Votre question concerne quel type d'offre ?
Votre question concerne quel couloir Ségur ?
Votre question concerne quel dispositif Ségur ?
Votre question concerne quel produit ou service produit?
Votre question concerne quelle thématique ?
Toutes les modalités sont définies dans le Référentiel d’Accréditation HDS et dans le document "Exigences spécifiques pour l’accréditation des organismes procédant à la certification de systèmes de management dans le domaine des technologies de l’information" émis par le COFRAC. Ces deux documents, ainsi que des référentiels d’exigences spécifiques, sont téléchargeables dans notre espace Documentation.
Consultez la liste des organismes certifiés :
Cette réponse vous a-t-elle été utile ?
Il existe 6 types d’activités pour lesquelles un hébergeur de données santé peut être certifié :
- la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- l’administration et l’exploitation du système d’information contenant les données de santé ;
- la sauvegarde de données de santé.
Vous pouvez consulter la liste complète des HDS certifiés, avec les activités concernées, sur notre site :
Cette réponse vous a-t-elle été utile ?
Pour obtenir des produits de certification de test (cartes CPS et certificats de test) émis par l'IGC-Santé, il suffit de suivre deux étapes :
ÉTAPE 1 - Phase administrative
Vous souhaitez commander des cartes CPS de test et/ou enregistrer des habilitations pour les certificats logiciels de test ? Pour cela vous pouvez :
- consulter notre offre complète de produits ;
- passer une commande pour cela : veuillez compléter et envoyer par email le formulaire de commande de moyens d'identification électronique de test (F414) ou réaliser la démarche en ligne ;
- pour information : une carte de test s'oppose au bout de 3 ans.
ÉTAPE 2 - Phase technique
Utilisez la carte habilitée lors de l'étape 1 pour interagir avec la Plateforme de confiance IGC-Santé : vous pourrez en toute autonomie commander, retirer, suivre ou révoquer vos certificats de test en utilisant l'interface IHM ou l'interface Web Service.
Pour cela, assurez-vous que la carte de test avec laquelle vous souhaitez réaliser l'opération est bien insérée dans votre lecteur de cartes, puis accédez au portail web de la Plateforme de confiance IGC-Santé.
Consultez notre documentation de mise en œuvre spécifique :
Cette réponse vous a-t-elle été utile ?
Le ministère a lancé un portail de signalement des événements sanitaires indésirables destinés aux particuliers, professionnels de santé, et entreprises.
Le CERT Santé assure le traitement des signalements des incidents de sécurité les jours ouvrés de 9h à 18h. En dehors de ces heures, il est possible de contacter l’ANSSI.
CERT Santé
+33 (0)9 72 43 91 25
Agence du Numérique en Santé
2-10 Rue d'Oradour-sur-Glane
75015 Paris
Cette réponse vous a-t-elle été utile ?
Les infrastructures de gestion de clés (IGC) dédiées au secteur santé respectent des procédures rigoureuses de recueil des données d’identification professionnelle avec les autorités compétentes (autorités d’enregistrement du RPPS, etc.).
Elles émettent des certificats électroniques logiciels ou des certificats électroniques confinés dans les cartes de la famille CPS.
Enfin, elles assurent la publication de ces certificats et la prise en compte de leur révocation, signalée aux applications utilisatrices par des listes de révocation de certificats.
Cette réponse vous a-t-elle été utile ?
Deux enjeux majeurs sont associés à la mise en œuvre de l’IGC-Santé :
- assurer la sécurité des clés privées et des certificats émis par l’ANS : il faut veiller à limiter l’accès à ces clés privées et qu’elles ne puissent pas être dupliquées ni installées sur plusieurs équipements ;
- assurer la continuité de service : de nombreuses applications de santé utilisaient les certificats émis par les deux anciennes IGC-CPS, qui ne sont plus actives depuis Janvier 2021. Elles doivent prendre en compte les nouveaux certificats émis par l’IGC-Santé.
En plus, les certificats émis par l’IGC-Santé respectent les règles habituelles de sécurité (analyse de risque, politique de sécurité), les "Politiques de Certification", et ils sont conformes aux référentiels de la PGSSI-S.
Cette réponse vous a-t-elle été utile ?
