Les utilisateurs de solutions informatiques ne savent plus sur quel pied danser. Le train des évolutions des composants donne le tournis. Voilà que les modèles économiques se mettent également à bouger. À un rythme plus rapide que la samba. De l’externalisation des outils, on est passé au Business process outsourcing (sous-traitance des processus métiers, NDLR) puis à l’ASP (fournisseur de services applicatifs) ; depuis peu, le Cloud computing (informatique dans le nuage), tient le haut du pavé. Marketing ? Réalité ? De quoi s’agit-il réellement ? Comment les établissements hospitaliers observent-ils cette nouvelle tendance ? Et les éditeurs de solutions de SIH, s’en accommodent-ils ? Le débat est ouvert. A commencer par la définition de ce concept.
L’informatique virtuelle ainsi que celle dans les nuages expriment la même réalité : la délocalisation des données, des applications et des infrastructures dans un environnement, le nuage (Cloud en anglais) restant inconnu pour le client qui accède à la partie applicative, en toute transparence. En clair, sans se soucier du reste. Du pain béni pour un directeur d’hôpital qui n’aurait plus à se préoccuper des tracasseries de son DSI : pannes, augmentation de la puissance de calcul, attribution de droits aux nouveaux utilisateurs, sécurité des données. Le Cloud promet de gérer à son compte toutes ces fonctions. Les avantages théoriques de cette approche sont multiples : l’entreprise cliente, en l’occurrence l’établissement hospitalier, déplace la responsabilité du fonctionnement d’une partie ou de la totalité de son SIH auprès du fournisseur ; la facturation des prestations est effectuée à la demande, à l’instar de la téléphonie ou de l’électricité. Le tout à des charges plus abordables qu’une solution interne, du fait de la mutualisation. Les connaisseurs auront reconnu là les atouts de l’externalisation, voire de l’infogérance. Et sauront, de ce point de vue, rappeler les limites de ce type de modèle.
Les limites du cloud
La première est indubitablement celle de la confidentialité des données, hébergées en dehors de l’établissement. S’agissant du monde de la santé, cette problématique affiche une sensibilité particulière, notamment en France où la réglementation est précise et rigoureuse. Elle prévoit que les hébergeurs en la matière doivent s’engager explicitement sur le niveau de disponibilité, d’intégrité et de confidentialité ; ils ont également obligation de certifier la résidence de leurs centres de données dans le périmètre de l’Union européenne. Ce dernier point introduit des limites dans le concept de Cloud en France. « Dès lors que la traçabilité exacte des données est imposée aux hébergeurs français, on ne saurait plus réellement parler de Cloud computing ; car ce concept suppose une localisation diffuse des données et des infrastructures dans un nuage, en clair un peu partout dans le monde. Selon moi, parler de Cloud dans la santé en France apparaît comme un abus de langage. Pour autant, les composantes de ce modèle trouvent bien leur place sur le marché des SIH de l’Hexagone », considère Jean Tixier, directeur du développement des ventes du secteur public chez Softway Medical.
Sur le terrain, cette analyse est jugée pertinente, au regard de la légalité française. Cela dit, l’opérationnel semble de plus en plus primer sur la théorie, les faits sur les discours. Le Cloud computing ou ce qu’il propose de concret commence à se propager telle une traînée de poudre. Le Saas, ou Software as a service, est désormais une réalité dans certains établissements qui utilisent des logiciels proposés en mode service par des fournisseurs. À cette variante du Cloud viennent s’ajouter l’IAAS ou Infrastructure as a service et le PAAS, plateforme as a service. Ces différentes déclinaisons du nuage informatique proposent respectivement du logiciel, l’infrastructure et des plates-formes à la demande. Une offre portée par de nouveaux arrivants et/ou ceux plus anciens comme Orange, SFR voire bien d’autres. En plus de ces outils on trouvera les solutions d’éditeurs classiques de composants de SIH, qui proposent depuis quelques années leurs outils en mode Saas ou tout simplement l’hébergement de données. Sur ce dernier point, certains hôpitaux n’entendent pas laisser l’initiative aux prestataires externes et se jettent dans la mêlée. La volonté du CHU de Nancy illustre cette tendance.
