FAQ de l'offre : Conformité (labels, référencements et certifications)

Une période de transition, calculée à compter de la date de publication de l’arrêté du 26/04/2024, a été fixée à 6 mois (soit le 16/11/2024) pour les organismes de certification et à 24 mois pour les hébergeurs déjà certifiés (soit le 16/05/2026).

Pour plus d'information, veuillez consulter la note de transition détaillée publiée sur le site du COFRAC :
https://www.cofrac.fr/actualites/actualites-et-evenements/certification-des-hebergeurs-de-donnees-de-sante-hds-transition-vers-la-version-2-des-referentiels

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification) : 

• La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ; 
• La sécurisation de la procédure d’accès ; 
• La collecte et la conservation des traces des accès effectués et de leurs motifs ; 
• La validation préalable des interventions (plan d’intervention, processus d’intervention).

Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés.

Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.

Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties. 

La table de correspondance avec SecNumCloud fournie en annexe du référentiel est uniquement fournie à titre indicatif. Elle n’est pas à compléter. 

Non, ce n’est pas une obligation. Toutefois, il est recommandé de faire appel à des sous-traitants certifiés sur le périmètre qui leur est confié. Cela facilite le respect des exigences de l'ISO 27001 relative aux fournisseurs.
 
Par ailleurs en tant qu'hébergeur, je dois être certifié sur toutes les activités concernées par mon offre y compris celles confiées à mon sous-traitant.

L’article L.1111-8 du code de la santé en public distingue trois grandes catégories de services d’hébergement de données de santé :

• l’hébergement de données de santé sur support papier dans le cadre d'un service d'archivage, qui doit être réalisé par un hébergeur agréé par l'Etat ;
• l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un tiers hébergeur certifié HDS ;
• l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un tiers archiveur certifié HDS et agréé par l'Etat dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils des ordres des professions de santé.

Oui : le chiffrement n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Il n’y a pas d’obligation de recourir au même organisme de certification qui a délivré la certification ISO 27001.
Pour obtenir la certification HDS, un hébergeur peut recourir au même organisme de certification qui lui a délivré sa certification ISO 27001, si ce dernier est accrédité HDS ou à un autre organisme de certification accrédité HDS.

Pour se prévaloir d’une certification ISO 27001 déjà obtenue, la certification doit respecter les conditions d’équivalence du certificat précisées dans le référentiel d’accréditation HDS et notamment celles relatives au périmètre d’application de la certification déjà obtenue : cette dernière doit inclure le périmètre pour lequel le candidat demande une certification HDS.

Oui, un hébergeur de données de santé doit être certifié sur toutes les activités concernées par son offre, y compris les activités partiellement ou entièrement sous-traitées.