FAQ de l'offre : Conformité (labels, référencements et certifications)

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.
• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.
• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

Le mandataire d’une structure peut créer des comptes utilisateurs sur Convergence pour ses collaborateurs. En fonction du besoin du compte à créer et du rôle du collaborateur à créer, le mandataire peut lui créer un de ces trois types de comptes :

• Mandataire : son identité est vérifiée par un processus automatique lors de la création de son compte (vérification de son identité et de l’identité de l’entreprise). Il gère les comptes de son entreprise et peut déléguer ce droit aux Représentants.
• Représentants : représentant désigné par le Mandataire, son identité n’est pas vérifiée par l’ANS, son inscription est validée par le Mandataire dans le FI, il peut être invité par le Mandataire. Il peut créer des comptes mandataires, représentants et salariés et peut gérer les comptes de son entreprise en délégation du mandataire.
• Salarié : son identité n’est pas vérifiée non plus par l’ANS, son inscription est validée par le Mandataire et/ou ses Représentants. Il peut être invité par le Mandataire ou par le Représentant, il ne peut pas gérer les comptes de son entreprise.

Le rôle mandataire du fournisseur d’identité est destiné au représentant légal de cette entreprise. Le mandataire peut désigner des représentants qui héritent des droits du mandataire.

Dans le cas où l'exploitant du DMN au sens de fabricant du DMN a développé un produit qui s'appuie sur des composants principaux développés par des tiers, chacun de ces tiers doit formaliser dans un mandat auprès de l'exploitant précisant qu'il s'engage dans la certification du DMN avec celui-ci dans un groupement dont l'exploitant du DMN  est le chef de file. Le mandat doit être signé par l’ensemble des entités juridiques qui donnent mandat au représentant du groupement, lequel sera l’interlocuteur unique de l’ANS.

La plateforme Convergence est accessible via le lien ci-dessous. 
Un compte sera nécessaire pour effectuer un dépôt de dossier de certification.