Histologie des Glandes Annexes Digestives (Chapitre 3/3 de l'Histologie du l'...
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande de renouvellement"
1. Hébergement de
données de santé
Dossiers de demande de
renouvellement
Jeanne BOSSI
Philippe BICLET
Jean-François PARGUET
13 Septembre 2013
2. Article R 1111-15 du code de la santé publique
« L'agrément est délivré aux hébergeurs de données de santé à caractère
personnel sur support informatique pour une durée de trois ans.
La demande de renouvellement doit être déposée au plus tard six
mois avant le terme de la période d'agrément. Elle comprend les
documents mentionnés au 8° de l’article R 1111-12 et un
récapitulatif des modifications intervenues depuis la dernière
demande d'agrément en ce qui concerne les autres documents
mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais
de l'hébergeur, attestant de la mise en œuvre de la politique de
confidentialité et de sécurité mentionnée à l’article R 1111-14. Elle
est instruite selon la même procédure que celle applicable à la
demande initiale.
Les décisions d'agrément, ainsi que le renouvellement de cet agrément,
sont publiées au Bulletin officiel du ministère de la santé. ».
13 Septembre 2013Demande de renouvellement 2
3. Article R 1111-12 du code de la santé publique
« Le dossier de demande d'agrément comprend les éléments suivants:
1° L'identité et l'adresse du responsable du service d'hébergement et, le cas échéant, de son
représentant ; pour les personnes morales, les statuts sont produits ;
2° Les noms, fonctions et qualifications des opérateurs chargés de mettre en œuvre le service, ainsi
que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont
accès aux données hébergées ;
3° L'indication des lieux dans lesquels sera réalisé l'hébergement ;
4° Une description du service proposé ;
5° Les modèles de contrats devant être conclus, en application du deuxième alinéa de l'article L. 1111-
8, entre l'hébergeur de données de santé et les personnes physiques ou morales qui sont à l'origine du
dépôt des données de santé à caractère personnel ; ces modèles sont établis conformément aux
dispositions de l'article R. 1111-13 ;
6° Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par
la loi, notamment la présentation de la politique de confidentialité et de sécurité prévue au 2° de l'article
R. 1111-9 ;
7° Le cas échéant, l'indication du recours à des prestataires techniques externes et les contrats
conclus avec eux ;
8° Un document présentant les comptes prévisionnels de l'activité d'hébergement et, éventuellement,
les trois derniers bilans et la composition de l'actionnariat du demandeur, ainsi que, dans le cas d'une
demande de renouvellement, les comptes de résultat et bilans liés à cette activité d'hébergement depuis
le dernier agrément.
L'hébergeur déjà agréé informe sans délai le ministre chargé de la santé de tout changement affectant
les informations mentionnées ci-dessus et de toute interruption,temporaire ou définitive,de son activité. »
3
4. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 4Demande de renouvellement
5. Eléments sur le déroulement de la procédure
Conformément au décret 2006-6 du 4 janvier 2006, les dossiers de
demande de renouvellement sont instruits selon la même procédure que
les demandes initiales :
Avis de la CNIL, puis avis du CAH et décision du ministre en charge de la
santé.
Le renouvellement d’agrément n’est donc pas automatique. La CNIL, le CAH
et le ministre en charge de la santé apprécient la demande de
renouvellement.
13 Septembre 2013Demande de renouvellement 5
Dépôt de
demande
d’agrément
1ère Année
2 mois
Auto-
évaluation
2ème Année 3ème Année
2 mois 6 mois
Auto-
évaluation
Demande
Renouvellement
Renouvellement
Non Renouvellement
Agrément
6. Eléments sur le déroulement de la procédure
Modalités d’instruction
Les dossiers sont instruits sur le fondement des documents exigés par le
décret, de la prise en compte par l’hébergeur des recommandations qui
accompagnaient la décision d’agrément et de l’adaptation du service aux
évolutions de la doctrine et de l’état de l’art.
