Cette circulaire présente le cadre de gestion définissant les modalités de gestion des processus de certification et d’homologation des produits et services technologiques du secteur de la santé et des services sociaux (SSSS).  

La présente circulaire s’appuie sur les références légales suivantes : 

• Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (R.L.R.Q., c. G-1.03, a. 10).
• Loi sur le ministère de la Santé et des Services sociaux, ci-après appelée LMSSS (R.L.R.Q., c. M-19.2, a. 5.2). 
• Loi concernant le partage de certains renseignements de santé, ci-après appelée LPCRS (R.L.R.Q., c. P-90001, a. 4). 
• Règle particulière sur la certification des produits et services technologiques (C.T. 212626 et publiée avec la circulaire 04-02-00-01).

Le champ d’application de cette circulaire s’applique à toute personne ou société assujettie aux lois susmentionnées et impliquée dans la gestion des ressources informationnelles du SSSS au niveau de l’acquisition ou du renouvellement de produits et services technologiques pour lesquels des exigences de certification ou d’homologation ont été émises par le bureau de certification et d’homologation du ministère de la Santé et des Services sociaux (MSSS).

La complexité découlant de la diversité de l’offre technologique et des solutions logicielles constitue de véritables défis pour maintenir l’environnement technologique composant les actifs informationnels du SSSS toujours interopérables, intégrés, sécuritaires et performants. 

Le dirigeant réseau de l’information (DRI) a créé un bureau de certification et d’homologation chargé de mettre en place des processus de certification et d’homologation de produits et services technologiques basés sur des normes, standards et exigences particulières du SSSS. Les modalités de gestion desdits processus sont définies via le cadre de gestion de la certification et de l’homologation des produits et services technologiques.

Ce cadre de gestion vise, d’une part, à contrôler et encadrer les échanges entre les actifs informationnels du SSSS et les applications tierces, d’autre part, à encadrer le processus d’acquisition des produits et des services technologiques prévus par la LPCRS et la LMSSS en facilitant le choix de solutions technologiques répondant aux besoins et contraintes spécifiques du SSSS. Il définit également les rôles et responsabilités des différents acteurs clés impliqués ainsi que la gouvernance globale encadrant lesdits processus.

Toute version d’une application destinée à interagir avec les actifs informationnels du SSSS doit être officiellement certifiée ou homologuée et recevoir un code d’identification unique lorsqu’une telle certification ou homologation est jugée nécessaire par le MSSS. Les obligations de certification ou d’homologation des produits et services technologiques seront introduites sur une base progressive en fonction des priorités du MSSS. 

Les principales orientations mises de l’avant dans ce cadre de gestion couvrent tout le cycle de vie des processus de certification et d’homologation en apportant des précisions sur chacune des étapes essentielles, notamment la création, la réalisation et le suivi desdits processus. Ces processus facilitent une meilleure compréhension des besoins spécifiques du SSSS et favorisent le développement d’une offre de produits et services technologiques mieux adaptés auxdits besoins.

Le DRI définit les modalités de gestion des processus de certification et d’homologation des produits et services technologiques. Ces modalités prévoient que :

1° le bureau de certification et d’homologation veille à la bonne marche du processus;

2° le bureau de certification et d’homologation coordonne l’ensemble des activités et constitue le point d’entrée unique du processus de certification des produits et services technologiques du SSSS;

3° le DRI approuve les objectifs, les orientations et la portée de chaque certification; 

4° l’organisme auditeur est autonome et imputable dans la réalisation des vérifications sous sa responsabilité, notamment en matière d’intégrité, d’interopérabilité, de sécurité, des aspects cliniques ou technologiques; 

5° les personnes ou sociétés assujetties aux lois susmentionnées doivent acquérir uniquement les versions certifiées des produits et services technologiques lorsqu’une telle certification existe;  

6° le bureau de certification et d’homologation informe les fournisseurs de produits et services technologiques, pour lesquels des exigences de certification ont été émises, qu’ils doivent :

1. présenter au MSSS une demande de certification dûment complétée;
2. se conformer aux exigences et délais prescrits pour la certification des produits et services;
3. informer le MSSS de tout changement apporté à la version d’une application certifiée en tenant un registre à jour des changements réalisés après l’obtention d’une certification donnée;
4. se soumettre, au besoin, à une nouvelle certification selon une échéance et des exigences prescrites;
5. informer le MSSS de tout problème de sécurité, technologique ou fonctionnel découvert dans le produit ou le service après que celui-ci ait obtenu la certification;
6. assurer le soutien à l’utilisation et le soutien technique de son produit ou son service vis-à-vis les utilisateurs finaux afin de garantir en tout temps la continuité des services;
7. effectuer les correctifs nécessaires à la suite de la détection d’une anomalie et déployer la version corrigée dans les plus brefs délais afin de s’assurer d’une intégrité des données;
8. intégrer les changements à la suite de modifications du cadre légal ou à la suite de l’amélioration et de l’évolution de l’actif informationnel le concernant;
9. se soumettre, au besoin, au processus de suivi.

La publication dudit cadre de gestion dans le SSSS vise à permettre l’appropriation de son contenu par les principaux acteurs mentionnés plus haut au niveau de la portée. Ainsi, il sera possible d’assurer le maintien des caractéristiques propres de l’environnement technologique composant les actifs informationnels du SSSS.

Pour tout renseignement additionnel relatif à cette circulaire, nous vous invitons à contacter le bureau de certification et d’homologation du MSSS au 581 814-9100, poste 61117 ou à l’adresse certification.homologation@msss.gouv.qc.ca.