FAQ de l'offre : Ségur du numérique en santé

Après une première phase de déploiement avec ROC V1 dans les établissements publics MCO, le dispositif étend son périmètre aux secteurs PSY, HAD et SMR, avec une expérimentation sur les établissements du secteur privé (ex-OQN) qui est en cours d'organisation (ROC V2).

La reprise du rôle d'opérateur national du déploiement et de la supervision (ONDS) par l'ANS s'effectue progressivement suite à une première phase de réversibilité qui a été conduite entre juin et décembre 2024 avec le précédent opérateur national du déploiement.

Le dispositif ROC concerne tous les établissements de santé, quel que soit le statut (public, privé à but non lucratif et privé à but lucratif).

Le dispositif ROC concerne exclusivement les établissements de santé, quel que soit le statut (public, privé à but non lucratif et privé à but lucratif).

Néanmoins les téléservices AMC proposés dans le cadre de la médecine de ville sont proches des téléservices proposés dans le cadre du dispositif ROC.

Les travaux d'extension du dispositif ROC ont commencé pour les établissements ayant une activité PSY et SSR, avec comme objectif une extension rapide dans le contexte des établissements ex-DG.

L'activité d’hospitalisation à domicile (HAD) est incluse dans la première phase de déploiement du dispositif ROC auprès des établissements ex-DG (EPS et EBNL) ayant une activité hospitalière médecine – chirurgie – obstétrique – odontologie (MCOO).

Le dispositif ROC couvre l’ensemble des prestations des établissements : les actes et consultations externes (ACE) et les séjours. Les principes généraux de fonctionnement de ROC (usage de téléservices temps réel en amont de la facturation dématérialisée permettant de sécuriser celle-ci) sont les mêmes pour l'activité externe et les séjours.

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.

• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.

• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.