Agrément des hébergeurs de données de santé : publication du référentiel de certification pour concertation

Services | 16 sept. 2016

La loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé prévoit le remplacement de la procédure d’agrément par une évaluation de conformité technique par un organisme certificateur accrédité par le COFRAC (comité français d’accréditation). Les objectifs poursuivis par la nouvelle procédure de certification sont d’inscrire la démarche dans une procédure bien connue du monde industriel (notamment la certification ISO 27001) et d’accroître la fiabilité du contrôle des exigences par des audits sur site. Fruit d'un travail commun avec la délégation à la stratégie des systèmes d'information de santé (DSSIS) et les parties prenantes, ce référentiel de certification des hébergeurs de données de santé est publié aujourd’hui pour concertation publique. 

 
La démarche conduit à mettre en place une certification des entreprises offreuses de services d’hébergement de données de santé (celle-ci étant cependant distinguée en deux niveaux : fourniture d’environnement d’hébergement seul ou environnement d’hébergement et exploitation de la couche applicative).

Cette certification aura un caractère plus générique, sur la base des seules responsabilités de l’hébergeur, celles-ci étant distinguées de celles du responsable de traitement (ses responsabilités étant identiques qu’il héberge lui-même ses applications ou qu’il ait recours à un hébergeur).

 
Le référentiel de certification des hébergeurs de données de santé est publié aujourd’hui dans le cadre d’une concertation publique (documents en téléchargement au bas de cette page).

Vous pouvez nous faire parvenir vos remarques en adressant la fiche de relecture prévue à cet effet, à l’adresse : agrement-concertation@sante.gouv.fr .

Cette période de concertation prendra fin le 31 octobre 2016.


Les conditions d’hébergement  de données de santé à caractère personnel sont encadrées par l’article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé :
  • toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte d'un tiers, doit être agréée à cet effet ;
  • l’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime.
La procédure actuelle d’agrément s’applique service par service et conduit à examiner soit un service générique d’hébergement au sens strict (pouvant aller jusqu’à l’agrément d’une salle blanche), soit un service combinant une application et son exploitation.





Photo : © WavebreakmediaMicro - Fotolia.com