Cofrac SH Gta 02

Guide Technique dAccrditation Evaluation systmes informatiques Biologie Mdicale
I
FO
GUIDE TECHNIQUE D'ACCREDITATION I T
POUR LEVALUATION DES SYSTEMES
F A
INFORMATIQUES EN BIOLOGIE MEDICALE
U E
SH GTA 02 I Q
N
O
Rvision 00
R
C T
L E
E
N
I O
R S
V E
LA
Section Sant humaine
SH GTA 02 rv. 00 Page 1 sur 93

SOMMAIRE
1 OBJET DU DOCUMENT ................................................................................................. 5
2 TERMINOLOGIE ET REFERENCES .............................................................................. 5
2.1 Dfinitions ................................................................................................................. 5
2.2 Abrviations .............................................................................................................. 8
3 DOMAINE DAPPLICATION ......................................................................................... 11
4 MODALITES DAPPLICATION ..................................................................................... 12
5 SYNTHESE DES MODIFICATIONS.............................................................................. 12
6 RECENSEMENT ET TYPOLOGIE DES ARCHITECTURES DE SYSTEMES............... 12
6.1 Introduction ............................................................................................................. 12
6.2 Architecture des serveurs ...................................................................................... 13
6.2.1 Les serveurs non critiques..................................................................................13
I
FO
6.2.2 Les serveurs critiques ........................................................................................13
6.2.3 Rappel des recommandations de la norme NF EN ISO 15189 sur larchitecture
serveur ..........................................................................................................................13
6.2.3.1
I T
Scurit des locaux .................................................................................. 14
F
6.2.3.1.2 Locaux informatiques des sites distants ................................................14A
6.2.3.1.1 Locaux serveurs ..............................................................................14
6.2.3.2 Points clefs dans lanalyse de lenvironnement......................................... 14

6.2.3.3 E
Pannes matrielles et logiciels ................................................................. 15
U
6.2.4 Typologie dhbergement des serveurs critiques................................................15
I Q
6.2.5 Agrment de l'hbergeur des donnes ...............................................................16
6.2.5.1
6.2.5.2 N
Rappel du cadre juridique ........................................................................ 16
Les cas soumis la procdure d'agrment .............................................. 17
R O
6.2.5.2.1 Base de donnes confie un prestataire spcialis dans lhbergement
de donnes ............................................................................................................17
C T
6.2.5.2.2 SIL mutualis entre deux LBM ..............................................................17
6.2.5.2.3 MW mutualis entre deux LBM .............................................................17
L E
6.2.5.2.4 Serveur de rsultats mutualis entre deux tablissements ....................18
6.3 Architecture terminaux et rseaux ........................................................................ 18
E
6.3.1 Rappel des recommandations de la norme NF EN ISO 15189 sur les terminaux
N
et rseaux .....................................................................................................................18
I O
6.3.2 Typologie des terminaux ....................................................................................19
6.3.3 Typologie des rseaux locaux du site .................................................................19
6.3.3.1
6.3.3.2
R S
Rseau Physique ..................................................................................... 20
Anti-virus .................................................................................................. 20
6.3.3.3
6.3.3.4
V E Pare-feu ................................................................................................... 20
Gestion des identits utilisateurs .............................................................. 21
LA
6.3.4 Typologie des rseaux intersites ........................................................................21
6.3.5 Recensement et typologie des connexions distance .......................................22
6.3.5.1 Connexion distance par un personnel interne habilit ........................... 22
6.3.5.2 Connexion distance par un fournisseur dun serveur ou logiciel
critique.. ....................................................................................................... 22
6.4 Architecture Applicative Critique........................................................................... 23
6.4.1 Rappel des exigences de la norme NF EN ISO 15189 sur les applications
critiques .........................................................................................................................23
6.4.2 Recensement et typologie des architectures multi-sites .....................................24
6.4.2.1 Architecture Multi SIL, Multi MW change SIL par messagerie ............ 24
6.4.2.2 Architecture Multi-SIL, plateau technique commun ................................... 25
6.4.2.3 Architecture mono SIL, Mono/Multi MW ................................................... 26
6.4.3 Recensement des changes de donnes d'un LBM ...........................................26
6.4.3.1 Phase pr-analytique ............................................................................... 27
6.4.3.1.1 La feuille de prescription .......................................................................28

6.4.3.1.2 Messages lectroniques de donnes dmographiques patients ...........28

6.4.3.1.3 Manuel de prlvement sous forme lectronique structure .................29
6.4.3.1.4 La prescription connecte .....................................................................30
6.4.3.2 Phase analytique...................................................................................... 31
6.4.3.3 Phase post-analytique .............................................................................. 33
6.4.3.4 Biologie dlocalise ................................................................................. 35
6.5 Cartographie des systmes et des changes ....................................................... 36
6.5.1 LBM de ville bi-sites travaillant avec deux tablissements ..................................37
6.5.2 LBM hospitalier ..................................................................................................38
7 PRECONISATIONS POUR LE FONCTIONNEMENT DES SYSTEMES
INFORMATIQUES EN REGARD DES EXIGENCES .................................................... 39
7.1 Environnement ........................................................................................................ 39
7.1.1 Matriels et logiciels ...........................................................................................39
7.1.2 Critres de slection dun SIL ou dun MW .........................................................40 I
FO
7.2 Matrise du paramtrage et des dictionnaires/tables ........................................... 40
7.2.1 Annuaires des tiers ............................................................................................40
I T
7.2.2 Catalogue des examens.....................................................................................41
7.2.3 Harmonisation des systmes unitaires ...............................................................41
F A
7.2.4 Gestion de ladresse postale ..............................................................................41
7.3 Matrise informatique de la phase pr-analytique................................................. 42
7.3.1.1
U E
7.3.1 Gestion informatique de lidentit des patients ...................................................42
Identits et mouvements de patients transmis par le SIH ......................... 43
7.3.1.2
7.3.1.3 Donnes patients reues dans les demandes dexamens I Q
Donnes didentit patient lues sur la carte Vitale .................................... 43
N
dmatrialises.......................................................................................................... 43
R O
7.3.2 Fusion des dossiers patients ..............................................................................43
7.3.3 Prescription (papier et/ou connecte) .................................................................44
C T
7.3.4 Cas particulier de lautocration de demande dexamens ...................................45
7.3.5 Saisie de plusieurs demandes dexamens avec des analyses communes pour un
L E
mme prlvement........................................................................................................46
7.4 Matrise informatique de la phase analytique ....................................................... 46
E
7.4.1 Connexions des analyseurs en direct sur le SIL ou via MW ...............................46
7.4.2 Rgles de contrle du processus analytique ......................................................47
N
7.4.3 Contrle(s) de qualit connect(s)......................................................................48
I O
7.5 Matrise informatique de la phase post-analytique............................................... 48
7.5.1.1
R S
7.5.1 Dmatrialisation des donnes ..........................................................................48
Serveurs de rsultats intgrs la chane de production des soins ......... 49
7.5.1.2
V E
Passerelle dchange ............................................................................... 49
7.5.2 Transfert des donnes par Module Fax informatique..........................................50
7.5.3 Signature lectronique et signature lectronique prsum fiable ........................50
LA
7.5.4 Systmes daide la validation biologique (SAVB) ............................................50
7.5.4.1 Catgories de systmes ........................................................................... 50
7.5.4.2 Etudes pralables ladoption ................................................................. 50
7.5.4.3 Paramtrages des rgles d'expertise ....................................................... 51
7.5.4.4 Exploitation du systme ........................................................................... 51
7.5.4.5 Surveillance du systme .......................................................................... 51
7.6 Organigramme informatique .................................................................................. 52
7.7 Matrise de la scurit informatique ...................................................................... 53
7.7.1 Sensibilisation des utilisateurs la scurit informatique ...................................53
7.7.2 Scurit du systme - Droits daccs (hirarchisation des accs, ) .................53
7.7.3 Dlai de verrouillage aprs inactivit ..................................................................53
7.8 Procdures en cas de panne informatique : mode dgrad ................................ 54

