FAQ de l'offre : Conformité (labels, référencements et certifications)

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement

1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.
2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé. 

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social. 

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI.

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

Le régime de l'hébergement des données santé prévu par le Code de la santé publique s'applique aux sous-traitants ainsi qu'a l'hébergeur après le rachat.

Par ailleurs, le tableau des garanties et les informations fournies aux clients doivent être mis à jour.

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL en suivant ce lien : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :

• l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
• le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».

L'hébergeur d'un système d'archivage électronique de données de santé à caractère personnel doit être certifié HDS dès lors que les données de santé à caractère personnel ont été recueillies à l'occasion d'activité de prévention, de diagnostic, de soins ou de suivi social et médico-social et que cet hébergement est réalisé pour le compte de la personne concernée ou des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

La certification remplace l’agrément.

Elle repose sur un référentiel et une procédure de certification :

• un organisme certificateur procède à l’évaluation de la conformité au référentiel ;
• il délivre un certificat de conformité pour une durée de 3 ans.

Les dossiers de demande d’agrément déposés avant le 31 mars 2018 sont instruits selon l’ancienne procédure.

Le terme échange désigne tout ce qui est en lien avec les services de messagerie : les données transitent vers une ou plusieurs destination(s) identifiée(s).

Le terme partage regroupe les activités de stockage des données et la gestion des accès à celle-ci : les données sont à un seul endroit et sont consultées par plusieurs acteurs non identifiés lors de la mise en partage (contrairement à l’échange avec plusieurs destinataires).

Un identifiant calculé (INS-C), attribué au travers d’un algorithme à partir d’informations lues à partir de la carte Vitale de l’assuré, a d’abord été utilisé de façon transitoire dans l'attente de l'évolution des textes permettant l'utilisation d'un identifiant adapté.

L'évolution des textes permet aujourd’hui la mise en œuvre de l’INS (Identité Nationale de Santé). L’INS-C est donc remplacé par l'INS c'est à dire le NIR et les cinq traits d'identité qualifiés (nom de naissance, prénom(s), date de naissance, sexe, lieu de naissance).