Hébergement : FAQ

Sécurité | 24 Mai 2016
 

FAQ sur le référentiel de constitution des dossiers de demande d’agrément.

Cette FAQ est régulièrement mise à jour pour répondre, au fil de l’eau, aux questions posées par les demandeurs d’agrément.  Si vous ne trouvez pas la réponse à votre question dans cette FAQ, nous vous proposons de poser votre question relative à l' hébergement de données de santé à :  
Contact-Agrement-Hebergeurs@sante.gouv.fr

Q1 - Quel est le cadre juridique de l’agrément ?

 

Q2 - Quel droit pour les personnes concernées par les données de santé hébergées ?  

 

Q3 - Quel est le champ d’application de la procédure d’agrément ?

 

Q3 bis - La procédure d’agrément s’applique-t-elle aux établissements de santé ?

 

Q3 ter - Est-ce que les GCS sont soumis à la procédure d’agrément ?

 

Q4 - Une société est-elle agréée pour l’ensemble de ses activités ? 

 

Q5 – Si je lance un appel d’offres pour un système d’information nécessitant un volet hébergement de données de santé à caractère personnel, à quel moment faut-il exiger de mon prestataire de service qu’il soit agréé comme hébergeur ?

 

Q6 - Comment se positionnent les traitements de contrôle d’accès aux données vis-à-vis de la procédure d’agrément ?

 

Q7 – La confidentialité des informations présentes dans les dossiers de demandes d’agrément transmis par les candidats est-elle respectée ?

 

Q8 – Quels sont les sous-traitants devant être déclarés ?

 

Q9 – A partir de quelle durée de conservation des données de santé à caractère personnel un prestataire de service est-il considéré comme hébergeur ?

 

Q10 - Comment peuvent se répartir les responsabilités de couverture des obligations du décret ?

 

Q11 – Les données de santé doivent-elles nécessairement être hébergées sur le territoire français ?

 

Q11 bis – Une société étrangère et/ou basée en dehors du territoire français peut-elle déposer une demande d’agrément pour héberger des données de santé à caractère personnel ?

 

Q11 ter – Dans quels cas une société basée en dehors du territoire français doit-elle déposer une demande d’agrément pour héberger des données de santé à caractère personnel ?

 

Q12 – Quel est le statut du « médecin de l'hébergeur » ?

 

Q13 – Quelle distinction peut-on faire entre anonymisation et chiffrement des données de santé ?

 

Q14 - Les avis du Comité d'agrément sont-ils publics ?

 

Q15 - En matière d'analyse de risques est-il utile de se référer à la norme 27005 ?

 

Q16 - Quelles sont les procédures particulières à prévoir lorsque l’hébergement ne porte que sur des données chiffrées par le client ?

 

Q17 - Le responsable du traitement de données de santé peut –il déposer les données de santé auprès d’un éditeur de logiciel non agréé ?

 

Q18 - Puis-je héberger des données de santé à caractère personnel sur une infrastructure de type Cloud computing ?

 

Q19 - Quels éléments doit comporter l’audit externe qu’est tenu de réaliser tout hébergeur en cas de demande de renouvellement de son agrément ?

 

Q20 - Dans quelles conditions est-il possible d’héberger un service de messagerie sécurisée de santé (MSSanté) ?

 

Q21 - Que dois-je décrire dans mon dossier de demande d’agrément pour pouvoir héberger des applications prévoyant un accès direct du patient à l’application ?

 

Q22 - Comment l’agrément délivré par le ministre de la santé pour l’hébergement de données de santé à caractère personnel s’articule-t-il avec l’agrément pour la conservation d’archives publiques sur support numérique délivré par le ministre de la culture ?

 

Q23 - Compte tenu des modifications de la procédure d’agrément mentionnées à l’article 204 de la loi de modernisation de notre système de santé du 26 janvier 2016 les hébergeurs doivent-ils encore déposer des demandes d’agrément ?
 

Q24 – Les prestations de « salle blanche » ou « hébergement sec » sont-elles couvertes par la procédure d’agrément ?
 

Q1 - Quel est le cadre juridique de l’agrément ?

 
Le cadre législatif de l'activité d'hébergement de données de santé à caractère personnel est fixé par l’article L. 1111-8 du code de la santé publique ( issu de loi n° 2002-303 du 4 mars 2002 relative aux droits des patients et modifié en dernier lieu par la loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé).
 
Ces dispositions ont pour objectif d’organiser et d’encadrer le dépôt, la conservation et la restitution des données de santé à caractère personnel, dans des conditions propres à garantir leur confidentialité et leur sécurité.

Le service et les conditions d’hébergement offerts doivent être définis dans un (ou des) contrat(s) établi(s) entre le prestataire hébergeur et les déposants : professionnel ou établissement de santé ou personne concernée par les données.

Pour mémoire, les termes de la loi définissent que « [….] Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que celles qui les leur ont confiées».

Le décret n°2006-6 du 4 janvier 2006 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique.

L’agrément est délivré après une évaluation des capacités des candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.
 
Le décret  n° 2011-246 du 4 mars 2011 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support papier.
Voir ci-dessous en bas de page la note sur les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support papier.

Les questions de la présente FAQ sont relatives à la procédure d’agrément à l’hébergement de données de santé à caractère personnel sur support informatique.
 

Q2 - Quel droit pour les personnes concernées par les données de santé hébergées ?

 
La loi précise que l'hébergement de données de santé à caractère personnel «[…]est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. »
 
La loi de modernisation de notre système de santé du 26 janvier 2016 a remplacé le consentement exprès de la personne concernée à l’hébergement externalisé de ses données de santé par l’information et la possibilité pour cette dernière de s’y opposer pour des motifs légitimes.
 