7.9 Traabilit, Intgrit et Conservation des donnes .............................................. 55

7.9.1 Traabilit des donnes .....................................................................................55
7.9.2 Intgrit des donnes .........................................................................................55
7.9.3 Archivage des donnes ......................................................................................55
7.9.4 Archivage des demandes et des comptes rendus ..............................................55
7.9.4.1 Archivage/dsarchivage des demandes dexamens en ligne.................... 56
7.9.4.2 Archivage des compte rendus dans leur format de diffusion..................... 56
7.9.5 Cas dun changement de SIL .............................................................................57
7.9.6 Cas spcifique du squenage ..........................................................................57
7.10 Sauvegarde des donnes ....................................................................................... 57
7.10.1 Types de sauvegarde .........................................................................................57
7.10.2 Supports de sauvegarde ....................................................................................58
7.10.3 Frquence des sauvegardes ..............................................................................58
7.10.4 Sauvegarde et hbergement de donnes de sant ............................................58
I
FO
8 VALIDATION ET VERIFICATION DES SYSTEMES INFORMATIQUES ...................... 59
8.1 Donnes fournisseurs (marquage CE DM DIV) ..................................................... 59
8.2 Vrification du paramtrage (examens, textes cods, connexions, rgles) ....... 59
I T
8.2.1 Examens ............................................................................................................60
F A
8.2.2 Textes ou commentaires cods ..........................................................................61
8.2.3 Vrification des connexions ................................................................................61
U E
8.2.4 Vrification des rgles de gestion des examens .................................................61
8.2.5 Vrification des alarmes transmises par les analyseurs .....................................61
8.2.6.1 I Q
8.2.6 Format de rendu du rsultat ...............................................................................62
Chiffres significatifs .................................................................................. 62
8.2.6.2 N
Rgles darrondissage.............................................................................. 62
R O
8.3 Vrification initiale (ou intgration fonctionnelle) ................................................ 62
8.4 Vrification aprs changement de version (ou non rgression fonctionnelle)... 63
C T
8.5 Vrification continue (dont signalement vigilance) .............................................. 64
8.5.1 Vrification du paramtrage ...............................................................................64
L E
8.5.2 Vrification du paramtrage des rgles ..............................................................64
8.5.3 Vrification des sauvegardes et de larchivage ...................................................64
E
8.5.4 Transmissions des rsultats des examens spcialiss .......................................64
8.5.5 Suivi des droits ...................................................................................................65
N
8.5.6 Cas des logiciels de bureautique ........................................................................65
I O
9 ANNEXES ..................................................................................................................... 66
R S
9.1 Annexe 1 : exemple de convention de preuve ...................................................... 66
9.2 Annexe 2 : exemple de fiche de fonction de responsable informatique du
V E
LBM .......................................................................................................................... 67
9.3 Annexe 3 : Exemple de charte informatique ......................................................... 68
LA
9.4 Annexe 4 : exemples de formulaires de paramtrage .......................................... 71
9.5 Annexe 5 : exemple de vrification de connexions par visualisation des
fichiers transmis par lanalyseur ........................................................................... 79
9.6 Annexe 6 : exemple dun test des rgles dun MW ............................................... 81
9.7 Annexe 7 : exemple de vrification de transmission des codes alarmes des
analyseurs ............................................................................................................... 82
9.8 Annexe 8 : exemple de test de cohrence des donnes transmises .................. 83
9.9 Annexe 9 : exemple de vrification de non rgression fonctionnelle ................. 84
9.10 Annexe 10 : exemple denregistrement des traabilits des logiciels ................ 85
9.11 Annexe 11 : exemple de formulaire de vrification des transferts de donnes. 85
9.12 Annexe 12 : Analyse de risques applique aux systmes informatiques des
LBM .......................................................................................................................... 86
10 BIBLIOGRAPHIE .......................................................................................................... 92

1 OBJET DU DOCUMENT
La norme NF EN ISO 15189 dfinit les exigences particulires concernant la qualit et la
comptence, pour les Laboratoires de Biologie Mdicale. Quant la norme NF EN ISO
22870, elle dfinit les exigences concernant la qualit et la comptence pour les examens de
biologie mdicale dlocaliss (EBMD).
Dans le prsent guide les Laboratoires de Biologie Mdicale et toutes autres structures
accrdites ou candidates laccrditation selon ces rfrentiels sont appeles LBM .
Le prsent Guide Technique dAccrditation (GTA) dfinit les recommandations relatives

lapplication de ces rfrentiels en matire de matrise des moyens informatiques et de
dmatrialisation des donnes au sein des LBM concerns par les rfrentiels prcits.
Les recommandations prsentes dans ce guide, que le LBM est libre dappliquer, sont I
FO
celles reconnues par le Cofrac comme tant appropries pour rpondre aux prescriptions et
exigences des normes NF EN ISO 15189 et NF EN ISO 22870, ainsi qu'au document Cofrac
I T
SH REF 02 correspondant. Toute autre dmarche argumente et documente est cependant
permettent de satisfaire pleinement aux exigences de la norme utilise.

F A
acceptable. Dans tous les cas, il appartient au LBM de dmontrer que les dispositions prises
U E
En effet, le phnomne dinformatisation et de dmatrialisation, favoris par les volutions
technologiques, conduit une volution profonde des organisations et des modes de
I Q
production. Les LBM sont, dans ce cadre, conduits mettre en uvre des mthodes et des
N
outils nouveaux. Cette rvolution numrique concerne bien videmment le compte rendu
dexamens de biologie mdicale mis par le LBM mais galement tout le processus du
R O
traitement de linformation mis en uvre au sein du LBM. Lenjeu pour les LBM est donc de
savoir quelles politiques et quelles pratiques mettre en uvre en regard de ce mouvement
C T
dinformatisation. Lobjectif est toujours de satisfaire aux exigences du rfrentiel en tirant
partie de linformatisation et de la dmatrialisation pour augmenter le niveau de
performance de lorganisation.
L E
E
La matrise des moyens informatiques (matriels et logiciels) dans les LBM est
N
considrer au mme titre que tous les autres quipements danalyses en transposant leur
O
utilisation les exigences du rfrentiel.
I
2 S
TERMINOLOGIE
R ET REFERENCES
VE
Pour les besoins du prsent document, les termes et dfinitions ci-aprs s'appliquent. Ces
dfinitions sont issues notamment de normes internationales se rapportant l'accrditation
A Dfinitions
ou de documents du Cofrac.
L2.1
Aliquotage : action de rpartir en diffrentes fractions, ou parties aliquotes, un ou des
.
spcimens de liquide(s) biologique(s). Du latin : aliquot un certain nombre de .

Aliquot : une partie aliquote.
Analyse (d'aprs NF EN ISO 15189) : en biologie mdicale, correspond la phase
analytique de l'examen de biologie mdicale. Un examen comporte une ou plusieurs
analyses. Lexcution de chacune produit un ou plusieurs rsultats qui concourent au
compte rendu des rsultats de lexamen.
Une analyse peut tre identifie par un code LOINC dans les changes de donnes
comportant des rsultats d'examens et dans les comptes rendus dexamens lectroniques.

Analyse rflexe : analyse additionnelle dclenche en fonction du rsultat dautres

analyses, soit manuellement, soit automatiquement en fonction dalgorithmes et de critres
prdfinis. Les anglo-saxons parlent de reflex test .
Analyseur : automate (voir ce terme) permettant de dterminer la nature et/ou la
concentration dun ou plusieurs constituants dun spcimen selon un mode opratoire dfini.
Lanalyseur excute des analyses sur le spcimen et produit, pour chacune, un ou plusieurs
rsultats. Lanalyseur peut tre sur un plateau technique du LBM ou dlocalis lextrieur,
par exemple dans une unit de soins.
Annuaire : structure regroupant des informations (identit, adresse, coordonnes, ) sur
une catgorie dacteurs (professionnels de sant, tablissements de sant, services dun
tablissement, personnel du LBM, ) ou dobjets (systmes, automates, sites webs, )
Archivage en ligne des demandes dexamen : opration consistant clore les demandes
dexamens pour lesquelles le travail est termin. Ces demandes restent accessibles dans leI
FO
SIL mais ne sont plus dans le circuit de production et ne sont plus modifiables, en dehors
dune procdure ddie (remise en encours pour modifications).
I T
Archivage des comptes rendus dans leur format de diffusion : le compte rendu diffus
un lment majeur de la preuve lgale du rendu de rsultats.

F A
sous forme papier ou lectronique est archiv sous son format de diffusion pour conserver
U E
Auditabilit : aptitude fournir une autorit comptente la preuve que la conception et le
fonctionnement du systme et de ses contrles internes sont conformes aux exigences.
I Q
Automate : dispositif ralisant une ou plusieurs oprations de faon automatique.
N
En biologie, un automate ralise des oprations sur un spcimen. Ce peut tre un appareil
R O
robotique ralisant des oprations pr ou post analytiques, ou un analyseur (voir ce terme).
Biothque : dispositif de conservation de spcimens biologiques qui peuvent tre de
C T
diverses natures : liquides, tissus, cellules, ADN, Une biothque de conservation de
spcimens de srums sanguins sappelle une srothque.
L E
Cluster : Architecture informatique regroupant en rseau plusieurs ordinateurs ("computer")
E
indpendants, formant des nuds ("node"), afin de permettre une gestion globale et de
dpasser les limitations d'un ordinateur pour :
N
- augmenter la disponibilit ;
I O
- faciliter la monte en charge ;
S
- permettre une rpartition de la charge, chacun des nuds restant capable de
fonctionner indpendamment des autres (par exemple en cas de dfaillance dun
nud). R
V E
Demande d'examens : objet informatique traduisant dans le SIL une prescription d'examens
de biologie mdicale. Le terme de "demande d'examens" est choisi de prfrence celui de
LA
"dossier" jug trop ambigu. L'excution d'une demande d'examens produit un compte rendu
d'examens qui rassemble, commente et interprte l'ensemble des rsultats obtenus pour
cette demande.
Domaine didentification : structure possdant un systme informatique attribuant un
numro unique didentification dun patient, ce domaine peut-tre un tablissement de sant,
un LBM, la caisse primaire dassurance maladie,
Dossier administratif d'tablissement : ensemble des donnes se rapportant un sjour
ou une venue en consultation externe d'un patient dans un tablissement de soins, et
identifi par un numro unique l'chelle de l'tablissement : le NDA ou lIEP (voir la
dfinition de ces abrviations).
Dossier patient : ensemble des donnes se rapportant un mme patient, enregistres
dans un systme informatique (par exemple dans un SIH ou un SIL).

