direction. Son expérience s’articule autour de l’optimisation des organisations pour développer les performances et l’activité d’un établissement, l’appui à la stratégie et la gestion de projets.