Cette modification s’inscrit dans le prolongement des différentes dérogations au recueil du consentement à l’hébergement des données de santé posées par l’ancien article L.1111-8 et la loi « Fourcade » du 10 août 2011[1].
 
En outre, chaque responsable de traitement est tenu de s’assurer de l’effectivité des droits des personnes concernées par les données de santé dans le respect de la loi 78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés et des dispositions du code de la santé publique.

[1] Loi 2011-940 du 10 août 2011 modifiant certaines dispositions de la loi 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires
 

Q3 - Quel est le champ d’application de la procédure d’agrément ?  

 
L’article L.1111-8 du code de la santé publique dispose que « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet.[…]» .
 
L’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel « recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social » qui souhaiterait en confier la conservation à un tiers.
 
Lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social conserve par ses propres moyens.lesdites données, il n’est pas soumis à l’agrément prévu à l’article L.1111-8 du code de la santé publique (il reste toutefois tenu, au titre de l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »). En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet.
 
  Retour au Sommaire

Q3 bis - La procédure d’agrément s’applique-t-elle aux établissements de santé ?

 
Les établissements de santé tiennent à jour un dossier hospitalier pour chaque patient pris en charge. Ces dossiers sont conservés pendant 20 ans à compter du dernier séjour du patient dans l’établissement. Ils peuvent être conservés au sein de l’établissement de santé ou confiés à un hébergeur agréé.
Si l’établissement héberge lui-même les dossiers hospitaliers, il n’a pas besoin d’obtenir un agrément. En revanche, si l’établissement met son système d’hébergement au service d’autres établissements de santé, il est soumis à la procédure d’agrément.

Il en est de même pour les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières …) qui mettent à disposition de leurs membres leur système d’hébergement : ils sont soumis à la procédure d’agrément.
 
  Retour au Sommaire

Q3 ter - Est-ce que les GCS sont soumis à la procédure d’agrément ? 

 
Le GCS (groupement de coopération sanitaire) de moyens est un outil de mutualisation. Il constitue le prolongement de ses membres et agit en conséquence pour leur compte, dans la limite des missions qui lui sont confiées. En tout état de cause, le GCS est une personne morale distincte de ses membres et a bien la qualité de tiers par rapport à ces derniers.

Si le GCS de moyens a notamment pour finalité la mutualisation d’un système d’information de santé qui permettra à ses membres de traiter des données de santé à caractère personnel, nous sommes bien dans le cas où les établissements de santé membres du GCS lui confient la conservation de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins. 

Dès lors, une alternative s’offre au GCS 
  • Déposer lui-même un dossier de demande d’agrément à l’hébergement de données de santé à caractère personnel.
  • Faire appel à un hébergeur de données de santé à caractère personnel agréé par le ministre en charge de la santé. 
Lorsqu'il est titulaire d'une ou plusieurs autorisations d'activités de soins, un GCS est érigé en établissement de santé (article L.6133-7 du code de la santé publique) et est donc lié juridiquement aux patients pris en charge. Lorsque le GCS « établissement de santé » héberge les données des patients pris en charge, il n’est pas tenu d’être agréé pour l’hébergement de données de santé. Toutefois, en sa qualité de responsable de traitements, il doit notamment respecter les dispositions de l’article 34 de la loi « Informatique et Libertés » relatives aux mesures de sécurité à mettre en œuvre.

Le GCS « établissement de santé » peut également décider d’externaliser la conservation des données de santé des patients auprès d’un hébergeur agréé à cet effet.

Q4 - Une société est-elle agréée pour l’ensemble de ses activités ?

L’agrément est délivré par type de prestation d’hébergement de données de santé définie dans le modèle de contrat d’hébergement joint au dossier de demande d’agrément. Le périmètre de la prestation doit être clairement présenté. L’hébergeur peut offrir plusieurs niveaux de services mais ne peut présenter une prestation de type « catalogue de services » qui ne permettrait pas d’apprécier les engagements minimums de l’hébergeur dans le respect des exigences définies par le décret 2006-6 du 4 janvier 2006.
 
En outre, les dispositions de sécurité présentées dans le dossier de demande d’agrément doivent être cohérentes avec le périmètre de la prestation d’hébergement de données de santé définie dans le modèle de contrat d’hébergement.
 
A titre d’exemple, certains hébergeurs sont agréés pour l’hébergement de données de santé collectées au moyen d’une application nominativement désignée dans le dossier de demande d’agrément et d’autres sont agréés pour l’hébergement de données de santé collectées au moyen des applications de santé fournies par les clients et installées sur la plateforme technique d’hébergement proposée, exploitée et maintenue par l’hébergeur.
 
L’agrément est ainsi délivré pour un modèle de contrat et non pour l’ensemble des activités de l’hébergeur.
 

Q5 - Si je lance un appel d’offres pour un système d’information nécessitant un volet hébergement de données de santé à caractère personnel, à quel moment faut-il exiger de mon prestataire de service qu’il soit agréé comme hébergeur ?

 
Dans le cadre d’un appel d’offres pour un système d’information nécessitant un volet hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à la procédure d’agrément prévue par l’article L1111-8 du CSP et son décret d’application n°2006-6 du 4 janvier 2006.
Aussi, le titulaire du marché doit obtenir l’agrément avant l’hébergement des premières données de santé personnelles « réelles » (ie. la mise en exploitation de l’applicatif de gestion et d’hébergement de données de santé à caractère personnel).
L’agrément est délivré pour une durée de trois ans renouvelable après dépôt d’une demande déposée au plus tard six mois avant le terme de la période d’agrément.
Si le titulaire du marché perd son agrément (retrait ou non renouvellement) en cours d’exécution du marché, le marché devra être résilié.

Q6 – Comment se positionnent les traitements de contrôle d’accès aux données vis-à-vis de la procédure d’agrément ?

