FAQ des industriels

L’article L.1111-8 du code de la santé en public distingue trois grandes catégories de services d’hébergement de données de santé :

• l’hébergement de données de santé sur support papier dans le cadre d'un service d'archivage, qui doit être réalisé par un hébergeur agréé par le ministre de la culture ;
• l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un hébergeur certifié HDS ;
• l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un hébergeur certifié HDS et agréé par le ministre de la culture dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils des ordres des professions de santé.

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

Il s'agit des activités de suivi réalisées par les établissements et services sociaux et médico-sociaux. Ces établissements et services sont listés de façon exhaustive à l’article L.312-1 du code de l’action sociale et des familles.

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. la prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure : 

• les vaccinations,
• les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires),
• d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.) ;

2. la prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc ;

3. la prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées).

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.

L’article L.1111-8 du code de la santé publique dispose que : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de (liste non exhaustive) :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement : 

1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ; 
2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé.

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de  son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI. 

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL.

Dans une approche inclusive, tous les services numériques à destination des citoyens, utiles à la prise en charge de sa santé, peuvent candidater au référencement. Les services numériques éligibles doivent s’adresser aux usagers (patients/citoyens) et être édités par des acteurs publics ou privés, dans les secteurs sanitaires (santé et bien-être), médico-social et social. Ils doivent entrer dans le périmètre défini par l’article L. 1111-13-1 précité.  

Les services numériques éligibles :

• doivent obligatoirement s’adresser aux usagers (patients/citoyens) ;
• et être édités par des acteurs publics ou privés ;
• dans les secteurs sanitaires (santé et bien-être), médico-social et social.

Les services numériques éligibles sont les suivants :  

• applications mobiles ;
• sites web.

Ils peuvent être :  

• reliés ou non à un ou plusieurs objets connectés ;
• gratuits ou payants ;
• des dispositifs médicaux ou non.

Au moment du dépôt de la demande de référencement, les services doivent être utilisables par des usagers finaux (patient/citoyen).

Les services relevant du règlement européen 2017/745 relatif aux dispositifs médicaux doivent être conformes aux exigences de sécurité et de performances qui leurs sont applicables. La conformité à cette règlementation est matérialisée par l’apposition du marquage CE dispositif médical.

Le respect du présent programme ne dispense pas le service candidat au référencement de satisfaire à toutes les dispositions en vigueur, légales et règlementaires, nationales et communautaires 

Afin que mon service soit référencé, dans le Catalogue de services référencés, il doit être conforme à la doctrine du numérique en santé.

Cette doctrine est publiée tous les ans et définit les règles communes de sécurité, d’interopérabilité, d’éthique qui s’appliquent aux services numériques en santé.

Les données qui figurent dans Mon espace de santé sont les suivantes :

• les données du profil médical saisies librement par le patient, dans un format non structuré (antécédents, allergies) ;
• les mesures de santé (poids, taille, IMC, nombre de pas pendant la journée, température, tour de taille, fréquence cardiaque, tension artérielle diastolique et systolique, niveau de la douleur, glycémie) au format FHIR (voir spécification interopérabilité FrObservation) ;
• des documents de santé (ex : compte-rendu d'acte diagnostic, compte-rendu d'acte thérapeutique, compte-rendu d'admission…).

Pour certains services référencés dans le Catalogue de services, lorsqu’ils s’inscrivent dans des finalités de prévention, de diagnostic, de soins ou de suivi social et médico-social, ces derniers pourront être candidats en vue d’échanger des données de santé avec Mon espace santé, dans le respect du consentement éclairé de l’utilisateur.

Le catalogue de services numériques référencés est un ensemble de services développés par des acteurs privés, par des acteurs publics, qui peuvent être gratuits ou payants et qui pourront figurer dans le catalogue de Mon espace santé.

Sont uniquement concernées les solutions numériques qui entrent dans le champ de la santé, du bien-être ou du maintien de l’autonomie.

Ce catalogue de services numériques référencés traduira la richesse de l’offre numérique du secteur, de par la nature des services, le public auquel il s’adresse, les éditeurs de ces solutions, tout en garantissant le respect des critères suivants:

• critères liés à l’offre elle-même :
  • domaine de la santé ou du bien être ;
  • qualité du contenu en lien avec les critères HAS ;
  • modèle économique du service.
• conformité à la doctrine technique du numérique en santé ;
• conformité juridique ;
• critères éthiques.

Non, le référencement au Catalogue de services n’est pas obligatoire.

Mon espace santé c’est principalement quatre grandes fonctionnalités :

• le Catalogue de services numériques référencés qui vous concerne directement en tant qu’entrepreneur de service numérique ;
• le Dossier Médical qui intègre l’ensemble des documents du DMP historique, des mesures de santé au format FHIR qui vont décrire la situation de santé de la personne à un instant T et le profil médical qui reprend les antécédents et les allergies de l’utilisateur pour qu’il puisse les partager ;
• la Messagerie dont l’objectif est de créer un endroit sécurisé pour permettre à l’utilisateur d’échanger avec les professionnels qui interviennent dans sa prise en charge ;
• l’Agenda dans lequel l’usager pourra alimenter lui-même ses rendez-vous médicaux ou autoriser des applications de prise de rendez-vous à les inscrire pour son compte, pour les centraliser en un seul endroit. C’est avant tout un outil de gestion, de prévention et de parcours de soins notamment pour mettre en place des rappels de dates clés des examens de prévention.

• la visibilité de mon service numérique à l’ensemble des citoyens ;
• une garantie de confiance pour les usagers, grâce au processus de référencement garantissant le respect du cadre de valeur de sécurité, d’éthique et d’interopérabilité ;
• sous réserve du consentement de l’usager, un accès aux données de Mon Espace Santé.

Vous pouvez dès à présent vous mettre en conformité avec la doctrine du numérique en santé.

A partir d’août 2021, vous pourrez saisir le degré de maturité de votre solution par rapport aux actions prévues par la doctrine du numérique en santé via l’outil appelé Convergence.

A partir de novembre 2021, vous pourrez réaliser votre demande en ligne, sur  le site de demande de référencement qui vous sera dédié.