FAQ de l'offre : Conformité (labels, référencements et certifications)

Le rôle de l’organisme certificateur (OC) est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer.  

En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.

Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :

• l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
• le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».

Les modalités sont définies dans les référentiels d’accréditation et de certification HDS. Ces deux documents sont téléchargeables sur le site de l’ANS.
 

Il n’y a pas d’obligation de recourir au même organisme de certification qui a délivré la certification ISO 27001.
Pour obtenir la certification HDS, un hébergeur peut recourir au même organisme de certification qui lui a délivré sa certification ISO 27001, si ce dernier est accrédité HDS ou à un autre organisme de certification accrédité HDS.

Pour se prévaloir d’une certification ISO 27001 déjà obtenue, la certification doit respecter les conditions d’équivalence du certificat précisées dans le référentiel d’accréditation HDS et notamment celles relatives au périmètre d’application de la certification déjà obtenue : cette dernière doit inclure le périmètre pour lequel le candidat demande une certification HDS.

Oui, un hébergeur de données de santé doit être certifié sur toutes les activités concernées par son offre, y compris les activités partiellement ou entièrement sous-traitées.

L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime. Il appartient à l'hébergeur de déterminer avec son client dans le contrat HDS les modalités de délivrance de cette information.

L'hébergeur d'un système d'archivage électronique de données de santé à caractère personnel doit être certifié HDS dès lors que les données de santé à caractère personnel ont été recueillies à l'occasion d'activité de prévention, de diagnostic, de soins ou de suivi social et médico-social et que cet hébergement est réalisé pour le compte de la personne concernée ou des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées). 
 

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.