 
Le prestataire de service d’hébergement doit évidemment mettre en œuvre un contrôle d’accès. Toutefois le périmètre du contrôle d’accès entrant dans le champ de la procédure d’agrément se limite à l’authentification de l’identité des personnes déclarées dans le contrat d’hébergement.

Si un promoteur de SIS souhaite mettre en œuvre un contrôle d’accès avec un niveau de granularité plus fin ou des critères différents (spécialités des PS par exemple), ce contrôle d’accès est exclu du champ de l’agrément et doit-être considéré comme un traitement applicatif entrant dans le champ de la loi Informatique et Libertés (même si traitement de contrôle d’accès complémentaire sont assurés par l’hébergeur ).

Q7 – La confidentialité des informations présentes dans les dossiers de demandes d’agrément transmis par les candidats est-elle respectée ?

 
Le ministère chargé de la santé garantit la confidentialité absolue des formulaires et documents complémentaires constituant les dossiers des demandes d’agrément qu’il réceptionne. Des dispositions adaptées sont mises en œuvre tout au long du processus d’analyse des dossiers par l’ensemble des acteurs impliqués dans cette instruction.

Q8 – Quels sont les sous-traitants devant être déclarés ?

 
L’hébergeur doit déclarer tous les sous-traitants qui, par les missions qui leur sont dévolues, ont accès aux données de santé à caractère personnel. Le sous-traitant doit apporter un niveau de garantie équivalent à celui de l’hébergeur principal. Ces exigences de confidentialité et de sécurité doivent notamment apparaître dans les clauses des différents contrats que l’hébergeur agréé passe avec ses sous-traitants.

En revanche, les sous-traitants qui ne participent pas directement à l’activité d’hébergement et ne contribuent pas à la sécurité informatique ou physique des données ne doivent pas être déclarés.

Q9 – A partir de quelle durée de conservation des données de santé à caractère personnel un prestataire de service est-il considéré comme hébergeur ?

 
L'article 4 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, établit que les dispositions de cette loi « ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises ».

Si on transpose cette exclusion au contexte de l'agrément des hébergeurs de données de santé à caractère personnel, les prestataires qui proposent des services de type réseau de télécommunication, pour lesquels la durée du stockage des informations est limitée à la traversée des équipements actifs des réseaux sans mise en œuvre de traitement de niveau applicatif, ne sont pas considérés comme entrant dans le champ de la procédure.
 

Q10 - Comment peuvent se répartir les responsabilités de couverture des obligations du décret ?

 
Un candidat à l’agrément des hébergeurs de données de santé doit couvrir, dans son dossier de demande, toutes les obligations qui sont définies dans le décret.

Pour ce faire, il peut décider de répondre lui-même à l’ensemble des exigences. Il peut également choisir de reporter la couverture de certaines d’entre-elles sur ses clients (par des clauses contractuelles spécifiques dans ses contrats types) ou sur ses sous-traitants (au travers des termes des contrats qu’il passe avec ces derniers). Dans ce dernier cas les clients doivent être informés de l’étendu des responsabilités sous-traitées.

Ainsi la responsabilité du contrôle d’accès aux données de santé peut être dévolue au client, sous réserve que celui-ci soit bien informé de ses obligations en la matière.

L’hébergeur exerce en ce sens un devoir de conseil vis-à-vis du client. S’il ne prend pas la responsabilité de l’ensemble de la prestation d’hébergement, il se doit de conseiller le client sur les procédures internes à mettre en place.
 

Q11 –  Les données de santé doivent-elles nécessairement être hébergées sur le territoire français ?

 
Le contrat d’hébergement ainsi que le dossier de demande d’agrément indiquent le(s) lieu(x) où sont hébergées les données.      

Rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français, sous réserve du respect des dispositions de la loi Informatique et Libertés, relatives aux transferts de données à caractère personnel (articles 68 et 69), rappelées ci-dessous.
 
La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données du Parlement européen et du Conseil établit un cadre de protection des données à caractère personnel équivalent à l’ensemble des pays membres de l’Union européenne. Cette directive a été transposée en France par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi Informatique et Libertés.  
(Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE– Le Règlement dispose que la directive 95/46/CE est abrogée avec effet au 25 mai 2018.)
       
Le transfert de données de santé à caractère personnel vers un pays tiers à l’Union européenne est en principe interdit. Cependant, les articles 68 et 69 de la loi Informatique et Libertés rendent ce transfert possible au travers de mécanismes permettant de s’assurer du niveau de protection adéquat des données :
  • La Commission européenne a reconnu comme présentant un niveau de protection adéquat, les pays suivants : Andorre, Canada, Suisse, Argentine, Nouvelle-Zélande, Israël, Uruguay, îles Féroé, territoires de Guernesey, de Jersey et de l’Isle de Man.
     
  • Les Binding Corporate Rules (BCR) ou règles internes d’entreprises : règles adoptées au sein d’un groupe  multinational. Les BCR doivent revêtir un caractère contraignant et être respectées par les filiales du groupe.
     
  • Les Clauses Contractuelles Types : ce sont des modèles de clauses contractuelles adoptées par la Commission européenne permettant d’encadrer les transferts de données à caractère personnel. Ces modèles sont notamment disponibles à l’adresse suivante : http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/contrats-types-de-la-commission-europeenne/
     
  • Le Safe Harbor : Par une décision du 6 octobre 2015, la CJUE a considéré comme invalide la décision de la Commission européenne établissant le Safe Harbor. Pour rappel, le Safe Harbor concernait les entreprises importatrices de données situées aux Etats-Unis. Le Safe Harbor est un ensemble de principes de protection des données personnelles négociées par les autorités américaines et la Commission européenne en 2001. Selon ces principes, les entreprises adhérentes au Safe Harbor étaient considérées comme assurant un niveau de protection adéquat des données à caractère personnel lors du transfert.