Instruction des dossiers par la CNIL et le CAH : délais et
communication des avis de la CNIL
Décision du CAH de surseoir à statuer sur certains dossiers de
demande de renouvellement
Rapport d’activité du CAH et mise à jour de la FAQ
13 Septembre 2013Demande de renouvellement 6
7. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 7Demande de renouvellement
8. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
L’article R 1111-15 du code de la santé publique liste les éléments
que doivent contenir les dossiers de demande de renouvellement
d’agrément:
1. la mise à jour des données financières et comptables ;
2. la liste des modifications apportées depuis l’agrément initial ;
3. un rapport d’audit externe de sécurité.
Un premier examen de la complétude des dossiers est donc réalisé.
Afin d’accompagner les hébergeurs dans l’élaboration de leur dossier de
demande de renouvellement, un formulaire a été publié et permet aux
hébergeurs de s’assurer de la complétude de leur dossier.
13 septembre 2013
Demande de renouvellement
8
9. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
1- Les informations financières et comptables
L’article R 1111-15 du code de la santé publique précise que le dossier de
demande de renouvellement doit comporter les éléments financiers visés à
l’article R 1111-12 8°: « les comptes prévisionnels de l'activité d'hébergement
et, éventuellement, les trois derniers bilans et la composition de l'actionnariat du
demandeur, ainsi que, dans le cas d'une demande de renouvellement, les
comptes de résultat et bilans liés à cette activité d'hébergement depuis le
dernier agrément. »
• Le CAH doit apprécier les garanties d’ordre financier et
économique offertes par le candidat.
• Le CAH doit s’assurer de la pérennité de la société capacité à
garantir la disponibilité et la pérennité des données de santé.
13 Septembre 2013Demande de renouvellement 9
10. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
2- Evolution et modifications apportées au service d’hébergement
depuis l’agrément initial
L’article R 1111-15 du code de la santé publique dispose que le dossier de demande de
renouvellement doit comporter « un récapitulatif des modifications intervenues depuis la
dernière demande d’agrément en ce qui concerne les autres documents mentionnés à
[l’article R 1111-12]. »
• Nécessité pour l’hébergeur de présenter les évolutions apportées sur le
service agréé ayant un impact sur les éléments mentionnées à l’article R
1111-12.
Exemples: modifications des statuts, recours à un nouveau sous-traitant, nouveau site dans
lequel sera réalisé l’hébergement, nouvelle disposition de sécurité mise en œuvre, etc.
13 Septembre 2013Demande de renouvellement 10
11. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
2- Evolution et modifications apportées au service d’hébergement
depuis l’agrément initial
Les évolutions et modifications apportées au service d’hébergement
de données de santé ne peuvent modifier substantiellement le
périmètre du service agréé et par voie de conséquence constituer un
avenant au contrat d’hébergement.
• Exemples d’évolutions modifiant le périmètre de la prestation exigeant une
nouvelle demande d’agrément
Hébergeur agréé pour un service où il infogère l’ensemble du système, mais
souhaitant proposer ce même service en confiant au client une partie de l’infogérance
du service.
Hébergeur agréé pour l’hébergement d’une application nominativement désignée,
mais souhaitant héberger dans les mêmes conditions techniques toute application
fournie par les clients et gérant des données de santé à caractère personnel
(demandes génériques).
13 Septembre 2013Demande de renouvellement 11
12. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
3- Le rapport d’audit externe
Conformément à l’article R 1111-15 du code de la santé publique, la demande de
renouvellement doit comprendre « un audit externe réalisé aux frais de l'hébergeur, attestant de
la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l’article R 1111-
14. …. ».
