FAQ de l'offre : Conformité (labels, référencements et certifications)

Le référentiel de force probante des documents de santé vise à décrire les moyens nécessaires à assurer la valeur probante des documents de santé.

Pour tous les produits qui produisent ou modifient des documents de santé il est nécessaire de se référer à ce référentiel.

La PGSSI-S est un ensemble de référentiels d’exigences et de guides de bonnes pratiques qui constitue un cadre commun de sécurité des SI du secteur de la santé.

L’espace « Politique générale de sécurité des systèmes d’information de santé » sur le site de l’ANS présente de façon détaillée l’ensemble du corpus.

Les traces fonctionnelles rendent compte des actions métier de tous les utilisateurs au sein du produit.

Le contenu de ces traces est propre à chaque application et doit rendre compte de façon explicite de l’action fonctionnelle métier réalisée.

Ces traces sont générées par le produit à l’occasion d’événements significatifs comme :

• la connexion à l’application ;
• le dépôt d’un document dématérialisé ;
• l’envoi d’un message électronique ;
• la diffusion d'une identité validée ;
• la création d'une note de visite ;
• la consultation des bonnes pratiques sur la prise en charge d'un patient polypathologique.

Le référentiel d’imputabilité définit les moyens utilisables pour :

• assurer la traçabilité des actions réalisées vis-à-vis d’un SI de santé ;
• garantir la valeur des traces enregistrées ;
• contrôler l’usage fait de ce SI de santé.

Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées). 
 

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

Non, ce n’est pas une obligation. Toutefois, il est recommandé de faire appel à des sous-traitants certifiés sur le périmètre qui leur est confié. Cela facilite le respect des exigences de l'ISO 27001 relative aux fournisseurs.
 
Par ailleurs en tant qu'hébergeur, je dois être certifié sur toutes les activités concernées par mon offre y compris celles confiées à mon sous-traitant.