    Des travaux sont en cours : décision d’adéquation sur Privacy Shield. Pour plus d’info consulter le lien suivant : https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield

Q11 bis – Une société étrangère et/ou basée en dehors du territoire français peut-elle déposer une demande d’agrément pour héberger des données de santé à caractère personnel ?

 
L’agrément peut être octroyé tant à une société française et/ou établie en France qu’à une société étrangère et/ou établie à l’étranger. Les dispositions des articles L.1111-8 et R 1111-9 et suivants du code de la santé publique s’appliquent aux données de santé à caractère personnel produites ou recueillies en France. Aucune disposition du code de la santé publique ne conditionne l’application du régime d’agrément à la situation géographique de l’hébergeur. Toute société étrangère et/ou établie à l’étranger peut donc déposer un dossier de demande d’agrément.    

Q11 ter – Dans quels cas une société basée en dehors du territoire français doit-elle déposer une demande d’agrément pour héberger des données de santé à caractère personnel ?

 
Si l’hébergement des données de santé à caractère personnel, recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins, est confié à un prestataire tiers, ce tiers doit être agréé pour l’hébergement de données de santé à caractère personnel, qu’il soit situé en France ou à l’étranger.
 
En effet, le responsable de traitement (par exemple, structures de soins, structures médico-sociales, professionnels de santé, etc.) situé en France qui confie ses données de santé à un prestataire situé en dehors du territoire français (sous-traitant au sens de l’article 35 de la loi Informatique et Libertés) devra, en application des dispositions de la loi Informatique et Libertés et de l’article L 1111-8 du code de la santé publique, s’assurer que cet hébergeur possède l’agrément nécessaire pour effectuer cet hébergement.
 
Ainsi, un hébergeur situé en dehors du territoire français se verra tenu d’obtenir un agrément.
 
Cette obligation sera notamment précisée dans le contrat liant l’hébergeur et le responsable de traitement, en application de l’article 35 de la loi informatique et libertés, qui dispose que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable de traitement ».     
 

Q12 – Quel est le statut du « médecin de l'hébergeur » ?

 
Une des exigences du décret n° 2006-6 du 4 janvier 2006 dans son article R. 1111-9-6 est la présence d'un médecin dans l'organisation candidate à l'agrément.

Il découle de cette exigence que ce médecin doit être inscrit à l’Ordre des médecins.

Comme cela est le cas pour tous les médecins inscrits à l’Ordre, le contrat de travail liant ce médecin au candidat à l’agrément doit obligatoirement être transmis au Conseil Départemental de l’Ordre des Médecins. Le contrôle des contrats est une mission classique de l'Ordre qui vise à vérifier, notamment, que les médecins ne sacrifient pas l'indépendance de leur jugement. A cet égard, retenir le médecin du travail de la société hébergeur n’apparaît pas opportun.

Ce médecin peut exercer dans un pays tiers où les données sont hébergées, en vertu du principe de reconnaissance des diplômes. Dans cette hypothèse, il doit pouvoir s’exprimer en Français et son contrat, rédigé en langue française doit être transmis avec la demande d’agrément.

Le « médecin de l’hébergeur » doit être lié contractuellement avec celui-ci, mais il n’est pas obligatoirement un salarié de l’entreprise. Le contrat peut être un contrat de prestation de service, dès lors qu'il existe des clauses d'interdiction d'exercice d'activités incompatibles : médecin des assurances ou médecin du travail par exemple.
 
Le conseil national de l’ordre des médecins a établi un modèle de contrat-type « médecin de l’hébergeur » :
https://www.conseil-national.medecin.fr/article/contrat-cadre-type-entre-un-medecin-et-un-hebergeur-de-donnees-personnelles-de-sante-1057
 


  Q13– Quelle distinction peut-on faire entre anonymisation et chiffrement des données de santé ?

 
L’anonymisation est une technique permettant de faire disparaître d’un document toute référence à la personne concernée par les données (nom, numéro de sécurité sociale, INS, adresse …). L’anonymisation peut être irréversible c’est-à-dire qu’il devient impossible de revenir à l’identité de la personne soit directement, soit indirectement. Le contrôle de la CNIL porte alors sur la technique d’anonymisation retenue. L’anonymisation peut aussi être réversible. Dans ce cas, la base de données reste soumise au contrôle de la CNIL et si elle est hébergée, à la nécessité d’obtenir pour l’hébergeur un agrément au titre du décret du 4 janvier 2006.

Le chiffrement est une technique qui consiste à rendre illisible un document pour celui qui ne détient pas la clef de déchiffrement. Différentes techniques de chiffrement plus ou moins sophistiquées existent. Mais, le chiffrement ne remet pas en cause le statut de la donnée au regard de la loi Informatique et Libertés. En conséquence, une base de données à caractère personnel chiffrées reste soumise au contrôle de la CNIL et si elle est hébergée, à la nécessité pour l’hébergeur d’obtenir un agrément, nonobstant le caractère directement ou indirectement nominatif des données concernées.
 
 

Q14 - Les avis du Comité d'agrément sont-ils publics ?

 
Les avis du Comité d'agrément ne sont pas publics. En effet, le Comité se prononce au regard d'éléments fournis par des entreprises et établissements publics dont le caractère confidentiel doit être préservé. Par ailleurs, les avis du Comité d'agrément, comme les avis de la CNIL, ne lient pas le ministre de la Santé qui prend la décision d'agrément.

En application de la loi du 11 juillet 1979 modifiée, les motifs d'un éventuel refus d'agrément sont communiqués au candidat.

Par ailleurs un candidat peut avoir accès à son dossier, conformément à la loi du 17 juillet 1978 relative à la communication des documents administratifs.

Si les avis du comité d'agrément ne sont pas publics, sa doctrine est diffusée au public, à travers la présente foire aux questions, une note de doctrine et un rapport d'activité qui seront publiés au 4ème trimestre de l'année 2010.

