Les outils et services numériques, développés par des éditeurs publics ou privés, référencés au catalogue de service de l'espace numérique de santé peuvent faire l'objet d'audit afin de garantir leur conformité dans le temps aux éléments contenus dans la demande de référencement ayant donné lieu à la décision du ministre chargé de la santé mentionnée à l'article R. 1111-38 du code de la santé publique.

I. - La procédure d'audit est mise en œuvre par le groupement d'intérêt public mentionné à l'article L. 1111-24 du code de la santé publique. En lien avec les services du ministre chargé de la santé, il établit le plan d'audit, assure son application et son suivi dans les conditions prévues aux articles 3 et 4.
II. - Afin d'assurer sa mission prévue au I, le groupement d'intérêt public a accès à l'intégralité du dossier déposé par l'éditeur de l'outil ou service numérique dans le cadre de sa demande de référencement au catalogue de service de l'espace numérique de santé.
III. - Le groupement d'intérêt public visé au I peut recourir, dans les conditions prévues à l'article 4, à des auditeurs externes pour réaliser l'audit de l'outil ou du service numérique référencé sur la base du plan mentionné au I.

I. - Le plan d'audit mentionné à l'article 2 comprend le périmètre de l'audit, la définition du calendrier de l'audit et les conditions de sa réalisation telles que mentionnées au présent article. Ce plan est communiqué par l'auditeur à l'éditeur de l'outil ou service numérique préalablement à la réalisation de l'audit.
II. - L'audit peut être réalisé sur pièces. Dans ce cas, l'éditeur est tenu de communiquer, sur demande de l'auditeur, tout document ou toute information organisationnelle, fonctionnelle ou technique, quel qu'en soit le support, permettant d'attester de la conformité dans le temps aux éléments mentionnés à l'article 1er, y compris les mises à jour des pièces justificatives figurant dans la demande initiale de référencement susceptibles d'être demandées par l'auditeur.
L'éditeur communique les pièces demandées par l'auditeur dans le délai prévu par le plan d'audit mentionné au I et, dans la mesure du possible, dans un format électronique.
III. - L'audit peut porter sur les aspects techniques de l'outil ou service numérique aux fins de vérifier ses fonctionnalités et caractéristiques au regard des éléments contenus dans le dossier de demande de référencement. Pour permettre cette évaluation technique, l'éditeur octroie à l'auditeur un accès effectif aux outils et services audités.
IV. - Si l'analyse des pièces ou des aspects techniques de l'outil révèle des anomalies, un audit complémentaire peut être réalisé sur site.
Cet audit peut également être réalisé en cas de signalement pour non-conformité aux critères prévus par l'article R. 1111-37 du code de la santé publique par les utilisateurs du catalogue de l'espace numérique de santé.
L'audit prévu aux alinéas précédents fait l'objet d'une information préalable de l'éditeur concerné au moins un mois avant sa réalisation. Le courrier d'information précise l'objet de l'audit, son périmètre, sa durée, les coûts supportés par l'éditeur, ainsi que la possibilité pour le responsable des lieux ou son représentant légal de s'y opposer.
V. - Pendant toute la durée de l'audit prévue par le plan d'audit mentionné au I, l'éditeur s'engage à :

- communiquer les pièces demandées par l'auditeur dans le délai prévu par le plan d'audit mentionné au I et en garantir l'exactitude ;
- mettre à disposition de l'auditeur tous les moyens nécessaires à la bonne réalisation de l'audit, notamment en désignant un point de contact dédié afin de répondre en temps utile à ses demandes ;
- donner accès à toutes les informations, tous les outils, services, fichiers ou tout autre élément nécessaires à la réalisation de la mission d'audit, dans le respect du périmètre de l'audit.

L'absence de réponse de l'éditeur dans le délai prévu par le plan d'audit mentionné au I et le refus de communiquer les pièces demandées par l'auditeur peuvent constituer un cas de non-conformité mentionné dans le rapport d'audit prévu à l'article 5.
Si l'opposition a pour effet de priver l'auditeur des éléments nécessaires à la réalisation de son audit, elle constitue également un cas de non-conformité mentionné dans le rapport d'audit.

Le groupement d'intérêt public mentionné à l'article L. 1111-24 du code de la santé publique veille à la prévention des conflits d'intérêts des auditeurs mentionnés au II de l'article 2 ainsi qu'au respect, par ces auditeurs, des règles déontologiques figurant en annexe du présent arrêté.

I. - Chaque audit donne lieu à l'élaboration d'un rapport, qui comporte des observations, des conclusions et, le cas échéant, des recommandations.
Ce rapport présente également, le cas échéant, les non-conformités aux éléments mentionnés à l'article 1er et leur niveau de gravité.
II. - Si le rapport fait état de non-conformités, l'éditeur en est informé dans le délai prévu par le plan d'audit mentionné à l'article 2. Il est également informé du délai dans lequel il peut apporter les corrections nécessaires et produire toute observation utile. Dans ce cas, le rapport final d'audit est complété par les éléments complémentaires fournis, le cas échéant, par l'éditeur dans le délai imparti.

I. - Le rapport final d'audit est transmis au ministre chargé de la santé.
En cas de non-conformité majeure, le groupement mentionné à l'article 2 informe sans délai le ministre chargé de la santé des conclusions de l'audit.
L'éditeur est informé de ces transmissions.
II. - Lorsque le rapport final d'audit fait état de non-conformités, le ministre informe l'éditeur du risque de retrait du référencement de son outil ou service numérique et du délai imparti pour le mettre en conformité avec les éléments mentionnés à l'article 1er. Au-delà du délai imparti, le référencement peut être retiré.
Lorsque le ministre constate que les conditions nécessaires au maintien de sa décision de référencement au catalogue de l'espace numérique de santé ne sont plus remplies, il peut retirer ce référencement. Dans ce cas, la décision du ministre est notifiée à l'éditeur.
Les utilisateurs qui avaient autorisé des échanges de données avec l'outil ou service numérique référencé au catalogue de l'espace numérique de santé sont informés, par les responsables de traitement de l'espace numérique de santé, de cette décision de retrait du référencement.

La commission de référencement mentionnée à l'article R. 1111-38 du code de la santé publique est informée des plans d'audits mentionnés à l'article 2, des conclusions de ces audits ainsi que, le cas échéant, des décisions prises par le ministre chargé de la santé.

La déléguée au numérique en santé est chargée de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.