Blog Sciences du vivant
Référentiel relatif aux critères de référencement d’un outil ou service numérique dans « Mon espace santé » : une deuxième version publiée au JO
Par un arrêté du 23 octobre dernier, modifiant l’arrêté du 23 juin 2022 relatif aux critères applicables au référencement des services et outils numériques au catalogue de service de l’espace numérique de santé, une seconde version du référentiel est publiée au JORF du 31 octobre 2023.
Pour rappel, ce référentiel s’articule autour de trois thématiques principales en lien avec la doctrine du numérique en santé (« urbanisation », « interopérabilité », « sécurité ») et de thématiques complémentaires, y compris des exigences en éthique. Cette seconde version du référentiel prévoit deux parties en plus : des exigences relatives à la sécurité pour le référencement avec échange de données et aux finalités.
S’agissant des exigences de sécurité pour le référencement avec échange de données, 15 règles ont été définies concernant notamment :
- l’élaboration d’une politique de sécurité des systèmes d’information,
- la conduite d’une analyse de risques,
- la mise en œuvre de programmes d’audit permettant d’évaluer, au cours du temps, le niveau de sécurité de l’application soumise au référencement Mon espace santé,
- le respect de bonnes pratiques de sécurité lors de la conception et du développement de l’application soumise au référencement Mon espace santé ou lors de la configuration sécurisée lorsqu’il installe des services et des équipements sur les systèmes d’information de l’application en question,
- la cryptographie permettant de contrôler l’intégrité et la confidentialité des données,
- le cloisonnement et le filtrage des systèmes d’information,
- la certification des hébergeurs de données de santé.
Des éléments de preuve devront être apportés par les éditeurs des applications concernant chacune des règles définies.
S’agissant des finalités, afin d’être référencé, l’éditeur de l’application doit assurer que :
« L’outil ou le service numérique ne peut accéder (en lecture et/ou en écriture) aux données de Mon espace santé, avec l’accord exprès du titulaire, qu’à la condition que cet accès poursuive l’une des finalités suivantes : prévention, diagnostic, soins, suivi social et médico-social (art. L.1111-13-1 III du code de la santé publique). »
Il est aussi noté que les données de Mon espace santé auxquelles l’outil ou le service numérique aura ainsi accédé ne peuvent pas être réutilisées pour une quelconque autre finalité, y compris donc des finalités de recherches dans le domaine de la santé.