• Cet audit doit couvrir les exigences du décret et analyser le degré de
conformité des moyens mis en œuvre par l’hébergeur au regard de ces
exigences. Il ne suffit donc pas de se limiter à analyser la conformité
des moyens mis en œuvre par l’hébergeur au regard de ce qu’il a
déclaré dans son dossier de demande d’agrément initial. En outre, la
conformité doit aussi être évaluée eu égard aux évolutions de l’état de
l’art ayant pu émerger depuis la demande d’agrément initiale.
• L’audit doit également prendre en compte les recommandations qui
accompagnaient la décision d’agrément et indiquer ce qui a ou non été
mis en place par l’hébergeur pour les respecter.
13 Septembre 2013Demande de renouvellement 12
13. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
3- Le rapport d’audit externe
• Afin d’accompagner les hébergeurs dans la conduite de l’audit externe,
l’ASIP Santé a ajouté une nouvelle question dans sa FAQ et propose
un exemple de scénario d’audit portant sur la conformité des moyens
techniques mis en œuvre par l’hébergeur aux exigences du décret
2006-6 du 4 janvier 2006. Ce document constitue un simple canevas
qui répertorie l’ensemble des exigences énoncées dans le formulaire
P6 et prises en compte, toutes ou parties par l’hébergeur lui-même ou
par des tiers en fonction des reports de responsabilité qu’il a déclarés.
Comme le décret 2006-6 du 4 janvier 2006 n’évoque ni la qualité, ni la
nature de l’auditeur externe auquel l’hébergeur doit recourir, la nouvelle
question de la FAQ précise que l’hébergeur pourra faire appel à un
auditeur qualifié par l’ANSSI.
13 Septembre 2013Demande de renouvellement 13
14. Appréciation des éléments du dossier de
demande de renouvellement
Recommandations du ministre
Les décisions favorables d’agrément délivrées par le
ministre en charge de la santé sont accompagnées de
recommandations.
Lors de l’analyse d’un dossier de demande de
renouvellement, le CAH vérifie si l’hébergeur a tenu compte
de ces recommandations et s’assure des moyens mis en
œuvre pour y répondre.
Le CAH apprécie bien sûr la nature des recommandations
émises au regard des évolutions du cadre de l’hébergement.
13 Septembre 2013Demande de renouvellement 14
15. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 15Demande de renouvellement
16. Les évolutions du cadre de l’hébergement
Evolution du cadre juridique
• L’hébergeur doit apporter à son service d’hébergement les modifications
nécessaires pour respecter le cadre juridique.
• Nécessité d’assurer une veille juridique.
Exemple :
Dispositions de l’article L 1110-4 du code de la santé publique modifiées par
la loi « HPST » du 21 juillet 2009 : obligations pour les professionnels de santé
d’utiliser une carte CPS ou tout autre dispositif équivalent.
Systèmes de messageries sécurisées de santé : dispense de recueil du
consentement.
13 Septembre 2013Demande de renouvellement 16
17. Les évolutions du cadre de l’hébergement
Evolution de la doctrine du CAH
• Renforcement du contrôle du CAH dû à la présentation de prestations
génériques
Tout report d’obligation du décret, sur le client, doit être couvert
contractuellement et accompagné d’un réel devoir de conseil.
Désigner les sous-traitants et joindre les contrats de sous-traitance.
Délimiter clairement le périmètre de la prestation d’hébergement et ne
pas proposer une prestation de type « catalogue de services ».
• Mise à jour de la FAQ afin de transmettre l’information aux
hébergeurs et plus largement au grand public.
13 Septembre 2013Demande de renouvellement 17
18. Evolutions de l’activité d’hébergement
Evolution des technologies
• Obligation d’assurer une veille technologique, afin de garantir le
respect de l’état de l’art.
• Travaux de la PGSSI-S
Exemples:
Evolution de la robustesse des mots de passe administrateurs.
Prendre en compte la gestion des changements dans les processus,
procédures et mécanismes décrits.
Chiffrement des supports de sauvegardes externalisés.
13 Septembre 2013Demande de renouvellement 18
19. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 19Demande de renouvellement