Obligations de l’ANS pour les ENS

Nos certifications
Normes & Directives Obligations de l’ANS pour les ENS

Les entreprises du numérique en santé (ENS) sont des acteurs essentiels du système de santé français. Elles développent et fournissent des produits et services numériques qui permettent d'améliorer la qualité des soins, l'efficacité des organisations et la participation des patients.

Pour garantir la sécurité et le bon fonctionnement de ces produits et services, l'ANS, l'Agence du Numérique en Santé, impose aux ENS un certain nombre d'obligations.

Ces obligations sont définies par le Règlement Général sur la Protection des Données (RGPD), par la Stratégie nationale de santé numérique et par des normes et guides techniques publiés par l'ANS.

Réaliser un test d'intrusion

Obligations en matière de sécurité des données

La sécurité des données est la priorité absolue des ENS. Elles doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles de santé qu'elles collectent, traitent ou stockent.

Ces mesures doivent être conçues pour prévenir les risques de destruction, perte, altération, divulgation ou accès non autorisés, accidentels ou illicites. Voici des exemples de mesures :

Mesures de sécurité que les ENS peuvent mettre en place

  • L'authentification forte des utilisateurs, par exemple via un mot de passe à usage unique (OTP) ou une authentification biométrique.
  • Le chiffrement des données en transit et au repos.
  • La segmentation des données, afin de limiter l'accès aux données sensibles.
  • La mise en place d'une politique de gestion des accès, afin de contrôler les accès aux données par les utilisateurs.
  • La mise en place d'un plan de reprise d'activité, afin de garantir la continuité du traitement des données en cas d'incident.
  • Réaliser des audits de sécurité et pentests, afin d’identifier les vulnérabilités d’un système informatique comme le ferait des hackers.

Mesures de sécurité spécifiques aux données de santé

  • L'utilisation de pseudonymisation ou de chiffrement homomorphe, afin de rendre les données de santé non identifiables.
  • La mise en place de mesures de sécurité spécifiques aux dispositifs médicaux connectés, tels que la protection contre les interférences électromagnétiques ou la protection contre les cyberattaques.

Obligations en matière d'interopérabilité

L'interopérabilité est la capacité de deux ou plusieurs systèmes ou applications à communiquer et à échanger des données de manière efficace et sécurisée. Elle est essentielle pour garantir la fluidité des échanges de données entre les différents acteurs du système de santé.

Les ENS doivent veiller à ce que leurs produits et services soient interopérables avec les autres systèmes et services de santé. Pour cela, elles peuvent utiliser des normes et des guides techniques publiés par l'ANS.

Exemples de normes et guides techniques publiés par l'ANS

  • La norme simplifiée d'interopérabilité des systèmes d'information de santé (SDIS).
  • Le guide technique d'interopérabilité des applications de santé (GTIAS).
  • Le guide technique d'interopérabilité des dispositifs médicaux connectés (GTIDMC).

Obligations en matière de conformité aux normes

Les ENS doivent respecter les normes applicables à leurs produits et services. Ces normes peuvent être définies par le législateur, par des organismes de normalisation ou par les professionnels de santé.

L'ANS peut imposer des exigences de conformité aux normes aux ENS dans le cadre de ses missions.

Exemples de normes applicables aux ENS

  • La norme ISO/IEC 27001, relative à la sécurité des systèmes d'information.
  • La norme ISO/IEC 17088, relative aux systèmes de gestion de la sécurité des données de santé.
  • La norme EN 13942, relative aux dispositifs médicaux connectés.

Autres obligations pour les ENS

En plus des obligations mentionnées ci-dessus, les ENS peuvent également être soumises à d'autres obligations, en fonction de la nature de leurs activités.

Par exemple, les ENS qui développent des dispositifs médicaux numériques doivent obtenir une autorisation de mise sur le marché (AMM) auprès de l'ANSM.

Sanctions en cas de non-respect des obligations

Les ENS qui ne respectent pas leurs obligations peuvent faire l'objet de sanctions, notamment administratives ou pénales.

  • Les sanctions administratives peuvent prendre la forme d'une amende, d'une injonction ou d'une suspension de l'activité.
  • Les sanctions pénales peuvent prendre la forme d'une amende ou d'une peine d'emprisonnement.

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités. Contactez-nous

Contactez-nous !

+33 1 85 09 15 09
*requis