FAQ de l'offre : Conformité (labels, référencements et certifications)

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.
• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.
• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

En effet, lorsqu'un produit est DMP compatible, l'interface avec le DMP est mise en œuvre dans le respect des spécifications du CI-SIS selon les distinctions suivantes pour les 3 profils.

DMP compatibilité pour le profil « Administration », indiquez :

• dans les questions de qualification, que le produit est une infrastructure de partage de documents de santé ;
• dans le questionnaire « Interopérabilité », que le produit atteint le niveau vert à la question A08.4.3 Mise en œuvre interopérable du service Gestion de Dossiers Patient Partagés.

DMP compatibilité pour le profil « Alimentation », indiquez :

• dans les questions de qualification, que le produit interagit avec une infrastructure de partage de documents de santé,
• dans le questionnaire « Interopérabilité », indiquez que :
  • le produit atteint le niveau vert à la question A08.3.1 Connexion synchrone avec d'autres SI,
  • le produit atteint le niveau vert à la question A08.4.1 Mise en œuvre interopérable du service Partage de Documents de Santé,
  • le produit atteint le niveau vert à la question A08.5.01 Partage et/ou échange de documents (producteur de documents CDA) - structuration minimale (sauf si c'est un connecteur qui prend les documents produits par d'autres).

DMP compatibilité pour le profil « Consultation », indiquez :

• dans les questions de qualification, que le produit interagit avec une infrastructure de partage de documents de santé,
• dans le questionnaire « Interopérabilité », indiquez que :
  • le produit atteint le niveau vert à la question A08.3.1 Connexion synchrone avec d'autres SI,
  • le produit atteint le niveau vert à la question A08.4.1 Mise en œuvre interopérable du service Partage de Documents de Santé,
  • le produit atteint au moins le niveau jaune à la question A08.5.23 Partage et/ou échange de documents (consommateur de documents CDA) - structuration minimale.

Pour indiquer que l'entreprise ou un produit a participé à un connectathon, il est possible d'utiliser les champs de saisie libre comme :

• le champ « certifications » du questionnaire d’identification (étape 1) de l’ajout d’un produit ;
• les espaces de commentaires dans le questionnaire « Interopérabilité ».

La doctrine du numérique en santé identifie le Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) comme le référentiel qui fixe les règles d’une informatique de santé communicante en spécifiant les flux entre les systèmes d’information de santé.

La plateforme Convergence mesure donc le respect des volets du cadre d'interopérabilité actuellement publiés et qui portent principalement sur les échanges extrahospitaliers.

La plateforme vise à mesurer les capacités techniques des produits.

Ainsi, si un produit propose plusieurs interfaces dont certaines interopérables, il est conseillé d'indiquer le niveau de maturité associé aux interfaces interopérables que celles-ci soient utilisées ou non.

Si un usage n'est pas couvert par le CI-SIS, il est possible de répondre en indiquant que les critères de maturité sont non applicables et signalant à l'ANS que le cas d'usage n'est pas couvert via :

• l’espace de commentaire dans le questionnaire ;
• la complétion d'un formulaire d'expression des besoins disponible sur le site de l’agence du numérique en santé.