Questions fréquentes

La PGSSI-S s’applique aussi bien au secteur public qu’au secteur privé, aux professionnels de santé, du médico-social et social, aux établissements de soin et aux offreurs de service. 

De manière générale, la PGSSI-S s’applique dés que des données de santé à caractère personnel sont manipulées. 

En tant que patient, la PGSSI-S permet d’avoir confiance dans les systèmes numériques de santé. 

Le MOS est un ensemble de concepts, décrits de manière homogène et neutre, quelle que soit la technologie utilisée. Il offre une description commune des informations traitées dans les systèmes d’information (SI) pour faciliter les échanges numériques.  

La cohérence globale du MOS repose sur la définition et la description des concepts en UML (Unified Modelling Language). Certains attributs du MOS peuvent être codifiés : Ils sont alors associés à des Nomenclatures des Objets de Santé (NOS), c'est à dire des listes de codes-libellés.  

Vous êtes invités à utiliser le MOS et les NOS pour : 

• mutualiser et réduire les efforts au moment de l’analyse et de la conception d’un système (ou d’une application) en réutilisant les mêmes composants sémantiques ; 
• assurer la cohérence entre les développements internes, et avec les applications des systèmes externes dans un soucis d’interopérabilité. 

Les MOS et NOS sont mis à jour à la fin de chaque mois. Un comité de validation traite les demandes de modifications. La construction du MOS est progressive et va intégrer de plus en plus d'objets provenant de projets confiés à l'ANS. 

La nouvelle gouvernance du CI-SIS vous permet désormais de faire remonter vos besoins d’interopérabilité, ce qui enrichit le MOS et élargit son périmètre : Limité d’abord au secteur sanitaire, il prend désormais en compte les spécificités des secteurs médico-administratif, médico-social et social. 

Le document "Historique des modifications des MOS" recense ces modifications, triées par date de publication. 

Les professionnels en santé numérique sont invités à utiliser le MOS et les NOS en s’appuyant sur la méthode d’élaboration des spécifications fonctionnelles des échanges.  

Il y a 3 raisons principales de s’y conformer : 

• favoriser l’interopérabilité des systèmes en harmonisant les noms, attributs, valeurs et nomenclatures ; 
• partager le même sens de l’information, peu importe le référentiel d’où elle provient ; 
• réduire les efforts de spécification, d’analyse et de conception des projets e-santé. 

L’ANS vous propose des formations sur le MOS, les NOS et la méthode d’élaboration des spécifications fonctionnelles des échanges.

Le schéma ci-dessous illustre les profils types des utilisateurs du MOS et des NOS :

Image

Les concepts MOS sont représentés à l’aide d’un diagramme UML (Unified Modelling Language).  

Ce type de modélisation nécessite des connaissances préalables, surtout pour les utilisateurs encore novices dans les pratiques d’analyses en informatique.

Le diagramme de classes UML (ci-dessous) offre une description littérale de chaque objet. Il est disponible au format PDF et Excel.

Selon les travaux de la Commission européenne sur l'interopérabilité sémantique, un vocabulaire de base, tel que le MOS et les NOS, peut être utilisé comme point de départ pour : 

• développer et faire évoluer de systèmes d'information (SI) afin de formaliser les modèles de données conceptuels et logiques de ces systèmes (par exemple, le MOS est utilisé comme référence pour la modélisation du RPPS) ;
• échanger des informations entre les SI afin de constituer des modèles de données spécifiques à utiliser (ainsi, le MOS est sous-jacent au modèle d’exposition du ROR) ;
• prendre en compte et fusionner des éléments provenant de sources différentes ;
• publier des données dans un format commun d'annuaires ou de répertoires (comme l’Annuaire Santé).

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées).

L’article L.1111-8 du code de la santé publique dispose que : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement : 

1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ; 
2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé.

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de  son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI. 

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.