Le Chu de Nancy, hébergeur de données
De fait, l’établissement lorrain a décidé de solliciter auprès des autorités compétentes l’agrément d’hébergeur de données médicales. « Le CHU accueille des applications et données de plusieurs hôpitaux de la région. Nous hébergeons notamment les images archivées du PACS de deux autres établissements. Du coup, il nous semble pertinent et nécessaire de solliciter le statut d’hébergeur plutôt que d’aller vers le Cloud computing. Au demeurant, ce modèle ne nous paraît pas, pour le moment, apporter les garanties nécessaires en termes de sécurité et de confidentialité des données », explique Pascale Bastien-Kéré, DSI. Autre argument mis en avant par le CHU pour repousser le Cloud : le fait de bénéficier en interne d’une main d’œuvre compétente offrant une qualité de service pas forcément garantie après adoption du Cloud computing. Pour autant, la DSI du CHU de Nancy concède que certaines applications peuvent être « cloudisables », du fait de leur caractère peu critique. In fine, pour elle la technologie en environnement cloud peut être une piste à étudier attentivement. Reste la qualité de service, véritable sujet sensible pour les établissements médicaux.
Mettant à exécution ces considérations, l’établissement qui a lancé un dialogue compétitif pour la sélection d’un dossier médical partagé n’a pas retenu le mode Saas comme une des solutions plausibles, à la différence de certains établissements. Du reste, le poids des investissements technologiques consentis ces dernières années plaide également pour une gestion des applications en interne. Cela dit, « cette position actuelle peut évoluer dans les prochaines années, au gré de la maturation du modèle du Cloud computing et des risques associés », assure Pascale Bastien-Kéré.
Du côté des organismes de tutelle, l’adoption du Cloud ne semble pas poser de souci. À preuve, le ministère de la Santé vient de soumettre à commentaire, à travers l’Asip-Santé, une étude qui préconise la création d’un nouveau système d’information et de télécommunication en mode service (Saas) unique aux 101 Samu de France. Les auteurs de ce travail ont retenu parmi quatre scénarios la mise en place d’une solution mutualisée assortie d’avantages multiples : interconnexion entre l’ensemble des Samu Centre 15, les urgences et le DMP. Coût global estimé du système : 175 millions d’euros. Cette ouverture sur le Cloud computing ne saurait sonner comme un blanc-seing pour ce modèle. Car il y a quelques mois, la même Asip-Santé déclarait infructueux un appel d’offres lancé pour équiper son système de messagerie sécurisé en mode service. Malgré l’attrait d’un coût lié à l’usage, cet organisme avait estimé que les réponses proposées étaient inadéquates. Résultat : le mode traditionnel, tout naturellement, est revenu au galop. Ce projet est conduit dans une logique de sous-traitance, cette dernière étant chargée d’implémenter une solution Open source. En clair, la philosophie de la tutelle n’est pas figée.
Plus généralement, Pour Jean-Paul Ségade, directeur général de l’AP-HM, la stratégie vis-à-vis du Cloud computing ne saurait être tranchée à l’emporte-pièce : « Les modèles économiques étant appelés à changer, il est nécessaire de recourir à l’analyse pour opérer des choix pertinents au regard de trois dimensions : la stratégie des systèmes d’information de l’établissement, les aspects économiques et la notion de service public. » Dans le premier cas, il faut opérer un distinguo entre systèmes médical et administratif. Si pour le second il est plus facile de recourir au Cloud computing, il en va autrement pour le premier, du fait de la nécessaire continuité de service public à 100 %. « Que peut-on avancer comme argument si l’on ne peut recevoir un patient à cause d’une indisponibilité d’un système hébergé en mode Cloud ? Ce n’est pas tenable. Idem pour la confidentialité des données et le secret médical », estime le manager. D’un point de vue économique, il serait absurde de recourir au Cloud uniquement pour des raisons de trésorerie face aux difficultés des hôpitaux pour emprunter. Pour autant, ce modèle peut être une solution pertinente dans le cadre des communautés hospitalières de territoire, du fait de la mutualisation. Autre considération économique, le retour sur investissement doit être pris en compte. Enfin, en termes de service public, il faut être capable de garantir l’indépendance de l’établissement vis-à-vis du prestataire de service. La réversibilité du contrat doit être envisagée ici. Cela dit, l’AP-HM mis à part quelques applications de second plan hébergées en mode Saas sur le cloud reste pour l’heure dans l’expectative, son système d’information étant principalement hébergé en interne. En conclusion, il convient de ne pas agir selon des principes théoriques mais avec réalisme et respect des fondamentaux du service public.
Au terme de cette analyse, le cloud semble plaire à plus d’un acteur et est en même temps redouté pour ses faiblesses. Mais pronostique Olivier Pontiès, DSI de l’APHM, « à court terme, un des grands établissements hospitaliers sera passé entièrement au Cloud computing ». Pour le moment, certains se contentent de porter une partie de leur SIH dans le nuage, comme le prouvent les exemples qui suivent.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature