FAQ de l'offre : Conformité (labels, référencements et certifications)

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement

1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.
2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé. 

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social. 

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI.

La table de correspondance avec SecNumCloud fournie en annexe du référentiel est uniquement fournie à titre indicatif. Elle n’est pas à compléter. 

Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification) : 

• La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ; 
• La sécurisation de la procédure d’accès ; 
• La collecte et la conservation des traces des accès effectués et de leurs motifs ; 
• La validation préalable des interventions (plan d’intervention, processus d’intervention).

Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés.

Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.

Une période de transition, calculée à compter de la date de publication de l’arrêté du 26/04/2024, a été fixée à 6 mois (soit le 16/11/2024) pour les organismes de certification et à 24 mois pour les hébergeurs déjà certifiés (soit le 16/05/2026).

Pour plus d'information, veuillez consulter la note de transition détaillée publiée sur le site du COFRAC :
https://www.cofrac.fr/actualites/actualites-et-evenements/certification-des-hebergeurs-de-donnees-de-sante-hds-transition-vers-la-version-2-des-referentiels

Il n’y a pas d’obligation de recourir au même organisme de certification qui a délivré la certification ISO 27001.
Pour obtenir la certification HDS, un hébergeur peut recourir au même organisme de certification qui lui a délivré sa certification ISO 27001, si ce dernier est accrédité HDS ou à un autre organisme de certification accrédité HDS.

Pour se prévaloir d’une certification ISO 27001 déjà obtenue, la certification doit respecter les conditions d’équivalence du certificat précisées dans le référentiel d’accréditation HDS et notamment celles relatives au périmètre d’application de la certification déjà obtenue : cette dernière doit inclure le périmètre pour lequel le candidat demande une certification HDS.

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

Pour rappel l’exigence ETH.26 est la suivante : "Si les données recueillies avant, pendant, après la téléconsultation sont partagées avec d'autres acteurs, notamment des sous-traitants, ALORS le Système DOIT garantir la bonne compréhension par le patient de l’existence de ce partage et de sa finalité." 

Pour répondre à l’exigence ETH.26, l’information relative au partage des données du patient doit être formulée de manière claire, explicite et accessible. Le patient doit comprendre que ses données peuvent être partagées, avec quels acteurs ou sous-traitants, et dans quel objectif précis (hébergement, maintenance technique, analyse statistique, etc.). 

Les destinataires des données doivent être clairement identifiés, au moyen d’une liste transparente et facilement accessible, intégrée notamment dans la politique de confidentialité, les Conditions Générales d’Utilisation ou tout autre document porté à la connaissance du patient. 

En complément, le système doit prévoir un mécanisme de reconnaissance explicite attestant que le patient a pris connaissance de cette information et la comprend (case à cocher, formulaire de consentement, ou dispositif équivalent), afin d’en garantir la traçabilité et de permettre au patient d’exercer pleinement ses droits en matière de protection des données.

Pour rappel, les exigences ETH.13 et ETH.14 sont les suivantes : "S’il existe un lien d’intérêt entre la société éditrice du système et des acteurs de l’écosystème de la santé, le système doit garantir, d’une part, la bonne compréhension de ce lien par le professionnel de santé utilisateur et, d’autre part, l’information et la bonne compréhension du patient." 

Le lien d’intérêt désigne l’ensemble des relations ou intérêts, directs ou indirects, actuels ou passés, qu’une société peut entretenir avec un tiers, dès lors que ces relations sont en lien avec l’objet de son activité. Dans le cadre d’un système de téléconsultation, cela concerne notamment les partenariats entretenus avec des établissements de santé, mutuelles, laboratoires, entreprises technologiques, prestataires techniques, éditeurs de logiciels ou tout autre acteur économique. L’objectif de ces exigences est d’assurer une transparence totale sur les partenariats et liens d'intérêt susceptibles d’influencer l’usage du système ou les décisions de prise en charge, afin de prévenir tout risque de conflit d’intérêts et de maintenir la confiance des professionnels de santé et des patients. 

Pour répondre à ces exigences, il est attendu de la société éditrice qu’elle mette à disposition des documents clairs, accessibles et explicites décrivant l’ensemble des liens d’intérêt existants, en précisant la nature des relations, qu’elles soient contractuelles, financières, techniques ou stratégiques, sans ambiguïté. Ces informations doivent permettre au professionnel de santé de comprendre précisément le cadre de ces relations et au patient d’être correctement informé de leur existence et de leur nature. Elles doivent figurer dans des documents officiels tels que les Conditions Générales d’Utilisation, la politique de confidentialité ou tout autre support contractuel mis à disposition des utilisateurs, et être tenues à jour.

En accord avec l’exigence ETH 32 « Le Système DOIT être évalué à l'aune de l'impact environnemental de son utilisation au moyen de la méthode d'écoscore fournie par la DNS et l'ANS », il est attendu de réaliser le calcul de l'écoscore développé par la DNS et mis à disposition sur le site Ecoscore des applications de santé en cliquant sur « Calculer l’écoscore de son service numérique », en vous connectant sur votre compte iSC et en sélectionnant les services de téléconsultation. Pour vous aider au calcul de votre écoscore vous pouvez sollicité l’accompagnement par Greenspector via le Chat.

Evaluation des applications de téléconsultation

L'évaluation des applications de téléconsultation suit la même méthodologie que ce qui a été expliqué précédemment. Il existe cependant certaines adaptations :

• l’application côté patient (ou site web) est testée en parallèle de l’application côté professionnel de santé (ou site web), cela permet d'évaluer une téléconsultation dans des conditions proches de la réalité ; 
• les deux applications (ou les deux sites web) sont évaluées dans les mêmes conditions (en particulier avec la même plateforme matérielle) ; 
• les écoscore des deux applications (ou des deux sites web) sont mesurés indépendamment, un écoscore pour chacune d’elles, selon la méthodologie présentée précédemment ; 
• l'écoscore de la téléconsultation qui est produit est la moyenne des deux écoscore (l'écoscore « côté patient » et l’écoscore « côté professionnel de santé ») ; 
• les métriques de l'étape de téléconsultation sont basées sur une mesure d’une durée de 30 secondes pour une sollicitation raisonnée du banc de mesure. Cependant les indicateurs présentés dans l’analyse des ressources et de l’empreinte environnementale sont ensuite projetés sur une durée de téléconsultation moyenne, à savoir 15 minutes.