Notre méthodologie ''passeport pour l‘obtention de l’agrément'‘ a été conçue à partir d’un socle de référentiel reconnu dans le monde de la sécurité informatique. Elle répond aux exigences de l’ASIP et aux besoins des métiers de la santé (ISO 27799)

1. RAPPEL DU CADRE DE L’AGRÉMENT
CONTRAINTES & OBLIGATIONS LÉGALES
EXPERTISES SECTORIELLES
PASSEPORT POUR L’OBTENTION DE L’AGRÉMENT
5 PHASES D’ACCOMPAGNEMENT
AUDIT ANNUEL DE L’AGRÉMENT
RECONDUCTION DE L’AGRÉMENT
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

2. La procédure d’agrément répond à trois objectifs :
Apporter les garanties d’hébergement de données de santé aux patients par
les pouvoirs publics,
Faciliter le respect des exigences légales des activités de "promoteur" de
systèmes d’information de santé,
Valider le savoir faire d’un prestataire de service d’hébergement.
L’éditeur de logiciel et son hébergeur (sous-traitant) doivent se mettre aux normes de
sécurité pour satisfaire aux exigences de confidentialité, disponibilité, intégrité et traçabilité
des données de santé des patients.
Les obligations légales de l’hébergeur concernent son organisation et ses moyens techniques
pour le dépôt, la conservation et la restitution des données de santé.
L’agrément est délivré à un responsable des traitements (éditeurs/CH/CHU) qui peut être son
propre hébergeur ou fait appel à un hébergeur (sous-traitant).
Un candidat dépose une demande sur un seul ou plusieurs types de prestations
d’hébergement (chaque type de prestations correspond à un modèle de contrat distinct
définissant le service et les conditions d’hébergement).
L’agrément est délivré pour une durée de trois ans. L'hébergeur agrée est dans l’obligation de
présenter sa demande de reconduction 6 mois avant la date d’échéance.
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

3. Le traitement de la donnée de santé à caractère personnel est assujetti à de fortes contraintes :
Déclaration auprès de la CNIL (Loi informatique et liberté),
Obtention de l’agrément ministériel le cas échéant,
Plan de réversibilité de la donnée,
Conservation de la donnée le cas échéant (15, 20 ans et au delà),
Garantie de Disponibilité, Confidentialité, Intégrité, Inviolabilité et Traçabilité de la
donnée,
Respect du code de la santé publique (Articles L.1111-8 et R.1111-9 à 16-1).
Les obligations légales de l’hébergeur en charge de la donnée de santé concernent :
Son organisation, ses moyens matériels et ses garanties,
Les moyens techniques mis en œuvre pour le dépôt, la conservation, la sauvegarde et la
restitution de ces données.
La prestation d'hébergement de données de santé à caractère personnel recueillies auprès
de professionnels ou d'établissements de santé (…) sans être titulaire de l'agrément prévu
par l'article L. 1111-8 ou de traitement de ces données sans respecter les conditions de
l'agrément obtenu est punie de trois ans d'emprisonnement et de 45 000 euros d'amende »
(Art. L. 1115-1 CSP).
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

4. Nos offres de conseil et d’assistance à maîtrise d’ouvrage couvrent 11 expertises
sectorielles,
Nous nous appuyons sur des méthodologies éprouvées et des outils personnalisés afin
d’élaborer la stratégie future d’un Système d’Information.
Management des
identités (IAM &
SSO)
Passeport pour l’obtention Plan d’Assurance
de l’agrément à Sécurité & Qualité
l’hébergement des données (PAS/PAQ)
de santé
Contraintes
juridiques et
Mise en conformité éthiques
(normes ISO/ RGS) &
homologation
Contrat de niveau
de services (SLA)
Politique de
Sécurité du SI
Plan de reprise et
de continuité
Système de d’activité
Management de la
Sécurité des SI
Cryptage, protection
et intégrité des
Maturité de la données
sécurité du SI
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

5. offre de service proposant un découpage du projet global en 5 phases distinctes.
méthode adaptable à la situation du candidat (objectifs, historique, contexte),
Notre méthodologie ''passeport pour l‘obtention de l’agrément'‘ a été conçue à partir
d’un socle de référentiel reconnu dans le monde de la sécurité informatique. Elle
répond aux exigences de l’ASIP et aux besoins des métiers de la santé (ISO 27799)
Phase Phase 1 Phase 2 Phase 3 Phase 4
d’etude Audit Ebios PSSI Formalisation
Préparer le terrain Auditer le périmètre Analyser les risques Etablir les règles Formaliser les documents
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

6. AMO selon 5 phases concomitantes, méthodologiques et planifiées,
Création et développement d’un Système de Management de la Sécurité du SI,
Création d’un périmètre organisationnel, technique, éthique et fonctionnel.
Phase 5
Phase 1 Phase 2 Phase 3 Phase 4
montage
Avant-projet Audit Ebios PSSI
du dossier
Etude de conception Contrôle du niveau de Contrôle du niveau de Contrôle du niveau de Compte rendu du
générale maturité SSI maturité SSI maturité SSI niveau de maturité SSI
Cahier des charges Définition de Définition des Présentation du
Audit métier & Process
fonctionnel l’architecture cible éléments stratégiques candidat
Plan d’Assurance Audit infrastructure & Constitution du Présentation des sous-
Etude du contexte
Qualité sécurité référentiel traitants
Compte rendu des Plan d’analyse des
Sélection des outils Etude des besoins Déclinaison des règles
audits risques
Cahier des charges Formalisation de la Dispositions de
Outils de suivi Etude des menaces
fonctionnel politique du SI sécurité
Nommages des Formalisation du Identification des Elaboration du plan Domaine Economique
acteurs projets compte rendu d’audit objectifs de sécurité d’actions et financier
Création de la fiche Organisation des Domaine éthique &
Validation du planning Mesures de sécurité
navette projets SSI juridique
Présentation des Tableaux de bord de la
Réunion préparatoire Rapport FEROS Envoi dossier ASIP
conclusions Sécurité du SI
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

7. Tout organisme agréé doit mettre en œuvre un contrôle régulier de son activité, et pour ce
faire, doit fournir un rapport d’auto-évaluation annuel.
Notre prestation de suivi annuel est basée sur :
Un audit conduit selon la norme Iso 27799,
La reprise de l’historique (Audit, Etudes des risques, Base documentaire, Politique
générale de sécurité, Déclaratif formulaires ASIP),
le ‘’Snapshot’’ de l’existant et le scan des changements sur l’année en cours,
la formalisation du RAE (Rapport d’Auto-Evaluation) avec préconisations et conclusions.
Hébergeur
agrée
Audit Rapport Envoi
d’Auto-Evaluation
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

8. Notre prestation de reconduction est basée sur :
la reprise et l’analyse de tous les éléments depuis l’année d’obtention,
a création d’un dossier de recollement des RAE (Rapports d’Auto-Evaluation),
l’analyse et le rapport des tableaux de bord de la sécurité du SI,
le compte rendu des audits et le scan des changements annuels,
la création du rapport d’activité et du dossier de renouvellement ASIP.
Activité d’hébergement
1 ère 2 ème 3 ème
Reconduction
année année année
d’agrément
Année 1 Année 2 Année 3 pour 3 ans
Dossier de
demande de
RAE RAE RAE reconduction
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

9. http://www.actitconseil.fr
© 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr