FAQ de l'offre : Conformité (labels, référencements et certifications)

Six démarches réparties en deux parcours dont la composition est précisée ci-dessous vous permettent d’évaluer vo

Pour les questionnaires communs à plusieurs démarches, les réponses apportées dans le cadre d’une démarche à un questionnaire donné sont reprises dans les autres démarches utilisant ce questionnaire.

Ce comportement est valable pour les réponses enregistrées en mode brouillon et les réponses validées.

Toutefois, le niveau minimum requis ou conseillé pour les critères d’un questionnaire peuvent différer d’une démarche à une autre. Ainsi, dans certaines situations, pour un questionnaire donné et dont la complétion est terminée, le niveau global attendu pour ce questionnaire peut être atteint dans le cadre d’une démarche et non-atteint pour une autre.

Deux parcours sont mis en ligne sur la plateforme Convergence :

• parcours doctrine du numérique en santé : vous permet d’évaluer la maturité de vos produits à la doctrine du numérique en santé définie par l'Etat et définir ensuite votre feuille de route pour atteindre les niveaux recommandés en réalisant une projection de l’évolution de vos produits ;
• parcours Mon espace santé : vous permet d’évaluer la maturité de vos produits pour les faire référencer au catalogue de services Mon espace santé.

D’autres parcours seront mis en ligne prochainement sur la plateforme Convergence :

• certification des dispositifs médicaux dont ceux de télésurveillance ;
• référencement Ségur vague2.

Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées). 
 

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

Non, ce n’est pas une obligation. Toutefois, il est recommandé de faire appel à des sous-traitants certifiés sur le périmètre qui leur est confié. Cela facilite le respect des exigences de l'ISO 27001 relative aux fournisseurs.
 
Par ailleurs en tant qu'hébergeur, je dois être certifié sur toutes les activités concernées par mon offre y compris celles confiées à mon sous-traitant.

Oui, un hébergeur de données de santé doit être certifié sur toutes les activités concernées par son offre, y compris les activités partiellement ou entièrement sous-traitées.