Examen (Cf. article L. 6211-1 et L.6211-2 du CSP) : un examen de biologie mdicale est un
acte mdical qui concourt la prvention, au dpistage, au diagnostic ou l'valuation du
risque de survenue d'tats pathologiques, la dcision et la prise en charge
thrapeutiques, la dtermination ou au suivi de l'tat physiologique ou physiopathologique
de l'tre humain.
Note 1 : un examen de biologie mdicale comprend l'ensemble des phases pr-analytiques,
analytiques et post-analytiques au sens des normes NF EN ISO 15189 et NF EN ISO 22870.
Note 2 : La phase analytique dcompose lexamen en une ou plusieurs analyses (voir ce
terme).
Identifiant de patient et domaine didentification : un identifiant de patient est associ
un domaine didentification : L'ASIP Sant pour l'INS-c, l'tablissement qui a attribu cet
identifiant pour un IPP ou un identifiant de dossier administratif d'tablissement, le LBM pour
l'identifiant attribu au patient par le SIL. L'identifiant est utilisable par les systmes associ
son domaine didentification. I
FO
Intgration fonctionnelle : installation dune nouvelle fonctionnalit locale un systme ou
en interaction avec d'autres systmes.
Jeu test : ensemble dexemples de donnes entrant dans la procdure de I T
interaction avec d'autres systmes. F A
qualification/vrification informatique d'une fonctionnalit locale un systme ou en
rpondre des exigences essentielles qui permettent de garantir : U E

Marquage CE DM DIV : Les dispositifs mdicaux de diagnostic in vitro ont lobligation de
la scurit du patient : qualit du rsultat ;

I Q
la scurit des utilisateurs et des biens :
innocuit des ractifs et des instruments,N
identification des dangers.
R O
Le marquage CE indique que ces exigences ont t respectes.
C T
Ce marquage est rglementaire. Il consiste en une auto-certification de conformit dun
dispositif mdical de diagnostic in vitro (DM DIV) aux exigences essentielles dfinies par la
L E
directive europenne 98/79 CE. Pour les DM DIV de lannexe II de la directive une
vrification du marquage par un organisme notifi est ncessaire.
E
Non rgression fonctionnelle : vrification de la prservation d'une fonctionnalit locale
N
un systme ou en interaction avec d'autres systmes, suite une mise jour du logiciel de
l'un des systmes.
I O
R S
Passerelle dchange : systme intermdiaire dchange de donnes entre le SIL et
lenvironnement extrieur. Une passerelle peut permettre dmettre ou de recevoir des
V E
demandes dexamens, des rsultats dexamens, des comptes rendus. Elle peut aussi servir
recevoir les donnes didentits et mouvements des patients des tablissements. Ce
LA
systme est dans le primtre et sous la responsabilit du LBM ou de l'tablissement qui le
contient. Il peut accomplir des conversions de format avant transmission ou en rception. Il
peut disposer de diffrents moyens dacheminement (messagerie scurise de sant,
transfert de fichiers, transactions IHE ).
Prlvement : action de recueil d'un spcimen (ou chantillon biologique) par un prleveur
Prleveur : rle fonctionnel jou par un agent de sant (IDE, mdecin, technicien, biologiste
), qui prlve des spcimens.
Recette dintgration : document validant la rception dune intgration fonctionnelle ou
dune non-rgression fonctionnelle. A noter : Le marquage CE DM DIV intgre cette notion.
Repasse (contrle, repassage) : rexcution dune analyse sur un spcimen, dclenche
pour contrle du rsultat produit par la (ou les) excution(s) prcdente(s) de cette mme
analyse sur ce mme spcimen. Le dclenchement peut tre volontaire ou automatique
suivant des critres prdfinis. Les anglo-saxons parlent de re-run ou new run .

Serveur de rsultats : systme concentrant des rsultats et/ou des comptes rendus
d'examens sous forme lectronique, et offrant aux destinataires de ces rsultats et de ces
comptes rendus des interfaces de diffusion et/ou de consultation. Ce systme peut tre dans
le primtre d'un LBM ou d'un tablissement, ou bien externe et aliment par plusieurs LBM.
Dans ce dernier cas, il s'agit d'un SISP soumis l'obligation d'agrment d'hbergeur de
donnes de sant.
Site : unit gographique et fonctionnelle du LBM.
Note : dans la norme NF EN ISO 15189, le terme site comprend tous les sites dont le LBM
est responsable, c'est--dire les sites au sens du CSP, ainsi que les lieux de ralisation de
prlvements (par exemple domicile du patient) ou de "biologie dlocalise" au sens de la
norme NF EN ISO 22870.
Spcimen (d'aprs NF EN ISO 15189) : pour viter une confusion avec le terme chantillon
I
(au sens : groupe d'individus extrait d'une population), il est prfr le terme "spcimen" pour
FO
dsigner une ou plusieurs parties issues d'un prlvement biologique (spcimen de sang,
spcimen urinaire, ...). Correspond l'"chantillon biologique" au sens du CSP.
I T
Spcimen primaire versus spcimen secondaire : le spcimen primaire est recueilli sur le
patient. Le spcimen secondaire est un sous-produit du spcimen primaire obtenu par
dcantation, aliquotage, dilution,
F A
Tiers : ce terme sapplique lensemble des partenaires pouvant changer de linformation
sous-traitant U E
avec le LBM. Exemples : mdecin, organisme payeur, tablissement de soins, service, LBM
I Q
Validation (ou validation biologique) : opration de contrle de la vraisemblance et de la
N
cohrence de lensemble des rsultats dune demande dexamens, dans le contexte du
R O
dossier patient, confrontant cet ensemble de rsultats avec les rsultats antrieurs
disponibles et avec les lments cliniques pertinents disponibles (tat clinique du patient,
C T
motif de la demande dexamens, traitements mis en uvre ).
La validation des rsultats de la demande produit ou confirme dans le mme temps
E
linterprtation contextuelle de ces rsultats qui figurera dans le compte rendu dexamens.
L
2.2 Abrviations
E
N
ADSL : Asymmetric Digital Subscriber Line : technique de communication numrique sur
I O
ligne tlphonique, mise en uvre par les fournisseurs d'accs internet. Comme son nom
l'indique, la technologie ADSL fournit un dbit asymtrique (contrairement la technologie
l'autre. R S
SDSL). Le flux de donnes est plus important dans un sens de transmission que dans
V E
AFNOR : Agence Franaise de Normalisation.
LA
ANSM : Agence Nationale de Scurit du Mdicament.
ASIP Sant : Agence des Systmes dInformation Partage de Sant.
CDA : Clinical Document Architecture est le standard de document mdical lectronique
structur produit par HL7.
CE : Communaut Europenne.
CIQ : Contrle Interne de Qualit.
CI-SIS : Le Cadre d'Interoprabilit des Systmes d'Information de Sant est un corpus de
rfrentiels maintenu et publi par l'ASIP Sant pour les changes et le partage de donnes
dmatrialises entre systmes d'information du domaine de la sant. Ce corpus s'appuie
sur des profils IHE et des standards internationaux tels que HL7 CDA ou LOINC.
CPS : Carte lectronique de Professionnel de Sant.
CPx : Famille des cartes professionnelles lectroniques (CPS, ).

CSP : Code de la Sant Publique.

