Questions fréquentes

Cela signifie que le service consomme le référentiel d'identité national des acteurs de santé personnes morales afin de les identifier au moins à l'aide de l'identité nationale (FINESS) lorsque l'acteur en dispose.Pour en savoir plus sur le répertoire FINESS, vous pouvez consulter la page dédiée : https://esante.gouv.fr/produits-services/repertoire-finess

Le numéro FINESS juridique identifie une personne morale (comparable au SIREN).
Le numéro FINESS géographique identifie un site ou établissement (comparable au SIRET).
Au demeurant, les FINESS juridique et géographique partagent la même syntaxe et ne peuvent donc être distingués visuellement.

Les fournisseurs de biens médicaux tels que les magasins d’optique et d’audioprothèses ne sont pas répertoriés dans la base de données FINESS. L’Assurance Maladie attribue au magasin un numéro d'identifiant propre à la CNAM, souvent confondu avec un numéro FINESS. Si vous vous installez et n'avez donc pas encore de numéro CNAM, vous devez présenter votre demande d’identification à la CPAM de votre département, qui vous attribuera ce numéro. 

Les procédures sont présentées ici : https://www.ameli.fr/professionnel-de-la-lpplatm/exercice-professionnel/vie-professionnelle/installation

Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification) : 

• La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ; 
• La sécurisation de la procédure d’accès ; 
• La collecte et la conservation des traces des accès effectués et de leurs motifs ; 
• La validation préalable des interventions (plan d’intervention, processus d’intervention).

Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés.

Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.

L’hébergeur doit renseigner la liste des réglementations extra communautaires auxquelles il est soumis (FISA, Cloud Act, etc.) dans la documentation à fournir à son client.
S’agissant de la transparence (tableau des garanties publiques), il doit indiquer s'il est soumis ou pas un risque d'accès tel qu’évoqué dans la question et citer le pays concerné.

Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties. 

La table de correspondance avec SecNumCloud fournie en annexe du référentiel est uniquement fournie à titre indicatif. Elle n’est pas à compléter. 

Le régime de l'hébergement des données santé prévu par le Code de la santé publique s'applique aux sous-traitants ainsi qu'a l'hébergeur après le rachat.

Par ailleurs, le tableau des garanties et les informations fournies aux clients doivent être mis à jour.

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé. 
Le lien, indiqué dans le référentiel, est rappelé ici : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Oui, la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.