Blog Données personnelles
Les modalités de délivrance d’un « certificat de conformité » pour les services numériques en santé précisées
Pris en application de la loi n°2022-1616 du 23 décembre 2022 de financement de la sécurité sociale pour 2023, le nouveau décret n°2023-1315 définit les modalités de délivrance des « certificats de conformité aux référentiels » d’interopérabilité, d’éthique et de sécurité des services numériques en santé et précise le délai d’instruction des demandes d’agrément des sociétés de téléconsultation.
Pour rappel, la loi de financement de la sécurité sociale (LFSS) pour 2023 a modifié l’article L. 1470-6 du Code de la santé publique (CSP) – initialement créé par l’ordonnance n°2021-581 du 12 mai 2021 – afin de consacrer le principe de la délivrance d’un certificat de conformité pour attester de la conformité des services numériques en santé mentionnés à l’article L. 1470-1 du CSP aux référentiels d’interopérabilité et de sécurité élaborés par l’Agence du numérique en santé (ANS). L’objectif est de conditionner la prise en charge par l’assurance maladie des outils numériques à la production d’un certificat de conformité à un ou plusieurs référentiels de l’ANS.
Le nouveau décret n°2023-1315, adopté le 27 décembre et publié au Journal Officiel le 29 décembre 2023, définit alors les modalités de délivrance de ces certificats de conformité aux référentiels d’interopérabilité, d’éthique et de sécurité, qui peuvent être exigés des personnes morales et physiques proposant des services numériques en santé couverts par le périmètre défini par l’article L. 1470-1 du CSP. Ce décret précise également les modalités de validité du certificat ainsi que les règles à suivre en cas de modifications du service ou du référentiel.
Les modalités de délivrance du certificat de conformité
Selon le décret, les personnes physiques ou morales, de droit public ou privé, proposant les services numériques en santé concernés et souhaitant obtenir le certificat de conformité doivent en faire la demande, de manière dématérialisée à l’Agence du Numérique en Santé (« ANS »), dès lors que l’arrêté du ministre chargé de la santé, adopté pour rendre le référentiel applicable sur le fondement du deuxième alinéa de l’article L1470-5 du CSP, le prévoit.
L’ANS est chargée d’établir les « référentiels d’accréditation » des organismes de certification, chacun d’eux devant être approuvé par un arrêté du ministre chargé de la santé. Les organismes de certification sont eux-mêmes accrédités par « l’instance française d’accréditation » ou par celle d’un autre Etat membre de l’UE, selon le référentiel également établi par l’ANS. Cette dernière devra également publier sur son site internet la liste des organismes de certification accrédités pour chaque référentiel.
L’instruction des demandes de certification
Les organismes de certification accrédités ont au maximum six mois pour prendre une décision d’accorder ou non un certificat de conformité à compter de la réception du dossier complet. Au-delà de ce délai de six mois, le silence de l’organisme de certification vaut acceptation de la demande. Dans ce délai d’instruction des demandes, les organismes de certification accrédités sont autorisés à vérifier le respect de certaines exigences du référentiel concerné par une visite ou une démonstration du fonctionnement de l’outil au sein des locaux du demandeur.
La validité du certificat dans le temps
Une vérification de conformité peut être réalisée « suivant une périodicité déterminée ». Des contrôles des services numériques certifiés peuvent être réalisés par l’ANS. Là encore, l’ANS peut demander de réaliser une visite ou de bénéficier d’une démonstration du fonctionnement de l’outil concerné au sein des locaux du titulaire du certificat.
Dans le cas où un service numérique en santé n’est plus conforme aux exigences du référentiel pour lequel il a été certifié, l’ANS met en demeure le titulaire du certificat de conformité de prendre les mesures nécessaires pour corriger cette non-conformité dans un délai maximal de six mois. Le décret prévoit la possibilité pour l’ANS de retirer le certificat de conformité dès lors que le titulaire ne prendrait pas de telles mesures à l’issue du délai susmentionné.
Enfin, le décret impose au titulaire du certificat de conformité de déclarer sans délai à l’organisme lui ayant délivré ledit certificat ou, à défaut, à l’ANS toute modification du service numérique susceptible de remettre en cause sa conformité au référentiel concerné.
La publicité des certificats de conformité
Ce décret impose enfin à l’ANS de maintenir à jour sur son site internet la liste des demandes de certificats en cours d’instruction, ainsi que celle des certificats de conformité délivrés.
➡️ Le projet de décret fixant les modalités d’octroi de l’agrément des sociétés de téléconsultation et sa durée fait l’objet d’un article dédié sur le blog Santé.