FAQ de l'offre : Conformité (labels, référencements et certifications)

Le régime de l'hébergement des données santé prévu par le Code de la santé publique s'applique aux sous-traitants ainsi qu'a l'hébergeur après le rachat.

Par ailleurs, le tableau des garanties et les informations fournies aux clients doivent être mis à jour.

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé. 
Le lien, indiqué dans le référentiel, est rappelé ici : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Oui, la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Oui, l'utilisation d'un code d'une nomenclature au lieu d'un libellé n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Non, ce n’est pas une obligation. Toutefois, il est recommandé de faire appel à des sous-traitants certifiés sur le périmètre qui leur est confié. Cela facilite le respect des exigences de l'ISO 27001 relative aux fournisseurs.
 
Par ailleurs en tant qu'hébergeur, je dois être certifié sur toutes les activités concernées par mon offre y compris celles confiées à mon sous-traitant.

L’article L.1111-8 du code de la santé en public distingue trois grandes catégories de services d’hébergement de données de santé :

• l’hébergement de données de santé sur support papier dans le cadre d'un service d'archivage, qui doit être réalisé par un hébergeur agréé par l'Etat ;
• l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un tiers hébergeur certifié HDS ;
• l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un tiers archiveur certifié HDS et agréé par l'Etat dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils des ordres des professions de santé.

Oui : le chiffrement n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL en suivant ce lien : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

Le rôle de l’organisme certificateur (OC) est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer.  

En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.

Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :

• l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
• le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».