DM DIV : Dispositif Mdical de Diagnostic In Vitro.
DMP : Dossier Mdical Personnel. Le systme DMP est un SISP.
DMZ : une zone dmilitarise (ou DMZ, de l'anglais Demilitarized Zone) est un sous-rseau
spar du rseau local par un pare-feu. Ce sous-rseau contient les machines tant
susceptibles d'tre accessibles depuis Internet.
DSI : Directeur/trice/tion des Systmes dInformation.
EBMD : Examen de Biologie Mdicale Dlocalise (en dehors du LBM, par exemple dans
une unit de soins).
EEQ : Evaluation Externe de la Qualit.
EFS : Etablissement Franais du Sang. I
EN : Norme Europenne. Lorganisme de diffusion de ces normes en France est lAFNOR.
FO
T
FTP : File Transfer Protocol : Protocole de transfert de fichier sur un rseau TCP/IP.
I
standards d'interoprabilit pour le domaine de la sant.
F A
HL7 : Health Level Seven (HL7) est une organisation internationale produisant des
IDE : Infirmier/infirmire diplm(e) dtat.
U E
IEP : Identification Externe du Patient, systme qui attribue un numro diffrent chaque
I Q
venue du patient l'hpital (hospitalisation), contrairement l'IPP qui reste identique puisque
"attach" une identit.
N
R O
IHE : Integrating the Healthcare Enterprise : organisation internationale produisant des
profils de standards pour les changes de donnes lectroniques entre systmes
d'information du domaine de la sant.
C T
IHE LAW : Laboratory Analytical Workflow. Profil d'intgration des changes de donnes
entre analyseurs et MW ou SIL.
L E
E
IHE LCSD : Laboratory Code Set Distribution. Profil d'intgration des changes de
donnes lis la diffusion du manuel de prlvement sous une forme dmatrialise et
structure.
N
I O
IHE LPOCT : Laboratory Point Of Care Testing. Profil d'intgration des changes de
R S
donnes lis la biologie dlocalise.
IHE LTW : Laboratory Testing Workflow. Profil d'intgration des changes de donnes lis
V E
la prescription connecte.
IHE PAM : Patient Administration Management. Profil de diffusion des donnes
LA
dmographiques des patients d'un tablissement.
IHE PDQ : profil d'interrogation des donnes dmographiques des patients d'un
tablissement.
INS : Identifiant National de Sant d'un patient. Cet identifiant de porte nationale est
disponible pour les bnficiaires de l'assurance maladie. On l'appelle aussi INS-C. Il est
calcul par un systme au moment de la lecture de la carte Vitale, partir des traits d'identit
lus en carte. Il peut ensuite tre conserv dans le systme et communiqu d'un systme
l'autre.
L'INS est une donne personnelle. Ce n'est pas une donne mdicale. C'est un trait
d'identit qui n'a rien de confidentiel, au mme titre que le nom de famille de la personne.

Un SIL peut obtenir l'INS d'un patient de trois faons :

1. par lecture directe de la carte Vitale du patient,
2. dans un message lectronique transmis par un autre systme,
3. par lecture d'un code barre sur la feuille de prescription ou sur un document
l'accompagnant.
InVS : Institut National de Veille Sanitaire
IPP : Identifiant Permanent du Patient, attribu un patient lors de sa premire venue dans
un tablissement, par le systme de gestion des patients de cet tablissement. Ce N reste
valide lors des hospitalisations successives, contrairement l'IEP qui change chaque
hospitalisation. On parle aussi de NIP.
IVD : In Vitro Diagnostic (en franais DIV : Diagnostic In Vitro).
Kermit : Protocole de transfert de fichiers point point dont lusage tend disparatre.
I
FO
LBM : Laboratoire de Biologie Mdicale (article L.6212-1 du CSP) : Structure, prive ou
publique, au sein de laquelle sont effectus les examens de biologie mdicale. Le LBM est
constitu d'un ou plusieurs sites. Le Laboratoire de Biologie Mdicale peut galement
I T
raliser des activits biologiques d'assistance mdicale la procration ainsi que des
examens d'anatomie et de cytologie pathologiques.
F A
LDAP : Lightweight Directory Access Protocol est, l'origine, un protocole permettant
U E
l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il a
cependant volu pour reprsenter une norme pour les systmes d'annuaires, incluant un
LDAP, un modle de scurit et un modle de rplication. I Q

modle de donnes, un modle de nommage, un modle fonctionnel bas sur le protocole
LGC : Logiciel de Gestion de Cabinet mdical. N

R O
LOINC : Logical Observation Names and Codes est une nomenclature internationale,
C T
permettant la codification des rsultats d'examens, notamment ceux de biologie mdicale,
pour les changes de ces rsultats sous forme dmatrialise, entre systmes d'information.
public par l'ASIP Sant.

L E
La licence d'utilisation de LOINC est gratuite. LOINC traduite en franais est mise en accs
E
MPLS : MultiProtocol Label Switching est un mcanisme de transport de donnes bas sur
N
la commutation d'tiquettes ou "labels".
I O
MSSant : Systme des messageries scurises de sant instituant un espace de
S
confiance regroupant des domaines de messagerie autoriss, une scurisation du canal
dchange, des utilisateurs certifis et authentifis rfrencs dans un annuaire national
partag. R
V E
MW : Un Middleware est un systme de gestion de plateau technique ou d'un sous-
ensemble de celui-ci, et/ou d'un ensemble d'analyseurs dlocaliss par exemple dans les
LA
units de soins.
NDA : Numro de Dossier Administratif : Identifie de faon univoque le dossier administratif
dun sjour ou dune consultation externe dun patient dans un tablissement. Le NDA est
exploitable dans le contexte de son domaine didentification reprsent par ltablissement.
NF : Norme Franaise. Lorganisme de diffusion de ces normes est lAFNOR.
NIP : Numro dIdentification Permanent attribu un patient lors de sa premire venue
dans un tablissement, par le systme de gestion des patients de cet tablissement. Ce
numro reste valide lors des hospitalisations successives, contrairement l'IEP qui change
chaque hospitalisation. On parle aussi dIPP.
PFS : Plateforme de services dun fournisseur danalyseurs.

SaaS : Le logiciel en tant que service ou en anglais le Software as a Service est un

concept consistant proposer un abonnement un logiciel plutt que l'achat d'une licence.
Les ressources (donnes, application, serveurs ) sont externalises.
SAV : Service Aprs-Vente dun fournisseur du LBM.
SAVB : Systme dAide la Validation Biologique.
SDSL : Symmetric Digital Subscriber Line. Technique de communication numrique sur
ligne tlphonique, mise en uvre par les fournisseurs d'accs internet. Comme son nom
l'indique, la technologie SDSL fournit un dbit asymtrique (contrairement la ligne ADSL):
son dbit en rception (download) est gal au dbit en mission (upload).
SFBC : Socit Franaise de Biologie Clinique.
SFIL : Socit Franaise dInformatique de Laboratoire.
I
FO
SIH : Systme d'Information Hospitalier.
SIL : Systme Informatique de gestion du Laboratoire.
SIQ : Systme d'Information du management de la Qualit du laboratoire.
I T
F A
SISP : Systme d'Information de Sant Partag entre le LBM et d'autres organisations ou
professionnels de sant. Un serveur de rsultats de biologie entre dans cette catgorie. Le
DMP est un SISP de porte nationale.
SMQ : Systme de Management de la Qualit. U E
I Q
TCP/IP : Protocole des couches liaison, rseau et transport sur lequel s'appuient le rseau
internet et la quasi-totalit des rseaux locaux.
N
UF : Unit Fonctionnelle.
R O
C T
VPN : Le rseau priv virtuel (Virtual Private Network en anglais) est vu comme une
extension des rseaux locaux et prserve la scurit logique que l'on peut avoir l'intrieur
L E
d'un rseau local. Il correspond en fait une interconnexion de rseaux locaux via une
technique de tunnel avec cryptage des donnes de bout en bout.
E
XP Z 10-011 : Norme de prsentation des adresses gopostales, publie par lAFNOR.
N
3 DOMAINE DAPPLICATION
I O
R S
Le domaine dapplication du prsent guide concerne le cadre spcifique de la matrise des
moyens informatiques et de dmatrialisation des donnes au sein des LBM.
V E
En particulier, le prsent guide sattache couvrir le champ du processus de traitement et de
transmission informatique depuis la production de la donne jusqu son archivage, ainsi que
LA
la gestion des moyens informatiques mis en uvre.
Ce guide correspond ltat de la rglementation et de la normalisation au jour de sa
publication. Il sagit dune premire version qui prsente un tat des lieux des bonnes
pratiques et tablit certaines recommandations dans le cadre de laccrditation. Toutefois,
sagissant dune premire version certains aspects ne sont pas encore dvelopps. Ce guide
sera galement rgulirement revu en correspondance de lvolution des textes
rglementaires. Ainsi, il na pas t dvelopp dans cette version la signature lectronique et
la signature lectronique prsum fiable.

Ce guide s'adresse :
Aux Laboratoires de Biologie Mdicale (LBM) et autres structures engags dans une
dmarche d'accrditation Cofrac selon les normes NF EN ISO 15189 et NF EN ISO
22870 ; dans ce cas il reprsente des recommandations, toute autre dmarche
argumente et documente tant cependant acceptable ;
Aux membres des instances du Cofrac (Comit de Section, Commission Technique
dAccrditation Sant Humaine) ;
Aux valuateurs du Cofrac, et constitue une base d'harmonisation leur usage ;
Aux fournisseurs, pour comprendre et aider les LBM et autres structures dans leur
dmarche.
4 MODALITES DAPPLICATION I
Le prsent guide technique d'accrditation est applicable compter du 15 juillet 2013.FO
I T
Dans le domaine considr de la biologie mdicale, et au jour de son approbation, ce guide
prconisations pour l'accrditation dans ce domaine.