Q15 - En matière d'analyse de risques est-il utile de se référer à la norme 27005 ?

 
Lors de la concertation qui a précédé la relance de la procédure d'agrément des hébergeurs, les opérateurs du secteur de la santé ont fait savoir qu’ils ne souhaitaient pas se voir imposer par les pouvoirs publics une méthodologie particulière Aucune référence à une norme n’est donc imposée aux candidats.

Le RGS v1.0 recommande l'utilisation de la méthodologie EBIOS qui est conforme à la norme ISO 27005.

Si l’utilisation d’une méthodologie respectant la norme ISO 27005 ne garantit pas, à elle seule, que le candidat satisfait aux exigences du décret, cette démarche le place dans de bonnes conditions pour atteindre cet objectif. Le résultat final est fonction de la qualité du travail accompli en appliquant la méthode.
 
Lien courriel pour nous adresser vos questions : contact-agrement-hebergeurs@sante.gouv.fr

Q16 - Quelles sont les procédures particulières à prévoir lorsque l’hébergement ne porte que sur des données chiffrées par le client ?

 
Certains hébergeurs exigent que les données leur soient transmises chiffrées par le client. Cette procédure pose un problème quant à la garantie de l’intégrité des données. En effet, le médecin de l’hébergeur doit pouvoir accéder aux données en clair, lorsque c’est nécessaire à l’exercice de sa mission. Pour ce faire deux solutions sont proposées :
  • soit le client fournit à l’hébergeur des clés de déchiffrement;
  • soit l’hébergeur fournit lui-même au client la formule de chiffrement ou déchiffrement.
Lorsqu’aucune de ces solutions n’est prévue, le contrat d’hébergement doit prévoir que le médecin de l’hébergeur accède aux données de santé en clair sur les serveurs du client.

Q17 - Le responsable du traitement de données de santé peut –il déposer les données de santé auprès d’un éditeur de logiciel non agréé ?

 
a) L’hébergement de données de santé à caractère personnel ne peut être effectué que par un organisme agréé hébergeur au sens de la l’article L 1111-8 du code de la santé publique et du décret 2006-6 du 4 janvier 2006.

b) Si l’éditeur retenu par le professionnel de santé ou l’établissement de santé héberge les données ainsi déposées, il doit satisfaire aux conditions d’agrément prévues part les textes.

Il peut également confier cette prestation d’hébergement d’applications en mode SaaS (ou équivalent)  à un organisme tiers agréé hébergeur de données de santé à caractère personnel pour la même famille de service (service en mode SaaS).

Le contrat d’hébergement conclu entre l’éditeur de logiciels et l’hébergeur agréé doit garantir le respect d’obligations énoncées à l’article R 1111-13 du code de la santé publique (article issu du décret 2006-6 du 4 janvier 2006) relatif au contrat d’hébergement et notamment prévoir les modalités de recueil du consentement de la personne concernée par les données de santé hébergées.
Le contrat conclu entre l’éditeur de logiciel et le professionnel de santé ou l’établissement de santé devra notamment mentionner que le logiciel objet du contrat et les données de santé  gérées par le logiciel sont hébergés chez un hébergeur agréé ; l’étendue de la prestation pour laquelle l’hébergeur a été agréé, la nécessité de recueillir le consentement de la personne concernée à l’hébergement et  les modalités d’accès des professionnels de santé aux données de santé.
 

Q18 - Puis-je héberger des données de santé à caractère personnel sur une infrastructure de type Cloud computing ?


Rien ne s’oppose à ce que des données de santé à caractère personnel soient hébergées sur une infrastructure de type Cloud computing, à condition que d’une part l’hébergement physique du Cloud computing  respecte la réglementation de protection des données de santé à caractère personnel lorsque l’hébergement de telles données a lieu en dehors du territoire français (Voir la question 13) et que d’autre part, l’hébergement au sein de cette infrastructure de type Cloud computing réponde à toutes les exigences sécuritaires du décret hébergeur.
 

 Q19 - Quels éléments doit comporter l’audit externe qu’est tenu de réaliser tout hébergeur en cas de demande de renouvellement de son agrément ?


En cas de demande de renouvellement de son agrément, l’hébergeur doit adresser un dossier devant contenir les informations financières mises à jour, les moyens mis en œuvre pour prendre en compte les recommandations émises par le ministre en charge de la santé au moment de l’agrément initial, la liste des modifications intervenues depuis la dernière demande d’agrément et les résultats d’un audit externe.

Cet audit externe est réalisé aux frais de l’hébergeur et doit attester de la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l’article R 1111-14 du code de la santé publique.

Le prestataire d’audit est au libre choix de l’hébergeur, qui pourra utilement se référer au référentiel de qualification publié par l’ANSSI, notamment dans ses volets audit d’architecture, audit de configuration et audit organisationnel et physique (http://www.ssi.gouv.fr/entreprise/qualifications/qualifications-de-prestataires/).

Le périmètre de l’audit doit couvrir :
  • la conformité des moyens mis en œuvre par l’hébergeur au regard de son dossier d’agrément et des rapports d’auto-évaluation subséquents ;
  • la conformité des moyens mis en œuvre au regard des exigences du décret en tenant compte des évolutions réglementaires et de l’état de l’art depuis son dossier initial ;
  • la prise en compte des éventuelles recommandations qui lui auraient été notifiées lors de son agrément initial et des rapports d’auto-évaluation,

Conformité des moyens aux éléments du dossier d’agrément
L’audit doit vérifier que les moyens techniques, les processus pour garantir la sécurité et confidentialité des données de santé et les reports contractuels de certaines exigences sur le client ou d’éventuels sous-traitants, présentés dans le dossier de demande d’agrément initial et les rapports d’auto évaluation, sont effectivement mis en œuvre.

