FAQ de l'offre : Conformité (labels, référencements et certifications)

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées). 
 

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

L’article L.1111-8 du code de la santé en public distingue trois grandes catégories de services d’hébergement de données de santé :

• l’hébergement de données de santé sur support papier dans le cadre d'un service d'archivage, qui doit être réalisé par un hébergeur agréé par l'Etat ;
• l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un tiers hébergeur certifié HDS ;
• l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un tiers archiveur certifié HDS et agréé par l'Etat dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils des ordres des professions de santé.

L'exigence a été mise en place pour éviter la duplication des comptes utilisateurs.

Dans le cas de multisites, il est possible de rajouter d'autres attributs (Nom de l'établissement, Identifiant de la structure ...) qui permettraient d'empêcher la duplication au sein d'un même établissement tout en permettant à un même professionnel de santé de disposer de comptes au sein de différentes structures.

La vérification de la complexité d’un mot de passe ne peut être constatée qu’au moment de sa création ou de sa modification.

Pour démontrer la conformité à l’exigence :

• accéder à une fonctionnalité permettant la création ou la modification d’un mot de passe ; 
• proposer des mots de passe dont l’entropie est inférieure à 27 bits et vérifier qu’ils sont refusés par le système.
  Les exemples de mot de passe faibles peuvent inclure : 
  • des mots de passe trop courts (moins de 8 caractères) ; 
  • des mots de passe constitués uniquement de chiffres ou uniquement de lettres.
• proposer un mot de passe respectant les règles de complexité (entropie supérieure à 27 bits) et vérifier qu’il est accepté par le système. 
   

IEPS 02 - Enoncé de l'exigence :

Le Système DOIT vérifier, à la création d'un compte, l'adresse de messagerie ou le numéro de téléphone du PS lorsque ces informations sont utilisées dans les mécanismes d'authentification ou de récupération de son compte.

Scénario - vérification de contrôle des coordonnées de messagerie ou téléphoniques : 

• déclarer un compte en saisissant une adresse de messagerie utilisée pour l'authentification ou la récupération du compte ; 
• vérifier que le système contrôle la validité de l'adresse de messagerie par l'envoi d'un lien unique ou d'un compte à cette adresse.

Il est nécessaire d'afficher l'adresse de messagerie aussi bien lors de la saisie à la création du compte, que lors de la réception du mail d'activation afin d'en prouver la correspondance.

De même, si le système utilise le numéro de téléphone lors du processus d'authentification ou de récupération de compte, il sera nécessaire de prouver la conformité au scénario 2 et la correspondance du numéro de téléphone saisi sur le système avec le numéro de téléphone sur lequel est reçu le code OTP.