F A
technique d'accrditation reflte l'tat d'avancement des connaissances en termes de
5 SYNTHESE DES MODIFICATIONS

U E
I Q
S'agissant de la premire version du document, qui porte l'indice de rvision 00, aucune
marque de modification n'est donc indique.
N
6 RECENSEMENT ET TYPOLOGIE DES ARCHITECTURES DE R O
SYSTEMES
C T
6.1 Introduction
L E
E
Ce chapitre recense et classe les architectures de systmes d'information que l'on peut
N
rencontrer dans les LBM, avec leurs dclinaisons matrielles, logicielles, connectiques et
applicatives.
I O
Le chapitre recense et classe aussi les changes de donnes que l'on peut rencontrer entre
R S
applications au sein du LBM et avec les applications extrieures. Ces changes sont
prsents dans le contexte des processus mtiers qu'ils sous-tendent.
V E
Le chapitre met l'accent sur les oprations et les changes informatiss, mais signale aussi
autant que de besoin les modes dgrads et les circuits manuels qui peuvent exister.
LA
Ce recensement est dlimit par le primtre du volet informatique de la norme NF EN ISO
15189. Il se limite aux systmes impliqus dans le cycle de production du LBM qui s'tend
des phases pr-analytiques au rendu des rsultats. En particulier les systmes, composants,
applications, changes de donnes touchant la facturation sont hors champ du prsent
guide.
Larchitecture des systmes d'information peut se dcliner sous trois aspects :
Larchitecture des serveurs qui comprend le SIL, et souvent aussi dautres serveurs
entrant dans la chane de production du LBM ;
L'architecture des terminaux et celle des rseaux, cette dernire mritant une
attention particulire dans les LBM multi-sites ;
Larchitecture applicative et les changes de donnes entre applications.
Les sections suivantes de ce chapitre prsentent successivement ces trois aspects.

6.2 Architecture des serveurs

Il faut diffrencier deux niveaux de criticit des serveurs :
Les serveurs qui sont sur le chemin critique du cycle de production du LBM (du pr-
analytique au rendu de rsultats) et/ou qui stockent des donnes mdicales
caractre personnel des patients (SIL, MW, ) soumis des contraintes clairement
exprimes en termes de disponibilit, intgrit et confidentialit des donnes,
auditabilit des oprations, ainsi qu'en termes de conditions d'exploitation (local
scuris et climatis, ) ;
Les serveurs qui sont en support (serveur du SIQ, serveur de supervision du parc
matriel, ) mais qui ne sont pas sur le chemin critique et qui ne contiennent pas de
donnes mdicales caractre personnel.
6.2.1 Les serveurs non critiques I

Un serveur est non critique si son arrt physique n'impacte pas la chane de production du
LBM et s'il ne contient pas de donnes mdicales caractre personnel. FO
I T
Pour les serveurs non critiques, les vrifications faire se limitent :
Au contrat de maintenance des serveurs ; F A
SMQ). U E
A la sauvegarde effective, priodique de ces serveurs, (priodicit dfinie dans le
I Q
6.2.2 Les serveurs critiques
N
Les SIL ;
R O
Les serveurs critiques d'un LBM sont en gnral les suivants :
Les MW ;
C T
L E
Les analyseurs et leurs systmes auxiliaires
d'interprtation/expertise des rsultats bruts) ;
(console analytique, systme
E
Les systmes d'aide la validation biologique ;
N
Les serveurs de rsultats aliments avec les rsultats d'examens produits par le LBM ;
I O
Les passerelles dchange ;

R S
V E
C'est sur ces serveurs que se focalise l'attention du LBM.
La taille et le type de structure du LBM justifient pour chacun des serveurs critiques une
LA
tude pralable de gestion de risques en cas de coupure informatique de longue dure. Les
moyens mettre en uvre devront tre raisonns et adapts aux contraintes de chacun des
serveurs critiques afin dassurer lefficacit du LBM dans la permanence des soins
(urgences) et dans le service rendu aux patients.
6.2.3 Rappel des recommandations de la norme NF EN ISO 15189 sur

larchitecture serveur
Aux recommandations de la norme NF EN ISO 15189 (paragraphe B2 de lannexe B) et
leurs implications exposes dans cette section, sajoutent les contraintes de la loi concernant
lhbergement des donnes de sant exposes plus loin dans la section 6.2.5.

6.2.3.1 Scurit des locaux
6.2.3.1.1 Locaux serveurs

Dans le cas dun hbergement sur un seul site, afin de rduire les risques tout en en
matrisant les cots et les performances, il est prfrable que les serveurs soient
redonds physiquement et/ou logiquement, et placs dans des pices loignes,
avec un plan de reprise.
Il existe une protection contre les incendies.
o Les murs et plafonds peuvent utiliser des matriaux retardant la propagation
dun incendie extrieur.
o Les salles peuvent tre quipes dun systme dextinction automatique
dincendie ne dtriorant pas les composants informatiques.
Les cbles sont protgs sils sont dans un endroit de passage.
I
Le site est quip dun systme de scurisation dalimentation lectrique.
FO
o Onduleurs permettant dalimenter les serveurs critiques le temps ncessaire
larrt des systmes.
I T
F A
o En fonction du niveau de risque accept, il peut tre discut de manire plus
large de lalimentation lectrique des quipements critiques du LBM et de ses
ressources informatiques jusqu envisager un investissement dans des
proportionn.
U E
onduleurs de grande capacit et/ou dun groupe lectrogne de taille

I Q
Les serveurs sont stocks dans un endroit conforme aux conditions fixes par le
N
fournisseur. Ces conditions rendent souvent indispensable la mise en place d'une

climatisation redonde.
R O
Laccs physique aux serveurs est impossible aux personnes non autorises.
Un systme dalarme peut tre envisag.
C T
E
6.2.3.1.2 Locaux informatiques des sites distants
L
E
Les routeurs et autres matriels informatiques critiques sont de prfrence situs dans des
locaux protgs, climatiss et permettant un contrle daccs maitris.
N
O
6.2.3.2 Points clefs dans lanalyse de lenvironnement
I
R S
Lobjectif est dassurer une continuit de service et de gagner du temps en cas de panne
bloquante ou de baisse de performances. A ce titre, les solutions de back-up font partie
V E
intgrante des solutions de continuit et de reprise dactivit.
Une analyse de risque (Cf. annexe 12) permet de dterminer les points critiques du
LA
systme informatique et de les scuriser en regard des cots induits de leur
dysfonctionnement (redondance des accs tlcom , routeurs et autres matriels
ventuellement pr-paramtrs).
Les solutions techniques de redondance matriels et logiciels tiennent compte de
contraintes darchitecture du systme informatique (virtualisation, cluster, ...).
Les administrateurs rseaux, rfrents informatiques ou rfrents techniques
(titulaires et supplants) sont rgulirement forms et testent intervalles rguliers,
en rel si possible, en priode de faible activit et dans un environnement matris,
les solutions pralablement dfinies dans le cadre dun plan de continuit dactivit.
o Conduite tenir en cas de panne lectrique de longue dure.
o Conduite tenir en cas de basculement sur groupe lectrogne ou onduleur.

6.2.3.3 Pannes matrielles et logiciels

Un logiciel de supervision du systme informatique (rseau, connexions physiques et
logiques, systmes et applications) peut tre mis en uvre, en interne ou en externe.
Les contrats de maintenance et la disponibilit des quipes techniques sont en
adquation avec les dlais de reprise attendus.
La gestion de la scurit prend en compte les risques de dtrioration dorigine
externe et interne des systmes et des donnes.
6.2.4 Typologie dhbergement des serveurs critiques

Les diffrentes formes dhbergement des serveurs critiques que l'on rencontre sont :
Hbergement sur un site du LBM dans un endroit non scuris (exemple sur le
plateau technique, dans un local ouvert, laccueil, ). Ce type dhbergement nest I
FO
pas recommand au vu des risques auxquels il expose la confidentialit et lintgrit
des donnes patients (vol des serveurs ou des disques, intrusion sur le serveur et

altration ou copie des donnes ).
I T
Hbergement sur un site du LBM dans un endroit accs scuris mais sans
F A
dispositif anti-feu et/ou sans onduleur (secours lectrique) et/ou sans climatisation
redonde. Ce type dhbergement nest pas recommand au vu des risques
U E
auxquels il expose la disponibilit du systme. Cependant, le dispositif anti-feu nest
pas indispensable si, par exemple, le LBM dispose d'un cluster de deux serveurs
I Q
rpartis sur deux sites diffrents dans deux salles scurises diffrentes. Egalement,
le cas dune salle serveur avec une seule climatisation est acceptable si une
N
climatisation mobile de secours peut tre utilise,

R O
Hbergement des serveurs dans la salle machine dun autre LBM non agre comme
C T
hbergeur de donnes de sant. Ce type dhbergement nest pas conforme la
rglementation sur lhbergement de donnes de sant (voir 6.2.5) et de plus
expose le LBM au risque de perte de son outil informatique en cas de cession du
L E
LBM hbergeur (en particulier sur la proprit intellectuelle du paramtrage des

examens).
E
Hbergement sur un site du LBM dans une salle rpondant aux recommandations
N
des fournisseurs, avec accs scuris. Ce type dhbergement est, entre autres,
I O
conforme la norme.
R S
Si l'accs la salle serveur est contrl par un dispositif lectronique, il est important
de vrifier quen cas de coupure lectrique, laccs la salle serveur est toujours
V E
possible.
Hbergement dans deux salles scurises suivant les recommandations des
LA
fournisseurs, rparties entre deux sites du LBM, avec dispositif de rplication temps
rel ou rgulier. Ce type dhbergement est galement conforme la norme,
condition que les deux salles disposent d'un accs scuris. Si l'une au moins des
deux salles n'a pas de contrle d'accs le LBM se retrouve expos des risques de
confidentialit, d'intgrit, de disponibilit.
Hbergement chez un hbergeur agr. Cet autre type dhbergement est conforme.
Le contrat entre le LBM et l'hbergeur prcise les engagements de ce dernier pour
assurer la scurit, en particulier concernant la disponibilit et la confidentialit, ainsi
que les modalits de restitution des donnes au LBM en fin de contrat.

