Le DEP passe un cap: la Poste met une plateforme certifiable à la disposition des communautés de référence

L’obtention de la certificabilité de notre plateforme E-Health est un cap important pour l’introduction du dossier électronique du patient (DEP). C’est le résultat d’une collaboration engagée entre KPMG, en sa qualité d’organisme de certification, et les spécialistes de la Poste. Interrogés, Reto Grubenmann, qui a dirigé la certification chez KPMG , et Martin Fuchs, notre responsable Digital Health, reviennent sur les audits.

Section Contenu riche

Vous indiquez à quel point la collaboration est bonne. Cela ne va pas de soi sur un projet aussi complexe. Quelle a été la recette du succès?

Reto Grubenmann: Pour nous, les responsables de projet et spécialistes de la Poste ont joué un rôle décisif avec leur expertise, leur engagement et leur serviabilité, car nous devions contrôler un champ d’application d’environ 440 objectifs de contrôle DEP. Les spécialistes de la Poste nous ont permis de gérer efficacement cette grande complexité. L’équipe de direction de Digital Health Poste a coordonné les instructions concernant le calendrier et la mise à disposition des ressources pour l’environnement de test in situ des divers thèmes relatifs au DEP en sachant bien hiérarchiser.

Martin Fuchs:KPMG a été pour nous un partenaire compétent qui a fait avancer le contrôle de conformité de notre plateforme E-Health de manière flexible et avec la cohérence qui s’impose. Grâce à la méthodologie de pointe de KPMG, nous avons pu passer le processus en revue en y étant préparés. La préparation détaillée des jours de contrôle était par ailleurs très intéressante pour les personnes qui participaient aux audits.

Entretien avec Martin Fuchs, responsable Post Digital Health, et Reto Grubenmann qui a dirigé la certification chez KPMG.
(de gauche à droite): Entretien avec Martin Fuchs, responsable Post Digital Health, et Reto Grubenmann qui a dirigé la certification chez KPMG.

Qu’est-ce qui vous a particulièrement marqué?

Reto Grubenmann:Lorsque je repense aux premiers préparatifs de la certification en août 2019, beaucoup de choses étaient dans les têtes, mais il y avait encore peu de choses concrètes. Il est en outre impossible de calquer entièrement les exigences de contrôle sur un standard ou une réglementation dans un projet aussi complexe. Grâce à une collaboration particulièrement étroite entre toutes les personnes impliquées et notre expérience en matière de processus de sécurité ICT, nous avons réussi à faire le «grand écart» entre les exigences des régulateurs et les conditions-cadres chez les fournisseurs de logiciels. J’ai par ailleurs senti l’important soutien de la direction de Digital Health au sein de la Poste, qui a également contribué à ce que nous abordions les sessions d’audit en étant focalisés.

Martin Fuchs: C’est la très grande disponibilité et la résistance sur la durée de l’ensemble des acteurs qui m’ont le plus impressionné. Mettre en place une plateforme standard pour le DEP, établir de nouveaux processus, former toutes les personnes impliquées et toujours répondre dans le même temps aux dernières exigences de la loi fédérale sur le DEP peut sembler être un travail de Sisyphe. Mais tout le monde est allé dans le même sens. J’en profite pour remercier l’ensemble des collègues et des partenaires externes qui se sont engagés dans l’introduction du DEP.

Y a-t-il des points que vous pouvez optimiser pour un prochain audit?

Reto Grubenmann: Nos spécialistes des certifications/logiciels vont évaluer de nouveau l’annexe 2 de l’ordonnance du DFI relative aux Critères techniques et organisationnels de certification, les «CTO». Nous allons par ailleurs pouvoir consacrer plus de temps à l’avenir à l’analyse approfondie de certains contrôles. Nous allons en revanche moins questionner les instructions statiques relatives aux processus, à condition que le champ d’application reste le même.

Martin Fuchs:Durant les audits et les tests du script de sécurité ICT, KPMG a attiré notre attention sur nos champs d’apprentissage au sein de l’organisation et de la plateforme. Nous allons évidemment y apporter des réponses durables d’ici les prochains audits qui se dérouleront fin 2020 et début 2021. Nous allons aussi mettre en œuvre un processus d’amélioration continue nous permettant d’améliorer la qualité et la sécurité de la plateforme en permanence et pas uniquement de manière ponctuelle après des audits.

Quelles sont les prochaines étapes?

Reto Grubenmann: Pour nous, les travaux ne sont finis que lorsque tous les rapports de conformité avec les constatations sont finalisés. Concernant la Poste, nous allons réévaluer de nouveau au cours d’un prochain audit de légers défauts de conformité dans le domaine de la gestion de l’exploitation des logiciels du DEP.

Martin Fuchs: Nous allons désormais mettre en place et tester les plateformes de production de nos clients conformément au cadre de conformité approuvé dans les audits. Les plateformes «seules» ne suffisent pas: l’exploitation doit être organisée de l’administration au reporting avant d’être introduite. Certains préparatifs pour l’introduction ne peuvent par ailleurs commencer que si la communauté de référence a été certifiée. L’Office fédéral de la santé publique ne va pas s’arrêter de mettre à jour les prescriptions relatives au DEP, ce qui nous oblige à développer notre plateforme en continu. Pour résumer: il y a un peu de travail de tous les côtés. J’ai hâte et je suis fier de pouvoir contribuer à faire passer ce cap au secteur de la santé suisse.