FAQ de l'offre : Conformité (labels, référencements et certifications)

Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification ) : 

• la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ; 
• la sécurisation de la procédure d’accès ; 
• la collecte et la conservation des traces des accès effectués et de leurs motifs ; 
• la validation préalable des interventions (plan d’intervention, processus d’intervention).

Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés.

Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.

Une période de transition, calculée à compter de la date de publication de l’arrêté du 26/04/2024, a été fixée à 6 mois (soit le 16/11/2024) pour les organismes de certification et à 24 mois pour les hébergeurs déjà certifiés (soit le 16/05/2026). Pour plus d'information, veuillez consulter la note de transition détaillée publiée sur le site du COFRAC

Oui : l'utilisation d'un code d'une nomenclature au lieu d'un libellé n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Oui : le chiffrement n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :

• l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
• le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».

Les modalités sont définies dans les Référentiels d’Accréditation et de certification HDS. Ces deux documents sont téléchargeables sur le site de l’ANS.

Il n’y a pas d’obligation de recourir au même organisme de certification qui a délivré la certification ISO 27001.

Pour obtenir la certification HDS, un hébergeur peut recourir au même organisme de certification qui lui a délivré sa certification ISO 27001, si ce dernier est accrédité HDS ou à un autre organisme de certification accrédité HDS.

Pour se prévaloir d’une certification ISO 27001 déjà obtenue, la certification doit respecter les conditions d’équivalence du certificat précisées dans le référentiel d’accréditation HDS et notamment celles relatives au périmètre d’application de la certification déjà obtenue : cette dernière doit inclure le périmètre pour lequel le candidat demande une certification HDS.

Non, ce n’est pas une obligation. Toutefois, il est recommandé de faire appel à des sous traitants certifiés sur le périmètre qui leur est confié. Cela facilite le respect des exigences de l'ISO 27001 relative aux fournisseurs.

Par ailleurs en tant qu'hébergeur , je dois être certifié sur toutes les activités concernées par mon offre y compris celles confiées à mon sous-traitant. 

Oui, un hébergeur de données de santé doit être certifié sur toutes les activités concernées par son offre, y compris les activités partiellement ou entièrement sous-traitées.