6.2.5 Agrment de l'hbergeur des donnes

Les dispositions relatives lagrment pour lhbergement de donnes de sant caractre
personnel sappliquent aux activits de biologie mdicale.
Les contraintes d'agrment de l'hbergeur de donnes de sant d'un LBM ne seront
vrifier, dans le cadre de l'accrditation, qu' partir de la date fixe par le SH REF 02.
6.2.5.1 Rappel du cadre juridique

Le lgislateur a souhait dfinir une nouvelle sphre de protection des donnes de sant
caractre personnel, notamment en encadrant leurs conditions dhbergement.
Larticle L 1111-8 du code de la sant publique dispose que les professionnels de sant ou
les tablissements de sant ou la personne concerne peuvent dposer des donnes de
I
sant caractre personnel, recueillies ou produites l'occasion des activits de prvention,
FO
de diagnostic ou de soins, auprs de personnes physiques ou morales agres cet effet.
Cet hbergement de donnes, quel qu'en soit le support, papier ou informatique, ne peut
avoir lieu qu'avec le consentement exprs de la personne concerne .
I T
F A
Les conditions dhbergement de donnes de sant caractre personnel sur support
informatique ont t prcises par le dcret 2006-6 du 4 janvier 2006 (codifi aux articles R
1111-9 R 1111-15-1 du code de la sant publique).
U E
Conformment larticle L 1111-8 du code de la sant publique et au dcret 2006-6 du 4
I Q
janvier 2006 relatif lhbergement de donnes de sant caractre personnel, toute
N
personne physique ou morale hbergeant des donnes de sant caractre personnel
R O
recueillies loccasion dactivits de prvention, de diagnostic ou de soins pour le compte
dun tiers, doit tre agre par dcision du ministre en charge de la sant qui se prononce
6 sus-cit).
C T
aprs avis de la CNIL et dun comit dagrment (organe consultatif cre par le dcret 2006-
L E
Lorsque ltablissement de sant ou le professionnel de sant conserve par ses propres
E
moyens et localement les donnes de sant de ses patients, il nest pas soumis la
ncessit dtre agr.
N
I O
Larticle L 1111-8 du code de la sant publique est dinterprtation large et vise toute
structure de soins et de prise en charge de patients.
R S
Par consquent, lorsque le LBM conserve par ses propres moyens les donnes de sant
V E
des personnes quil prend en charge, il nest pas soumis lagrment.
Lorsquune phase de lexamen de biologie mdicale est confie pour ralisation un autre
LA
LBM, ce dernier devient destinataire des donnes afin de participer lexamen de biologie
mdicale. En cette qualit il est donc tenu de conserver, y compris pour son propre compte
les donnes de sant ainsi transmises. Cette qualit le distingue donc dun hbergeur de
donnes de sant soumis agrment et qui conserverait pour le compte dun tiers des
donnes de sant caractre personnel.
Rfrentiel de la procdure de demande d'agrment sur le site de l'ASIP Sant :

www.esante.gouv.fr/services/referentiels/securite/le-referentiel-de-constitution-des-dossiers-
de-demande-d-agrement-des
La liste jour des hbergeurs agrs pour lhbergement de donnes de sant caractre
personnel est disponible sur le site esante.gouv.fr :
http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

6.2.5.2 Les cas soumis la procdure d'agrment
6.2.5.2.1 Base de donnes confie un prestataire spcialis dans

lhbergement de donnes
Lorsquun LBM souhaite confier lhbergement des donnes de sant des patients quil
prend en charge un prestataire tiers, le LBM est tenu de faire appel un hbergeur agr
cet effet.
Nous pouvons citer titre dexemple :

Le cas de lutilisation dune application externalise chez un hbergeur, notamment
dune application en mode SaaS ;
Le cas d'un serveur de rsultats d'examens de biologie mdicale hberg par un
I
prestataire tiers aux LBM participant la ralisation de lexamen de biologie mdicale ;
FO
Le cas d'une location d'espace de stockage numrique externalis dans une
infrastructure technique dhbergement.
I T
A contrario, lexternalisation de lactivit de mise sous pli des comptes rendus en tant que
attention particulire la confidentialit des changes. FA

telle nentraine pas lobligation dagrment du prestataire. Le LBM porte cependant une
6.2.5.2.2 SIL mutualis entre deux LBM

U E
LBM A. I Q
Le LBM A et le LBM B dcident de mutualiser leur SIL et de confier lhbergement du SIL au
N
Dans ce cas, le LBM B ne conserve aucune donne de sant localement.
R O
Si le LBM B prend galement en charge des patients pour lesquels aucune phase de
lexamen de biologie mdicale nest sous-traite au LBM A, alors le LBM A joue le rle
C T
dhbergeur pour le compte du LBM B et est agr cet effet.
Un contrat dhbergement de donnes de sant est conclu entre les deux LBM.
L E
E
N
I O
R S
V E
LA Figure 1: SIL mutualis entre deux LBM
6.2.5.2.3 MW mutualis entre deux LBM

Les LBM A et B exploitent chacun leur propre SIL, mais les deux LBM dcident de
mutualiser un MW (middleware).
Le LBM A est charg de lhbergement du MW.
Le MW hberg par le LBM A reoit et stocke des donnes de sant caractre personnel
de patients que le LBM A ne prend pas en charge dans le cadre de lexamen de biologie
mdicale.
Dans ce cas, le LBM A joue le rle dhbergeur pour le compte du LBM B et est agr cet
effet.
Un contrat dhbergement de donnes de sant est conclu entre les deux LBM.

Figure 2: MW mutualis entre deux LBM

I
6.2.5.2.4 Serveur de rsultats mutualis entre deux tablissements FO
I
Les LBM A et B utilisent un serveur de rsultat commun hberg par un des deux LBM. T
Si ce serveur de rsultat leur permet uniquement dchanger des rsultats
FA de patients
communs et donc pris en charge par les deux LBM, dans cette hypothse,
hberge le serveur de rsultat nest pas soumis lagrment.
U E
En revanche, si ce serveur a vocation contenir des donnes de patients qui
le LBM qui
ne sont pas
I
pris en commun par les deux LBM, le LBM qui hberge le serveur estQ agr pour
lhbergement de donnes de sant caractre personnel.
N
6.3 Architecture terminaux et rseaux
R O
Larchitecture terminaux et rseaux comprend :
C T

Les terminaux locaux ;
Le rseau local du site ; L E
E
Le rseau inter-sites pour les LBM multi-sites ;
N
Les connexions distance.
I O
Il est important de noter que la possibilit d'extraction de donnes patient dun SIL depuis un
R S
terminal fait de ce terminal un matriel informatique contenant des donnes sensibles et qui
donc ncessite un contrle d'accs.
E
V des recommandations de la norme NF EN ISO 15189 sur les
6.3.1 Rappel
LA
terminaux et rseaux
Les paragraphes de la norme NF EN ISO 15189 qui influent sur les terminaux sont :
5.1.7 et 5.3.11-d sur lautorisation dutilisation des ordinateurs du LBM ;
B4.1 concernant la protection des programmes informatiques ;
B4.3 sur le cloisonnement des applicatifs ;
B5.8 sur lidentification des utilisateurs.
Le LBM pourra sappuyer sur les points de scurit de la norme simplifie 53 de la CNIL qui
demande la traabilit des accs et des traitements sur toutes les donnes nominatives et le
cryptage des changes.

6.3.2 Typologie des terminaux

On distingue deux familles de terminaux installs dans les LBM :
Les terminaux passifs qui ne contiennent localement aucune donne. Ils peuvent
tre de diffrentes natures :
o Terminaux en mode caractre connects un serveur (AS400, VMS,
Unix,). Ces terminaux nont pas un vrai systme dexploitation install. Ils
sont facilement identifiables puisquils ne dmarrent pas si la prise rseau est
dbranche.
o Les postes de travail virtualiss qui affichent une interface graphique Windows
ou Linux excute sur un serveur (Microsoft Remote Desktop Protocol, Citrix,
Vmware). Comme les terminaux prcdents, ils ne dmarrent pas si la prise
rseau est dbranche.
I
FO
Les postes intelligents sont identifiables par la possibilit de travailler en local
mme si le rseau est dbranch.
I
systmes d'exploitation varis (Windows, Linux, iOs, Androd, ), surT
o Les ordinateurs : portables ou de bureau, tablettes, smartphones, sous des
lesquels s'excutent tout ou partie des applications.