Conformité des moyens au regard des exigences du décret et des évolutions de l’état de l’art
L’audit doit assurer que le dossier de demande de renouvellement reste conforme aux exigences du décret et tient compte des évolutions du cadre juridique et de l’état de l’art intervenues depuis son agrément initial.

Prise en compte des recommandations
L’audit doit également prendre en compte les recommandations majeures qui accompagnaient la décision d’agrément et indiquer ce qui a ou non été mis en place par l’hébergeur pour les respecter.
Les recommandations émises par le ministre en charge de la santé au moment de l’agrément initial ne sont pas exhaustives et un certain nombre d’autres points d'attention peuvent subsister. Il convient de rappeler aux hébergeurs que le courrier de notification de décision favorable d’agrément précise que les services de l’ASIP Santé (qui assure le secrétariat du CAH et la pré-instruction des dossiers de demande d’agrément pour le compte du CAH) se tiennent à la disposition des candidats pour leur apporter toute information complémentaire. L’ensemble des points d’attention, même mineurs, peuvent donc être transmis à l’hébergeur si celui-ci en fait la demande et ce, dans une perspective d’amélioration de son service.

L’audit externe doit vérifier la mise n contrat d’hébergement que son service n’assure pas « l’archivage à valeur probante » des données qui y sont stockées. Il lui appartient à tout le moins, au titre du devoir de conseil, d’attirer l’attention de ses clients « producteurs d’archives publiques[7]  » sur leurs obligations en matière de gestion des archives, et le cas échéant de leur recommander, suivant leur besoin, d’utiliser dès la production des documents numériques une solution d’archivage électronique à valeur probante garantissant l’authenticité des documents pendant toute leur durée de conservation.

Pour rappel, l’externalisation de données de santé ayant statut d’archives publiques, nécessite en tout état de cause l’accord de l’administration des archives exerçant le contrôle scientifique et technique de l’Etat sur les archives publiques concernées, conformément aux articles R 212-19 à 22 du code du patrimoine.

   

20 - Dans quelles conditions est-il possible d’héberger un service de messagerie sécurisée de santé (MSSanté) ?

 

Dans la mesure où un service de messagerie sécurisée de santé assure l’échange de données de santé à caractère personnel, l’opérateur qui offre le service de messagerie doit également organiser la conservation des données de santé échangées par les utilisateurs de son service. Cette conservation doit être réalisée dans le respect des dispositions de l’article L 1111-8 du code de la santé publique et du décret 2006-6 du 4 janvier 2006 relatives à l’hébergement de données de santé à caractère personnel.

Selon les cas, l’hébergement des données de santé échangées via le service de messagerie sécurisée de santé peut être réalisé par l’opérateur lui-même ou par un prestataire tiers choisi par l’opérateur.

En tout état de cause , pour pouvoir héberger un service de messageries sécurisées de santé, l’hébergeur (opérateur ou prestataire de l’opérateur) doit être titulaire d’un agrément couvrant une telle prestation :
  • soit l’hébergeur est agréé pour l’hébergement d’applications de types messagerie sécurisées de santé et prévoyant l’obligation pour le professionnel de santé d’utiliser un moyen d’authentification forte par carte CPS ou tout autre dispositif équivalent pour accéder aux données de santé ;
  • soit l’hébergeur est agréé pour une prestation dite « générique » lui permettant d’héberger des applications contenant des données de santé à caractère personnel et prévoyant l’obligation pour le professionnel de santé d’utiliser un moyen d’authentification forte par carte CPS ou tout autre dispositif équivalent pour accéder aux données de santé.
 

Q21 - Que dois-je décrire dans mon dossier de demande d’agrément pour pouvoir héberger des applications prévoyant un accès direct du patient à l’application ?

Au regard du caractère sensible des données de santé à caractère personnel, l’accès de tout acteur aux données de santé doit être réalisé de façon sécurisée (article L 1110-4 du code de la santé publique qui dispose que le patient a droit au respect de sa vie privée et du secret des informations la concernant).

Le dossier de demande d’agrément doit décrire les modalités d’identification et d’authentification du patient.

1- Identification 
Le dossier de demande d’agrément doit préciser les moyens mis en œuvre pour réaliser l’enrôlement du patient.
Les procédés suivis doivent notamment assurer l’attribution du bon identifiant au bon patient afin d’éviter les doublons et les risques de collisions entre des dossiers de différents patients.

Lorsque l’hébergeur n’est pas en lien direct avec le patient, il doit clairement définir les principes que s’engage à respecter son client afin de garantir l’identification du patient.

2- Authentification 
Il est impératif d’utiliser un moyen d’authentification forte afin de préserver la sécurité des accès.
Plusieurs moyens d’authentification forte peuvent être mis en œuvre par l’hébergeur ou son client.

A titre d’exemple, voici quelques moyens qui peuvent être retenus.
1- Utilisation d’un identifiant/passe associé à un mot de passe à usage unique (OTP = One Time Password) envoyé par mail ou SMS.

Le dossier de demande d’agrément doit préciser :
  • Qui délivre le mot de passe au patient et par quel procédé (le mot de passe doit être personnalisé par le patient lors de la première connexion à l’application) ?
  • Qui recueille les informations relatives au canal de transmission de l’OTP (adresse mail ou numéro de téléphone mobile) ?
2- Utilisation d’un certificat électronique de type carte à puce

Le dossier de demande d’agrément doit préciser :
  • Les moyens de protection du certificat (code pin, biométrie, etc.).
  • Qui délivre le certificat au patient et comment ?
Lorsque l’hébergeur n’est pas en lien direct avec le patient, il doit clairement définir les principes que s’engage à respecter son client afin de garantir l’authentification forte du patient.
 
