FAQ de l'offre : Conformité (labels, référencements et certifications)

La certification remplace l’agrément.

Elle repose sur un référentiel et une procédure de certification :

• un organisme certificateur procède à l’évaluation de la conformité au référentiel ;
• il délivre un certificat de conformité pour une durée de 3 ans.

Les dossiers de demande d’agrément déposés avant le 31 mars 2018 sont instruits selon l’ancienne procédure.

Le terme échange désigne tout ce qui est en lien avec les services de messagerie : les données transitent vers une ou plusieurs destination(s) identifiée(s).

Le terme partage regroupe les activités de stockage des données et la gestion des accès à celle-ci : les données sont à un seul endroit et sont consultées par plusieurs acteurs non identifiés lors de la mise en partage (contrairement à l’échange avec plusieurs destinataires).

Un identifiant calculé (INS-C), attribué au travers d’un algorithme à partir d’informations lues à partir de la carte Vitale de l’assuré, a d’abord été utilisé de façon transitoire dans l'attente de l'évolution des textes permettant l'utilisation d'un identifiant adapté.

L'évolution des textes permet aujourd’hui la mise en œuvre de l’INS (Identité Nationale de Santé). L’INS-C est donc remplacé par l'INS c'est à dire le NIR et les cinq traits d'identité qualifiés (nom de naissance, prénom(s), date de naissance, sexe, lieu de naissance).

La doctrine du numérique en santé identifie plusieurs référentiels de données qui chacun portent une finalité distincte :

• le RPPS étendu (ou RPPS+) afin de porter l'identification de toutes les personnes physiques dans leur rôle d'acteur de santé (tout type de professionnel ou assistant du secteur) ;
• le FINESS refondu (ou FINESS+) afin de porter l'identification de toutes les personnes morales de santé (tout établissement et entité juridique du secteur) ;
• le ROR afin de décrire l'offre de santé au sein d'un établissement (spécialités, capacités) ou d'un cabinet.

L’article L.1111-8 du code de la santé en public distingue trois grandes catégories de services d’hébergement de données de santé :

• l’hébergement de données de santé sur support papier dans le cadre d'un service d'archivage, qui doit être réalisé par un hébergeur agréé par l'Etat ;
• l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un tiers hébergeur certifié HDS ;
• l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un tiers archiveur certifié HDS et agréé par l'Etat dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des Conseils des Ordres des professions de santé.

Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

L'hébergeur d'un système d'archivage électronique de données de santé à caractère personnel doit être certifié HDS dès lors que les données de santé à caractère personnel ont été recueillies à l'occasion d'activité de prévention, de diagnostic, de soins ou de suivi social et médico-social et que cet hébergement est réalisé pour le compte de la personne concernée ou des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :

• l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
• le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».