F A
o Les ordinateurs portables ou de bureau, utiliss en mulation de terminal en
mode caractre.
U E
o Les terminaux passifs mulant un poste de travail virtualis.
o Les postes de travail virtualiss sur un ordinateur disposant d'un systme
d'exploitation.
I Q
N
Les terminaux passifs bnficient nativement dun haut niveau de scurit puisqu'aucune
de l'utilisateur aux applications depuis le poste.R O

donne ne peut tre stocke sur le terminal et toute la scurit repose sur le contrle d'accs
C T
Il est trs rare dans un LBM que tous les postes soient des terminaux passifs.
L E
Il est courant que des extractions nominatives soient effectues en dehors du SIL (liste
E
pidmiologique, transmission de courrier ponctuel pour les patients ou prescripteurs,) et
N
stockes sur le poste de travail intelligent.
I O
Il est frquent que les postes intelligents ne soient pas soumis une politique
R S
dauthentification similaire celle du SIL ou des autres applicatifs contenant des donnes
patient. Ceci n'est pas recommand.
V E
Si les locaux o se situe le poste intelligent sont ouverts au public ou accs non contrl, il
est recommand de faire en sorte que les donnes stockes localement soient cryptes,
LA
pour se protger du risque de divulgation dinformation nominative en cas de vol du poste ou
de son disque.
Dans tous les cas, il est recommand de doter le poste intelligent dun contrle d'accs par
authentification personnelle.
6.3.3 Typologie des rseaux locaux du site

Les quatre composantes importantes concernant le rseau local du site sont le rseau
physique, le pare-feu, les anti-virus et la gestion des identits.

6.3.3.1 Rseau Physique

Il peut tre soit filaire, soit Wifi, soit mixte.
Le rseau filaire bnficie de la scurit daccs physique du site et de la scurit du poste

de travail.
Le rseau wifi peut tre accessible depuis l'extrieur. C'est pourquoi il est recommand de le
scuriser par une cl d'un niveau suffisant, et de mettre en place une procdure
documentant le changement rgulier de la cl wifi, pour protger le rseau d'une intrusion
par un ex-personnel du site.
On ne devrait pas pouvoir se connecter au rseau wifi depuis un portable ou un tlphone

wifi non rpertori dans le rseau.
I
FO
6.3.3.2 Anti-virus
Une bonne configuration anti-virus consiste en linstallation dun serveur anti-virus en local
I T
qui distribue de manire rgulire les mises jour de signatures anti-virus sur les postes du
rseau et qui offre la possibilit un administrateur de superviser la bonne mise jour des
postes et lhomognit de la politique de scurit.
F A
U E
De nombreux postes sont encore aujourdhui protgs par des anti-virus gratuits. Or, la
plupart des anti-virus gratuits sont trop peu performants pour une utilisation professionnelle
dans le cadre des mtiers de la sant.
I Q
Il existe quelques rares anti-virus gratuits performants mais limitant le nombre de postes (par
N
exemple 15 postes). Au-del de cette limite le logiciel devient payant.
R O
Il est recommand de documenter la procdure de mise jour de lanti-virus et de
impliqus dans celle-ci.

C T
vrification de son statut, et de communiquer cette procdure l'ensemble des utilisateurs
L E
Il existe aussi des sites avec des anti-virus professionnels installs localement sur les
E
machines sans supervision. Dans ce cas, la mise niveau de lanti-virus est souvent ralise
N
manuellement par lutilisateur qui dispose dune procdure. Les risques sont davoir des anti-
virus non jour (donc vulnrables) et une dgradation des performances internet au moment
I O
du tlchargement simultan par tous les postes dune nouvelle signature anti-virus.
R S
Le LBM porte une attention particulire aux interactions entre antivirus et logiciels
V E
embarqus, notamment dans les dispositifs marqus CE, contribuant l'laboration des
examens, pour viter que les antivirus ne pnalisent trop fortement ces logiciels.
LA
6.3.3.3 Pare-feu
Le pare-feu permet de rguler les flux rseau comme par exemple dinterdire un
quipement extrieur au rseau local de se connecter au rseau du site, de bloquer des flux
rseau indsirables (vido par exemple).
Un pare-feu peut tre embarqu sur un matriel, inclus avec un routeur rseau, assur par
loprateur ou par un logiciel install sur un serveur. Lorsque le rseau du site comporte une
sortie sur internet (pour les mails par exemple) ; le pare-feu permet de rguler tous les flux
de/vers internet.
Si aucun logiciel nest accessible de lextrieur (pas de serveur de rsultat interne par
exemple), un seul pare-feu est suffisant dans le site.
Sil existe un serveur sur le rseau du site qui est accessible de lextrieur, il est
recommand de mettre ce serveur dans une DMZ dlimite par deux pare-feu, lun sur

larrive internet, lautre entre le serveur accessible de lextrieur (serveur de rsultat

rs par
exemple) et le rseau interne.
Un serveur accessible depuis internet mais hberg chez un hbergeur agr est, de fait,
dans une DMZ.
feu ncessitent des mises jour rgulires (contrat de maintenance).

Les pare-feu
6.3.3.4 Gestion des identits utilisateurs

utilisat
On distingue deux stratgies de gestion des identits : une approche centralise et globale
au rseau (LDAP) et une approche ad-hoc
ad par application.
La gestion dun annuaire dentreprise (LDAP) aussi appel gestionnaire de mot de
passe permet de crer un domaine de confiance interne la structure juridique
(LBM ou tablissement). Pour avoir accs aux applications se situant dans le I
figurant dans lannuaire dentreprise. FO
domaine de confiance chaque utilisateur est authentifi au regard des informations
dentreprise. Lauthentification peut se faire par carte CPx ou
I T
tout autre dispositif conforme la politique de scurit de la structure juridique
F A
comme un identifiant et mot de passe unique pour lensemble des applications.
L'utilisateur, ainsi affranchi de la contrainte de se souvenir de ses diffrents mots de
passe, peut aussi se permettre d'en choisir de plus compliqus (et donc de plus
U E
robustes). Dans certaines configurations, un utilisateur se connectant sur une prise
rseau du LBM sans tre authentifi naura accs qu internet, dans dautres
configurations, il naura accs rien.
I Q

N
La gestion en groupe de travail (Workgroup) permet chaque terminal connect au
R O
rseau local de communiquer avec les autres terminaux sans identification utilisateur.
Cela laisse le rseau ouvert et toute personne qui se connecte physiquement au
C T
rseau du LBM sera capable de communiquer avec lensemble des postes et des
serveurs du rseau (donc intgr immdiatement dans le domaine de confiance). confia
L E
Cela implique que chaque composant du rseau dispose de sa propre scurit et que
toute faille cre un risque sur la confidentialit et l'intgrit des donnes mdicales
caractre personnel.
E
N
Les deux configurations sont conformes, mais dans le cas dun rseau en Workgroup, il est
conseill de vrifier le niveau de scurit de chaque poste et serveur et lapplication des
I O
recommandations B4.3 et B5.8 ncessite des procdures plus dtailles et complexes.
R S
6.3.4 Typologie des rseaux intersites
inter
V E
Le partage dinformations
nformations dans un LBM multi-sites
multi
(Cf. section 6.4 Architecture Applicative Critique).
Critique
peut seffectuer
tuer de diffrentes manires
LA
Les sites qui ont chacun leurs applications et utilisent la messagerie lectronique MSS ou
Hprim Net pour schanger des donnes nont pas besoin de mettre en place un rseau
ddi entre les deux sites
tes : MSS garantit,
garantit par construction, la confidentialit des changes.
Le protocole Hprim Net assure cette confidentialit par un cryptage des messages.
Point de vigilance :
Dans certains cas dchange de donnes, le protocole Hprim Labo est utilis avec
un transport sans cryptage (exemple fichiers transmis par transfert de fichier non
scuris FTP ou Kermit), ce qui induit un risque sur la confidentialit des donnes
mdicales caractre personnel.
Les systmes dinformation qui partagent un serveur (un MW, un SIL,, ) requirent un
rseau intersites.

