FAQ de l'offre : Conformité (labels, référencements et certifications)

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.
• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.
• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

Oui, le référencement des DMN est aussi ouvert aux exploitants étrangers (à condition qu'ils soient bien concernés par le périmètre d'application et qu'ils soient en mesure de répondre aux exigences du référentiel). Si une entreprise étrangère ne possède pas de SIREN, elle doit fournir le n° de TVA intracommunautaire.

Dans le cas général, la certification de conformité au référentiel d'interopérabilité et de sécurité des DMN est établie pour les logiciels pères. Un certificat de conformité est attribué, non pas au distributeur qui utilise le DMN en marque blanche, mais bien à l'ENS qui le développe.

Pour plus de précisions, nous vous invitons à nous fournir de plus amples informations via le formulaire du portail industriels.

Les DMN déjà remboursés et inscrits sur la LPPR sont soumis à la certification de conformité au référentiel d'interopérabilité et de sécurité des dispositifs médicaux numériques pour le 1er janvier 2024. 

Pour une prise en charge dans le droit commun, les ENS peuvent présenter des candidatures aux guichets de certification Nom de Marque et Ligne Générique. 

Oui, le référentiel d'interopérabilité et de sécurité des dispositifs médicaux numériques s'applique à l'ensemble des DMN, y compris ceux qui ne proposent pas une activité de télésurveillance. Pour initier une candidature, veuillez vous rendre sur la plateforme Convergence.

Un composant additionnel est par exemple une plateforme d'intermédiation qui permettrait la gestion des téléservices de l’Assurance Maladie : INSi, DMP, Messagerie sécurisée de santé, et développée par un sous-traitant. Un composant additionnel doit être déclaré lors de la candidature s'il permet à l'exploitant du DMN de répondre à certaines exigences du référentiel. Les modules de type téléconsultation ou prise de rendez-vous peuvent être précisés s'ils permettent de répondre aux exigences du référentiel.

Oui, le référentiel s'applique à l'ensemble des DMN souhaitant être pris en charge par l'assurance Maladie, qu'ils soit utilisés pour des actes de télésurveillance ou non.

Tous les exploitants de dispositifs médicaux numériques (DMN) qui souhaitent réaliser une demande d’inscription à la LATM (Liste des Activités de Télésurveillance Médicale) ou la LPPR (Liste des Produits et Prestations Remboursables) pour une prise en charge ou un remboursement par l’Assurance Maladie sont concernés par la certification. Des dispositifs de remboursement temporaires sont disponibles, avec la prise en charge anticipée ou bien la prise en charge transitoire.

Nous vous invitons à consulter le périmètre d'application du référentiel sur notre page dédiée : 

Dans le cas contraire, il n'est pas nécessaire de candidater à la certification. Il est néanmoins exigé à minima de se tenir conforme aux référentiels INS et PGSSI-S de la doctrine du numérique en Santé.

Pour plus d'informations, consultez notre page dédiée à la Doctrine du numérique en santé.