FAQ de l'offre : Ségur du numérique en santé

Les objectifs du programme ont été élaborés en concertation entre l’ANS et la HAS. Bien qu’ils soient alignés sur les exigences de la certification, seule la HAS est habilitée à délivrer la décision de certification.

L'appel à projet cyber pour le médico-social est en cours de construction. Nous communiquerons largement sur cet appel à projet et sur ce qui pourra être financé lors de sa publication. Vous pourrez retrouver toutes les informations sur notre page https://esante.gouv.fr/lagence/appels-a-projets. 

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.

• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.

• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

Les appels à financements n'ont pas pour ambition de ralentir les initiatives des établissements qui ont le souci de renforcer au quotidien leur sécurité opérationnelle.

Nous ne préconisons pas aux établissements d'attendre que les arrêtés soient publiés pour oeuvrer au quotidien dans leur mission.

Nous invitons toutefois les établissements à partager leurs expériences dans le cadre des ateliers de co-construction (en lien avec leurs fédérations ou leurs ARS) afin que nous puissions définir des objectifs qui permettent de valoriser des travaux à engager. 

Les priorités ne dépendent pas des axes du plan d'action mais des thématiques/sujets identifiés comme prioritaires par l'équipe programme CaRE. 

Les candidatures aux différents domaines sont indépendantes les unes des autres. Il n'est pas nécessaire de postuler à un domaine pour pouvoir candidater à un autre. Vous pouvez tout à fait choisir de candidater à plusieurs domaines simultanément.

Cependant, il est important de noter que les objectifs d'un domaine peuvent parfois devenir des prérequis pour un domaine ultérieur. Ainsi, les compétences acquises dans un premier domaine peuvent être utiles, voire indispensables, pour réussir dans un second domaine.