 

Q22 - Comment l’agrément délivré par le ministre de la santé pour l’hébergement de données de santé à caractère personnel s’articule-t-il avec l’agrément pour la conservation d’archives publiques sur support numérique délivré par le ministre de la culture ?

La présente réponse concerne les données de santé à caractère personnel des structures de soins de droit public ou de droit privé chargées d’une mission de service public. Produites ou collectées dans le cadre de leurs missions, ces données sont des « archives publiques » au sens du code du patrimoine (art. L 211-4 du code du patrimoine) et sont donc soumises aux dispositions du livre II de ce code [1] , notamment à celles qui ont trait aux modalités d’externalisation de leur conservation (art. R212-19 à 31). À titre d’exemple, les dossiers médicaux de ces établissements, sont des archives publiques qui contiennent des données de santé et sont donc concernés par le présent point.

Rappel des textes


L’article L 1111-8 du code de la santé publique dispose que «  Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. »
 Les conditions d’hébergement de données de santé à caractère personnel sur support informatique ont été précisées par le décret 2006-6 du 4 janvier 2006 (codifié aux articles R 1111-9 à R 1111-15-1 du code de la santé publique). Cet agrément est délivré par le ministre en charge de la santé après avis de la Commission nationale de l’informatique et des libertés (CNIL) et le Comité d’agrément des hébergeurs (CAH-organe consultatif créé par le décret précité).

S’agissant des données de santé sur support papier, leurs conditions d’hébergement ont été définies par le décret 2011-246 du 4 mars 2011 (codifié aux articles R 1111-16 et 16-1 du code de la santé publique). Ce décret dispose que l’agrément est délivré par le ministre en charge de la culture et renvoie à la procédure d’agrément pour la conservation de toutes les archives publiques, quelle qu’en soit la nature (articles R212-23 à 26 du code du patrimoine)[2] .
 
 

Possibilité d’externaliser la conservation d’archives publiques contenant des données de santé


L’article L.212-4, II, du code du patrimoine donne à tout établissement public ou privé chargé d’une mission de service public la possibilité d’externaliser la conservation des données collectées à l’occasion de l’exercice de ses missions. Cette possibilité s’applique uniquement pour la conservation d’archives « courantes et intermédiaires [3]  » (quel qu’en soit le sort final prévu), à l’exclusion des archives « définitives »[4] , sous réserve d’être déposées auprès d’un prestataire tiers agréé à cet effet par le ministère de la culture (Service Interministériel des Archives de France).

Pour l’externalisation de la conservation des données de santé qui ont un statut d’archives publiques, l’article L.212-4, II précité renvoie aux dispositions de l’article L.1111-8 du code de la santé publique et consacre ainsi un régime particulier pour cette catégorie d’archives publiques. Le dépôt de ces données doit ainsi être confié à un prestataire agréé conformément aux dispositions suivantes :
  • S’il s’agit de données de santé sur support papier, leur hébergement doit être confié à un prestataire agréé par le ministre en charge de la culture (décret 2011-246).
  • S’il s’agit de données de santé numériques, les compétences du ministre de la culture et du ministre de la santé ont été partagées de la façon suivante.
    • Sans préjudice de l’agrément du ministère de la Santé, le ministre de la culture est compétent pour agréer les hébergeurs qui proposent des prestations « d’archivage à valeur probante »[5]
    • Le ministre de la santé est seul compétent pour agréer les autres types de prestations d’hébergement[6]  de données de santé numériques (décret 2006-6).
Concrètement, si l’hébergeur de données de santé propose, intégrée à son offre, une prestation « d’archivage numérique à valeur probante », le ministère de la Culture instruira une demande d’agrément telle que prévue aux articles R212-23 à 27 du Code du patrimoine, en complément de la procédure d’agrément du ministère de la Santé.

En revanche, si l’hébergeur ne met pas lui-même en œuvre une telle prestation, il doit indiquer dans son contrat d’hébergement que son service n’assure pas « l’archivage à valeur probante » des données qui y sont stockées. Il lui appartient à tout le moins, au titre du devoir de conseil, d’attirer l’attention de ses clients « producteurs d’archives publiques [7]  » sur leurs obligations en matière de gestion des archives, et le cas échéant de leur recommander, suivant leur besoin, d’utiliser dès la production des documents numériques une solution d’archivage électronique à valeur probante garantissant l’authenticité des documents pendant toute leur durée de conservation.

Pour rappel, l’externalisation de données de santé ayant statut d’archives publiques, nécessite en tout état de cause l’accord de l’administration des archives exerçant le contrôle scientifique et technique de l’Etat sur les archives publiques concernées, conformément aux articles R 212-19 à 22 du code du patrimoine.

[1] Voir la synthèse établie par le Référentiel général de gestion des archives : http://www.gouvernement.fr/gouvernement/le-delegue-et-le-comite-interministeriel-aux-archives-de-france-3
[2] L’agrément pour l’externalisation des données de santé sur support papier est délivré par le ministre de la culture quel que soit le statut de l’organisme producteur des données de santé (public, privé chargé d’une mission de service public, privé). La liste des prestataires agréés est disponible sur le site du Service interministériel des Archives de France (SIAF) :http://www.archivesdefrance.culture.gouv.fr/gerer/gestion-externalisee-des-archives/
[3] Les archives courantes et intermédiaires sont les documents qui soit sont d'utilisation habituelle pour l'activité des services, établissements et organismes qui les ont produits ou reçus, soit leur permettent de garantir leurs droits et ceux des patients.
[4] Les archives définitives sont les documents qui présentent un intérêt historique, scientifique, statistique ou public permanent et qui doivent par ce fait être conservées indéfiniment par un service d’archives.
[5] Il s’agit d’applications qui garantissent l’authenticité et la pérennité des données pendant toute leur durée de conservation, conformément à l’état de l’art (normes OAIS et NF Z 42 013). Pour plus de renseignements, voir le site du SIAF :http://www.archivesdefrance.culture.gouv.fr/gerer/gestion-externalisee-des-archives/
[6] Mise à disposition d’infrastructures de stockage, de solutions de sauvegarde, de messageries sécurisées, etc.
[7] Structures de soins publiques ou privées chargées d’une mission de service public

 
  Retour au Sommaire

Q23 - Compte tenu des modifications proposées par le projet de loi de santé sur la procédure d’agrément, les hébergeurs doivent-ils encore déposer des demandes d’agrément ?

