Quelques mots de contexte d’abord. Rappelons que les outils et services numériques, développés par des éditeurs publics ou privés, référencés au catalogue de service de l’espace numérique de santé peuvent faire l’objet d’audits afin de garantir leur conformité dans le temps aux éléments contenus dans la demande de référencement ayant donné lieu à la décision du ministre chargé de la santé.
Conformément à l’article à l’article R. 1111-38 du code de la santé publique, une procédure d’audit des services et outils numériques référencés, devait être définie afin de garantir leur conformité dans le temps aux éléments contenus dans la demande de référencement initiale, et c’est précisément l’objet de l’arrêté du 20 novembre 2023.
Cet arrêté prévoit que cette procédure d’audit est mise en œuvre par l’agence du numérique en santé (« ANS ») qui établit le plan d’audit, assure son application et son suivi.
Le plan d’audit doit comprendre le périmètre de l’audit, la définition du calendrier de l’audit et les conditions de sa réalisation telles que mentionnées au présent article. Ce plan est communiqué par l’auditeur à l’éditeur de l’outil ou service numérique préalablement à la réalisation de l’audit.
L’audit quant à lui est réalisé sur pièces et porte sur les aspects techniques de l’outil ou service numérique aux fins de vérifier ses fonctionnalités et caractéristiques au regard des éléments contenus dans le dossier de demande de référencement. Si l’analyse des pièces révèle des anomalies, un audit complémentaire peut être réalisé sur site.
Cet audit peut également être réalisé en cas de signalement pour non-conformité aux référentiels d’interopérabilité et de sécurité des services numériques en santé par les utilisateurs du catalogue de l’espace numérique de santé.
A l’issue de l’audit, un rapport est rédigé par des auditeurs de l’ANS, lequel propose des observations, des conclusions et, le cas échéant, des recommandations au regard des éléments de non-conformités et de leur niveau de gravité.
L’éditeur dispose d’un délai afin d’apporter des corrections nécessaires et de faire des observations à l’issue duquel un rapport final d’audit est alors rédigé.
Le rapport final d’audit est transmis au ministre chargé de la santé, lequel est informé sans délai en cas de non-conformité majeure. Dans ce cas, le ministre informe l’éditeur du risque de retrait du référencement de son outil ou service numérique et du délai imparti pour le mettre en conformité.