Dans le cadre de la découverte d’une vulnérabilité ou d’un incident de sécurité d’origine malveillante, les industriels sont invités à en informer le CERT Santé qui pourra leur apporter une assistance dans les mesures de remédiation à mettre en œuvre. Le CERT Santé pourra également apporter un appui dans les actions de communication vers les structures.
Cette réponse vous a-t-elle été utile ?
En règle générale, si un tiers héberge des données de santé pour le compte d’un établissement, celui-ci doit recevoir une certification HDS.
En revanche, si deux entités sont coresponsables, comme c’est le cas pour les GHT, cette obligation peut être levée.
La Direction Générale de l’Offre de Soins (DGOS) requiert un avenant à la convention constitutive du GHT. Il doit préciser “les conditions, les périmètres de traitement des données, et les établissements parties prenantes de la coresponsabilité." Un établissement support qui peut héberger les données santé pour le compte des autres établissements du GHT est alors commissionné.
Sont aussi exclus de l’obligation de recourir à un prestataire agréé ou certifié HDS :
- les organismes d’Assurance Maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
- les organismes de recherche dans le domaine de la santé, si leurs bases de données ne sont pas constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
- les associations qui proposent des activités sportives à des personnes handicapées.
Les conditions d’exemption sont détaillées dans le référentiel Maturin-H, publié début 2022.
Cette réponse vous a-t-elle été utile ?
Selon votre métier d’hébergement, il existe deux périmètres de certification :
- Mon activité concerne la disposition de locaux d’hébergement physique et d’infrastructure matérielle.
Il vous faut un certificat Hébergeur d’infrastructure physique.
Ce certificat couvre les deux types d’activités (cf image 1) - Mon activité concerne la mise à disposition d’une infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration-exploitation et/ou de sauvegarde externalisée.
Il vous faut un certificat Hébergeur infogéreur.
Il comprend 4 types d’activités (cf image 2)
Important : Si votre activité d’hébergeur s’inscrit dans les deux types d’activité, l’hébergeur doit obtenir les deux certifications.
Cette réponse vous a-t-elle été utile ?
Les principales étapes de l’accréditation pour les organismes de certification sont les suivantes :
- Etape 1 : Dossier de candidature
Vous complétez et envoyez le dossier de candidature à l’accréditation HDS auprès du COFRAC ou de l’organisme équivalent au niveau européen. - Etape 2 : Examen du dossier
Le Cofrac vérifier que le dossier de candidature est complet et le cas échéant, conclut un contrat avec l’organisme demandeur. - Etape 3 : Recevabilité technique
Le Cofrac vérifie que les exigences d’accréditation sont respectées.
Durée: entre 1 et 6 mois. - Etape 4 : Autorisation
En cas de décision favorable du Cofrac, la demande d'accréditation est prononcée : vous êtes autorisé à délivrer des certificats HDS pendant 9 mois. - Etape 5 : Mise en œuvre
Vous disposez d’un délai de 9 mois pour finaliser votre accréditation. Le Cofrac réalise une évaluation siège et une observation d’audit sur site. L’accréditation est délivrée pour une durée de 4 ans après l’évaluation siège. - Etape 6 : Renouvellement
Une observation d’audit a lieu tous les ans. Pour les cycles suivants, l’accréditation est délivrée pour une durée de 5 ans avec une évaluation siège et une observation tous les 15 mois.
Cette réponse vous a-t-elle été utile ?
À ce jour, il est possible de télécharger les réponses validées dans les questionnaires.
Cette réponse vous a-t-elle été utile ?
Les usagers sont les personnes usager du système de soin ou médico-social et non les professionnels de santé.
Le terme usager est préféré au terme « patient » car la personne n’est pas forcément une patiente (exemple usager de l’application de bien être ou usager d’une balance connectée)
Cette réponse vous a-t-elle été utile ?
Pour chaque démarche et pour tous les questionnaires à gradation (Interopérabilité, Urbanisation, Sécurité ou Politique globale), des échelles de maturité sont proposées pour chacun des critères.
Le niveau maximal (vert) est le niveau qui correspond à la mise en œuvre de la cible de la doctrine du numérique en santé pour le critère.
Pour le parcours doctrine du numérique en santé, un niveau « recommandé par la doctrine » intermédiaire a également été défini. Il peut être :
- le niveau maximal de maturité actuellement accessible au regard de la disponibilité des référentiels ou services nationaux mutualisés attendus en cible ;
- le niveau minimum de maturité qui devrait raisonnablement être atteint à date.
Pour le parcours Mon espace santé, les niveaux minimums requis pour les démarches de référencement sont précisées au niveau de chaque critère. Ils sont techniquement atteignables.
Cette réponse vous a-t-elle été utile ?
Si le niveau de maturité du produit dépasse le niveau de maturité attendu à date, cela ne signifie pas nécessairement que le niveau cible (niveau de maturité fort en vert) est atteint.
Il faut donc définir, lorsque c’est possible, un plan de convergence vers le niveau cible (niveau de maturité fort en vert), quel que soit le niveau atteint par le produit ou le niveau attendu à date.
Cette réponse vous a-t-elle été utile ?
Les questionnaires présentent pour chaque critère, plusieurs niveaux de maturité.
Ces différents niveaux ne tracent pas nécessairement un chemin vers les objectifs de la doctrine.
Pour certains critères, il peut être judicieux de directement orienter les efforts vers la cible proposée, en tenant compte des éléments de trajectoire nationale.
Cette réponse vous a-t-elle été utile ?
Pour chaque questionnaire, les critères de maturité sont regroupés par axe. Les diagrammes radars représentent le niveau moyen de maturité du produit selon les critères obligatoires de chaque axe.
La moyenne est calculée selon l’échelle suivante :
- 3 pour le niveau vert ;
- 2 pour le niveau jaune ;
- 1 pour le niveau orange ;
- 0 pour le niveau rouge.
Les réponses « non applicables » (grises) ne sont pas prises en compte dans le calcul de la moyenne, elles n'impactent donc ni négativement ni positivement la moyenne portée sur le radar. Il en est de même pour les questions libellées « option » pour lesquelles aucun niveau minimum n’est requis pour le référencement Mon espace santé.
Lorsque toutes les questions d'un axe sont « non applicables » ou libellées « option », l'axe est retiré du graphique.
Cette réponse vous a-t-elle été utile ?
Afin de signaler l'impossibilité d’atteindre le niveau cible pour un critère de convergence, il faut, dans le questionnaire de projection :
- laisser vide les listes déroulantes de sélection des dates ;
- cocher la case « La cible envisagée pour ce critère n'est pas applicable » ;
- ajouter un commentaire pour indiquer les raisons pour lesquelles la cible n’est pas atteignable.
Cette réponse vous a-t-elle été utile ?
Le référentiel de télésanté pose les exigences liées aux fonctionnalités nécessaires ou utiles à la réalisation d’un acte de téléconsultation, téléexpertise ou de télésoin. Il couvre notamment :
- la gestion et l’administration des identités ;
- la planification et la préparation d’un acte de téléconsultation, de téléexpertise et de télésoin ;
- la réalisation, la conclusion, le paiement et la facturation d’un acte de téléconsultation, de téléexpertise et de télésoin ;
- l’administration, la sécurisation et la traçabilité des données du système.
Cette réponse vous a-t-elle été utile ?
Les questionnaires de conformité proposent aux acteurs des secteurs sanitaire et médico-social des questionnaires pour évaluer la conformité de leurs solutions aux différents référentiels fonctionnels et à la réglementation en vigueur.
Les questionnaires de conformité mis en ligne dans Convergence à ce jour sont :
- questionnaire de Téléconsultation ;
- questionnaire de Téléexpertise ;
- questionnaire de Télésoin ;
- questionnaire d’Ethique Mon espace santé.
Cette réponse vous a-t-elle été utile ?
Oui. L’ANS met à votre disposition sa plateforme de formation e-santé, avec plusieurs vidéos d'accompagnement concernant la cybersécurité. Vous y trouverez, notamment, comment demander un audit de cybersurveillance, comment signaler un incident grave de sécurité SI, comment améliorer vos mots de passe, ou comment identifier les emails malveillants.
Cette réponse vous a-t-elle été utile ?