 
L’article 204-I-5°-c) de la loi de modernisation de notre système de santé du 26 janvier 2016 habilite le Gouvernement à prendre par ordonnance - dans un délai de douze mois suivant la promulgation de la loi -  les mesures visant à simplifier la législation en matière de traitement des données personnelles de santé et visant à « Remplacer l'agrément prévu au même article L. 1111-8 par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l'instance nationale d'accréditation mentionnée à l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie ou par l'organisme compétent d'un autre État membre de l'Union européenne. Cette certification de conformité porte notamment sur le contrôle des procédures, de l'organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées ».

L’ordonnance précitée sera précisée par un décret qui définira la procédure de certification des hébergeurs de données de santé.

Tant que la nouvelle procédure de certification n’est pas en vigueur, la législation actuelle sur l’hébergement de données de santé (articles L.1111-8 et R.1111-9 et suivants du code de la santé publique) continue de s’appliquer sans changement. 

Les acteurs qui hébergent des données de santé à caractère personnel pour le compte d’un tiers sont donc tenus de déposer un dossier de demande d’agrément conformément aux articles L.1111-8 et R.1111-9 et suivants du code de la santé publique.

L’ordonnance et le décret précité comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification.

 
Q24 – Les prestations de « salle blanche » ou « hébergement sec » sont-elles couvertes par la procédure d’agrément ?
L’externalisation de l’hébergement de données dans les conditions prévues par l’article L.1111-8 du code de la santé publique auprès d’un tiers proposant des prestations de type « salle blanche » ou « hébergement sec » sont soumises à la procédure d’agrément. Ces prestations peuvent être notamment définies par le fait de mettre à disposition du client une salle (datacenter, local, etc.), ainsi que l’alimentation électrique et le réseau, voire des prestations « Hands and Eyes » consistant par exemple à vérifier la disponibilité des serveurs, éteindre et rallumer si nécessaire les machines ou encore changer un composant physique à la demande du client. Dans le cadre de ce type de prestations de type « salle blanche » ou « hébergement sec », le client est généralement chargé d’installer son matériel et de l’administrer lui-même.
 
Au regard de la finalité de la prestation offerte, le prestataire « salle blanche » ou « hébergement sec » reporte sur son client la quasi-totalité des obligations du décret du 4 janvier 2006, celui-ci n’offrant en général que la sécurité physique du site d’hébergement, la disponibilité du réseau de télécommunication et éventuellement quelques prestations « Hands and Eyes » qui consistent à vérifier la disponibilité des serveurs, éteindre et rallumer si nécessaire les machines ou encore changer un composant physique à la demande du client. Les dossiers de demande d’agrément pour ce type de prestations ne décrivent donc pas les moyens logiques utilisés notamment réaliser les sauvegardes, tracer les accès des administrateurs du client au SI, etc. (exigences de l’article R 1111-14 du code de la santé publique).
 
La loi ne restreint pas le champ d’application de la procédure d’agrément à certains contrats spéciaux. Aussi, la conclusion avec le fournisseur d’un datacenter d’un contrat de bail n’est pas de nature à exclure la prestation du champ d’application de la procédure d’agrément, si les autres critères d’application de cette procédure sont remplis.
 
Les prestations de type « salle blanche » ou « hébergement sec » qui font l’objet d’un agrément ne peuvent être proposées qu’au responsable de traitement de données de santé, c’est-à-dire à certaines catégories de clients (notamment professionnels de santé, établissements de santé, structures de soins…), qui administrent eux-mêmes les équipements utilisés pour le traitement des données de santé. Ces prestations ne peuvent pas être proposées à des industriels ou des éditeurs, qui sont les prestataires d’infogérance des responsables de traitement de données de santé.
 
Les industriels ou éditeurs, qui utilisent les services d’une salle blanche pour l’hébergement de données à caractère personnel de santé, ne peuvent le faire qu’à la condition de disposer eux-mêmes de l’agrément pour l’hébergement de données de santé en désignant dans leur dossier de demande d’agrément le fournisseur de data center comme prestataire externe (appelé sous-traitant dans le dossier HDS), qui concourt à la fourniture du service d’hébergement de données de santé. Aussi, les prestations de type « salle blanche » ou « hébergement sec » ne peuvent être proposées qu’au responsable de traitement, ou bien doivent être déclarées en tant que « sous-traitant » dans le cadre d’un dossier de demande d’agrément portée par un industriel ou un éditeur tiers qui fournit les prestations additionnelles (plateforme technique d’hébergement).
 
Les montages contractuels et autres pratiques visant à se soustraire à l’obligation d’agrément, par exemple le fait de nommer le contrat d’hébergement « contrat de bail »,  peuvent conduire à mettre en jeu la responsabilité pénale de « l’ hébergeur », l’hébergement de données de santé sans agrément constituant notamment un délit, puni de trois ans d'emprisonnement et de 45 000 euros d'amende (articles L.1115-1 et L.1115-2 du code de la santé publique).
 
La position du comité d’agrément des hébergeurs sur ces prestations de type « salle blanche » ou « hébergement sec » est notamment synthétisée dans son rapport d’activité pour les années 2012 et 2013, accessible à l’adresse suivante : http://esante.gouv.fr/sites/default/files/asip_cah_brochure_ra_2012-2013.pdf.
 
 
 
 

 

Services: