SaaS ou acquisition : que choisir pour le Dossier Usager Informatisé ?
1. Définir son projet de digitalisation du dossier unique usager
Vous souhaitez acquérir un dossier informatisé de l’usager via le Plan ESMS Numérique ? Deux questions structurantes doivent être posées pour constituer votre appel d’offre :
Devez-vous acheter le logiciel ou le louer en mode SaaS ?
Où héberger le logiciel et vos données ?
Ces deux questions sont essentielles dans le contexte du dossier informatisé de l’usager dans le domaine social et médico-social.
Dans le cadre du plan ESMS Numérique, 3 options sont envisagées pour l’acquisition d’un logiciel :
Options | Licence logiciel | Hébergement | Maintenance et évolution |
---|---|---|---|
Mode abonnement SaaS | Redevance payée chaque mois ou chaque année, comme location. |
Inclus dans la licence fournie par l’éditeur. |
Inclus dans la licence donc réalisé par l’éditeur. |
Mode achat avec hébergement externalisé |
Logiciel acquis une fois pour toute (paiement unique). |
Sous-traité à un hébergeur externe. |
En option : peut être fourni par l’éditeur. Sinon géré en interne. |
Mode achat on-premise | Logiciel acquis une fois pour toute (paiement unique). |
Sur vos serveurs internes. | En option : peut être fourni par l’éditeur. Sinon géré en interne. |
Cependant, certaines situations particulières requièrent l’acquisition du logiciel et son hébergement externalisé (exemple : en cas de réseau insuffisant).
Le mode d’achat on-premise avec hébergement du logiciel sur ses propres serveurs semble inapproprié pour les ESMS au vu des contraintes d’hébergement (certification HDS imposée dans le domaine de la Santé).
En synthèse, il apparait que le mode SaaS (Software as a Service) soit gagnant dans le contexte du social et médico-social.
Les organismes gestionnaires et associations y trouvent leur compte avec le principe de paiement à la consommation et d’innovation en continu d’une solution commune.
2. Acheter le logiciel ou le louer en mode SaaS
Pour l’achat d’un logiciel, il est important de souligner qu’un logiciel ne peut vous appartenir. Vous achetez uniquement les droits d’utilisation de ce logiciel sur un périmètre précisé dans le contrat : nombre d’utilisateurs, quantité et type d’utilisation, étendue géographique et durée.
Acquérir un logiciel nécessite d’importantes ressources compétentes pour gérer les architectures logicielles, les connexions entre les données, la structure technologique, l’intégration, la sécurité et l’interopérabilité des systèmes. Ces ressources sont la plupart du temps internes à votre structure car l’éditeur ne le propose qu’en option.
Le mode SaaS est le mode d’utilisation le plus courant. Notamment avec des solutions comme Microsoft 365, Salesforce, Google applications ou encore Facebook, tout le monde utilise du SaaS, parfois même sans le savoir !
En effet, de manière générale, le fait de n’avoir qu’une version de logiciel pour l’ensemble des utilisateurs facilite les opérations telles que la maintenance, l’évolution du logiciel et l’aide à l’adoption de nouveaux usages.
La personnalisation des interfaces et des fonctionnalités font maintenant partie de la plupart des solutions SaaS. Les capacités de personnalisation du logiciel SaaS OGiRYS (Dossier Unique de l’Usager Informatisé) en sont bien la preuve dans le médico-social !
Voici une revue de certains points spécifiques :
Logiciel en mode SaaS |
Acquisition du logiciel |
|
Objectif de l’éditeur |
L’objectif de l’éditeur est que le logiciel soit le plus utilisé afin de prolonger sa location, tout en restant dans la continuité (éviter des changements radicaux2, contrairement aux effets de « mode »). Cet objectif est souvent très proche de celui des utilisateurs du logiciel. |
L’objectif de l’éditeur est de montrer un réel écart entre l’ancienne et la nouvelle version afin d’inciter le client à acheter la nouvelle version (créer un « effet de mode »). Cet objectif peut être biaisé par rapport à celui des utilisateurs. |
Mises à jour | Les mises à jour sont installées par l’éditeur (parfois quotidiennes pour traiter des bugs). Les utilisateurs peuvent bénéficier d’évolutions fréquentes (mensuelles avec le DIU OGiRYS). | Les nouvelles versions sont installées individuellement par votre équipe informatique ou le prestataire de maintenance. Le processus est spécifique à votre environnement, plus long donc plus coûteux et moins fréquent. |
Intervention sur le logiciel | En cas de bug à traiter et de réversibilité (possibilité de récupérer la jouissance de ses données), l’intervention du support est facilitée sur une même version pour l’ensemble des clients. La plupart des bugs est gérée de manière centralisée pour tous les clients. |
Votre équipe de maintenance informatique n’est pas forcément dédiée à votre logiciel. De plus, leur intervention est souvent plus complexe car elle doit prendre en compte la version spécifique et la configuration du logiciel. Ces inconvénients augmentent très souvent le coût et le temps de résolution des bugs, aux dépens de la disponibilité de la solution. |
