Questions fréquentes

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.

• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.

• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL en suivant ce lien : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement

1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.
2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé. 

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social. 

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI.

Nous vous invitons à contacter le CRRC de la région où est situé l'établissement juridique. La liste des contacts des CRRC est publiée ici : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2

Non. Par exemple, dans certains cas, seuls la direction et le prestataire informatique habituel sont sollicités pour réaliser le diagnostic.

Nous vous invitons à vous rapprocher de votre CRRC pour voir avec eux l'accompagnement qu'ils pourront vous proposer en fonction de votre contexte.

Dans le cas où il y a deux versions (patient/professionnel correspondant), il faut générer :

• un CR patient au format CDA R2 N3 OU CDA R2 N1 destiné à alimenter le DMP/MES ;
• un CR patient au format CDA R2 N3 OU CDA R2 N1 envoyé par MSSanté Citoyenne six versions techniques ;
• un CR professionnel au format CDA R2 N3/ PDF(A-1) OU CDA R2 N1/ PDF(A-1) envoyé par MSSanté professionnel. 

Conformément au RGPD, sauf pour les cas de consultation d’annonce, il ne faut pas mettre de masquage patient sur la version 'patient' du compte-rendu.

Le Ségur prévoit un financement du catalogue d'examens, à hauteur de 3 500 euros TTC par instance. L'objectif est de transcoder l'intégralité du catalogue, en priorisant si besoin les examens les plus courants, et en faisant remonter sur la page web : https://bioloinc.fr/bioloinc/KB les éventuels manques dans le jeu de valeur 'circuit de la biologie'.

Cependant, une liste restreinte des analyses (environ 200) est identifiée dans le jeu de valeur 'circuit de la biologie', il faut a minima transcoder ces analyses pour envoyer les CR. Les autres analyses pourront être transcodées au fil de l'eau.

Envoi systématique et automatisé au DMP du CR patient seul, éventuellement via un connecteur partenaire, au format CDA R2 N3 et PDF en CDA R2 N1.

À terme, oui : elle sera remplacée par la signature électronique du CR bio et/ou l'apposition d'un cachet électronique visible sur le document (cas d'impression / rematérialisation).

Au vu de la complexité, ce sujet a été repoussé pour la vague 2 du financement à l'équipement. Le référentiel de force probante est disponible à cette adresse : https://esante.gouv.fr/force-probante-des-documents-de-sante 

Les GCS-Etablissement de santé en tant que structures hospitalières sont tenues aux mêmes règles que tout établissement de santé et sont donc responsables de la mise en place de l'envoi des CR vers les DMP dans le cadre du financement Ségur.