Évolutivité | En cas de mise à jour du système d’exploitation ou du navigateur, ceci n’a pas d’impact sur l’utilisation du logiciel. C’est l’éditeur SaaS (& hébergeur) qui se charge de suivre ces mises à jour. |
Un contrat de maintenance corrective et évolutive est mis en place pour garantir les mises à jour automatiques du logiciel, comme dans le cas d’un logiciel SaaS. Si vous conservez la version de votre logiciel (sans évolution), cela peut empêcher de mettre à jour le système d’exploitation ou le navigateur. Si une faille de sécurité nécessite une mise à jour cela devient problématique. |
RGPD | L’éditeur SaaS engage sa responsabilité comme sous-traitant, au sens du RGPD. |
La version fournie du logiciel doit être conforme au RGPD. Une fois le logiciel acquis, l’éditeur n’est pas engagé en tant que sous-traitant, sauf si cela est mentionné dans son contrat de maintenance. |
Mobilité | L’accès au logiciel en mode SaaS est facilité pour travailler à distance grâce à un simple accès Internet sur tout ordinateur et partout. | L’accès au logiciel avec hébergement externe est accessible uniquement sur l’ordinateur où le logiciel est installé. |
Sécurité |
La sécurité du logiciel est principalement portée par l’éditeur pour tous les clients. La sécurité fait partie du cœur de métier de l’éditeur qui en fait bénéficier tous les clients. Afin de limiter les accès à certains lieux géographiques, l’accès peut être limité à certaines adresses IP. |
La sécurité est portée par vous-même et par l’hébergeur. La séparation des responsabilités est moins favorable pour appliquer des règles de sécurité et éviter des cyberattaques. Les restrictions d’accès par VPN (réseau privé virtuel) ou pour certaines adresses IP sont également possibles. |
Comptabilité | L’abonnement à votre logiciel SaaS s’inscrit dans les dépenses d’exploitation (OPEX). |
L’acquisition d’une licence est comptabilisée dans les dépenses d’investissement (CAPEX). Le coût d’achat peut être immobilisé avec un amortissement progressif. Après cela, le coût de votre logiciel est limité à la maintenance évolutive et corrective. |
L’argument du moindre coût est aujourd’hui en faveur du modèle SaaS :
L’investissement initial est plus important dans le cas de l’acquisition du logiciel : licence, installation, serveurs, …
À long terme, le coût d’acquisition d’une solution semble moins cher que le coût de location d’une solution SaaS. Cependant, les évolutions constantes et leur maintenance font rapidement monter le coût total : MaSanté 2022 et autres réglementations, interopérabilités inter-éditeurs, obsolescence de votre logiciel nécessitant l’acquisition de la nouvelle version, etc.
Les coûts de maintenance sont forcément plus coûteux pour une solution acquise par rapport à celle en mode SaaS.
Un coût souvent sous-estimé pour le SaaS porte sur les licences non utilisées. Il est donc important de bien gérer ses abonnements SaaS. Avec le DIU OGiRYS, archiver le dossier d’un usager permet de toujours y accéder sans payer de licence pour ce dossier.
3. Où héberger le logiciel et vos données ?
a. La certification HDS
Bien qu’il soit tout à fait envisageable d’héberger son logiciel sur ses propres serveurs, il est nécessaire d’être à minima agréé comme hébergeur de données de santé (HDS).
Si vous recherchez un hébergeur de données de santé, il est préconisé de solliciter un hébergeur certifié et non agréé. En effet, la certification HDS impose plus de règles que l’agrément. De plus, un hébergeur agréé devra obligatoirement obtenir sa certification à la fin de la validité de son agrément. Dans le cas contraire, vous devrez changer d’hébergeur.
b. L’hébergement externalisé
Il est important de noter que l’hébergeur externalisé n’est pas considéré comme un sous-traitant au sens RGPD. Cette responsabilité porte uniquement sur le responsable de traitement et, le cas échéant, sur la société en charge de la maintenance.
L’hébergement externalisé semble une bonne solution dans un cas particulier : lorsque vos établissements sont situés dans un lieu avec une bande passante limitée (comme une île éloignée par exemple). Dans ce cas, solliciter un hébergeur local peut faciliter l’utilisation du logiciel en s’assurant d’un réseau de qualité suffisante. Il faut toutefois veiller à solliciter un hébergeur qui est certes certifié HDS mais aussi qui a l’expérience d’héberger ce type de logiciel.
Si vous utilisez une solution SaaS, votre éditeur est évidemment aussi votre hébergeur. Il endossera ainsi la responsabilité :
De l’obsolescence des serveurs et des systèmes d’exploitation,
Des règlementations en constante évolution (RGPD, interopérabilités comme celles de MaSanté 2022, Marquage CE, Plan de Continuité d’Activité, Plan de Reprise d’activité, …).
Ces expertises, impactant indirectement le coût total, sont aussi à mettre dans la balance pour décider à qui confier vos données pour une meilleure sécurité et un coût optimal.