On trouve diffrents types de rseau intersites :

Une simple connexion ADSL, unique connexion dun ou deux sites avec partage du
rseau au travers dinternet et rgulation au niveau du pare-feu.
pare feu. Ce type de rseau
ne permettant pas de crypter linformation qui circule sur internet, elle induit un risque
de divulgation de linformation mdicale patient.
Une exception serait que le site dhbergement dispose dun composant rseau
supportant un VPN et que le site distant ouvre un tunnel VPN (cryptage) pour se
connecter. Ce type de connexion est identifiable par lapplication que le site distant
lance pour se connecter au VPN avant de lancer son application SIL.
Un lien SDSL rseau ddie entre les deux sites qui permet davoir un rseau ddi
et donc scuris.
Un rseau MPLS entre les diffrents sites qui permet de raccorder plusieurs sites
un backbone rseau central de manire ddie et crypte avec si ncessaire une I
FO
sortie sur Internet. Si ce rseau est compltement scuris entre les sites, il faut
vrifier comment est gr le pare-feu
pare vers/de internet,
rnet, soit par loprateur, soit avec
un pare-feu local.
I T
F A
Une connexion par VPN n'offre une bonne scurit qu' condition que la cl de
emprunter cette connexion. U E

cryptage soit une cl personnelle, propre chacun des utilisateurs habilits
I Q
6.3.5 Recensement et typologie des connexions distance
N
Il existe deux cas de connexion distance :
La
R
a connexion en nomade ou en mobilit d'un O
d'un personnel interne habilit ;
La T
a connexion par lun des fournisseurs des serveurs ou applications critiques.
C
criti
E
6.3.5.1 Connexion distance par un personnel interne habilit
L
E
La connexion distance permet un utilisateur de se connecter depuis internet (Wifi public,
Wifi domicile, 3G, )) aux applications du LBM.. La connexion un Wifi interne au LBM nest
pas considre
N
re comme une connexion distance puisque restant sur le rseau local du
LBM.
I O
R S
Toute connexion distance aux systmes internes du LBM seffectue en utilisant un VPN,
puisquelle passe forcment sur Internet. En lanant lapplication VPN lutilisateur cre un
V E
tunnel scuris et crypt sur internet qui est conforme avec le respect de la confidentialit
des donnes nominatives patients. Dans le cas contraire,
contraire, les donnes circulent en clair sur
LA
internet ce qui n'est pas acceptable.
Certains diteurs diffusent des applications de validation distance sur tablette ou sur
Smartphone. L aussi, il est indispensable de vrifier que la tablette ou le Smartphone
ncessite le lancement dun excutable VPN pralable quand ce terminal nest pas
connect au Wifi du LBM.
6.3.5.2 Connexion distance par un fournisseur dun serveur ou

logiciel critique
Cette connexion est utilise pour les oprations de tlmaintenance
tlmaintenance par des tiers
(fournisseurs de serveur, de logiciels ou dautomates).
Le biologiste reste responsable de toute action et de toute modification ralise par un tiers
travers ce type de connexion, en particulier sur la qualification
qualification des modifications.

Dans la bonne pratique, cette connexion est active par un personnel du LBM et permet
lenregistrement de lensemble des oprations effectues par le tl-intervenant pendant la
dure de la connexion. Une autre solution consiste demander aux intervenants de raliser
un rapport dintervention systmatique.
Sont utiliss dans les LBM :
La mise en place dun systme dalerte dans le logiciel install qui permet de
transmettre les alertes critiques sans que le tiers ait se connecter. Il demande
ensuite laccs au personnel du LBM en utilisant lun des dispositifs suivants.
La mise disposition dun VPN permanent pour le fournisseur qui se connecte quand
il y a ncessit. Dans ce cas, une procdure tablit un moyen de garantir la traabilit
des interventions par les tiers. De plus un changement rgulier et a minima trimestriel
de lidentifiant ou du mot de passe est document et trac pour viter quune
personne dmissionnaire de lentreprise tiers puisse se connecter aprs son dpart. I

FO
Les logiciels de prise de main distance. Ces logiciels ncessitent que le LBM ouvre
un logiciel spcifique sur un poste et donne un mot de passe avant la prise de main
I T
effective par le fournisseur. Certains de ces logiciels permettent lenregistrement des
d'exploitation peut tre utilise pour lenregistrement.

FA
actions ralises. Dans dautres cas, une fonctionnalit standard du systme
6.4 Architecture Applicative Critique

U E
Larchitecture applicative critique varie en fonction de :
I Q
La rpartition des serveurs applicatifs identifis comme critiques en section 6.2.1
entre les sites d'un LBM multi-sites ; N

R O
La nature des changes de donnes des serveurs applicatifs critiques du LBM entre
eux et avec l'extrieur.
C T
critiques
L E
6.4.1 Rappel des exigences de la norme NF EN ISO 15189 sur les applications
E
Les paragraphes de la norme NF EN ISO 15189 qui concernent les applications critiques
sont :
N
sous-traitants ;I O
Chapitre 4.5.2 et 4.5.3, 5.4.1, 5.8.7 concernant les analyses transmises des LBM

R S
Chapitre 4.13.1 et 4.13.2 sur la conservation et la suppression des enregistrements

V E
qualit et technique ;
Chapitre 5.1.8 sur la diffrenciation des rles entre utilisateurs ;
LA
Chapitre 5.4 sur la phase pr-analytique, incluant feuille de prescription et manuel de
prlvement ;
Chapitre 5.6.1 sur les systmes de contrle interne de la qualit (i.e. concerne la
validation automatique) ;
Chapitre 5.7.1 sur la validation biologique ;
Chapitre 5.8.1 5.8.7 sur la formalisation des rsultats.
Le LBM peut sappuyer sur les points de scurit de la norme simplifie 53 de la CNIL
touchant la communication des rsultats.
Pour la transmission lectronique des rsultats en France, il est recommand de s'appuyer
sur le rfrentiel CI-SIS :
http://www.esante.gouv.fr/services/referentiels/referentiels-d-interoperabilite/cadre-d-
interoperabilite-des-systemes-d-inform

6.4.2 Recensement et typologie des architectures multi-sites

Dans les LBM multi-sites, plusieurs types darchitecture peuvent tre mis en place dont :
Multi SIL Multi MW change SIL par messagerie scurise de sant ;
Multi SIL mono MW liaison ddie ou MPLS ;
Mono SIL Mono/Multi MW - Rseau ddi ou MPLS de communication entre sites.
6.4.2.1 Architecture Multi SIL, Multi MW change SIL par

messagerie
Dans cette configuration, deux sites travaillent ensemble sur un primtre identifi mais
restent sur des systmes spars. Les changes de donnes sont raliss entre les deux
SIL par messagerie scurise de sant.
I
FO
I T
F A
U E
I Q
N
R O
C T
Figure 3: Architecture multi SIL, multi MW, changes par messagerie
Dans cette configuration :

L E
E
Un premier niveau de validation biologique est ralis par le LBM excutant ;

N
Le paramtrage des analyses dans les SIL est potentiellement diffrent ;

I O
Le paramtrage des feuilles de prescription est potentiellement diffrent ;
S
Les MW sont potentiellement diffrents.
R
V E
Pour que les systmes communiquent de manire efficace, il est de la responsabilit du LBM
excutant de :
LA
Vrifier la formalisation des codes examens entre les SIL dans un document partag
et sign par les deux parties ;
Vrifier le processus de modification des lignes de rsultats connectes lors dune
modification de paramtrage ;
Vrifier la formalisation du processus de mise jour associ entre les deux parties ;
Vrifier le processus de mise jour du manuel de prlvement lors dune
modification de paramtrage et sa rediffusion ;
Vrifier que les informations prsentes sur les feuilles de prescription sont conformes
au paragraphe 5.4 de la norme NF EN ISO 15189 et que lensemble de ces
informations sont bien transmises par Hprim ou ressaisies le cas chant.
Dans le cas o ces changes se basent sur des rfrentiels lectroniques comme lutilisation
dun catalogue LCSD pour synchroniser les codes demandes et lutilisation de LOINC pour la

codification des lignes de rsultats, ces vrifications sont simplifies, chaque partie tant
responsable de sa cohrence vis--vis des rfrentiels.
Il existe une autre dclinaison de ce modle qui suppose les mmes contraintes et qui
repose sur une communication entre les middlewares la place dune communication entre
SIL.
6.4.2.2 Architecture Multi-SIL, plateau technique commun

Dans cette configuration, un plateau technique travaille pour plusieurs sites qui utilisent
chacun leur propre instance du SIL (voire un SIL diffrent).
I
FO
I T
FA
U E
I Q
N
Dans cette configuration : R O
Figure 4: Architecture Multi SIL, plateau technique commun

C T
Chaque site ralise sa validation dans son instance de SIL ;

L E
Le paramtrage des examens dans les SIL est potentiellement diffrent ;
Le paramtrage de chaque analyse est unique sur un middleware ;
E
Les changes ne reposent pas sur des feuilles de demandes mais uniquement sur
N
les numros de tubes et les codes analyses du ou des MW.
I O
sassurer que :
R S
Pour que les systmes communiquent de manire efficace, il est ncessaire de

E
Toute modification de paramtrage ralise dans le MW est communique tous les
V
sites distants avant sa mise en application avec une date dapplication ;
LA
Un document est tenu jour sur le plateau technique avec lensemble des codes et
du paramtrage du MW comme rfrence pour les sites distants ;
A chaque modification du paramtrage du MW, le site distant effectue des tests de
connexions sur le nouveau paramtrage et assure la traabilit de ces tests ;
Des plages de numros de tubes sont rserves par SIL/site et sont formalises sous
peine de mlanger les tubes et les patients de plusieurs sites.

6.4.2.3 Architecture mono SIL, Mono/Multi

M MW
Dans cette configuration, un plateau technique centralise linformatique pour plusieurs sites,
quil sagisse du SIL ou du MW,
MW les sites distants
ts se connectant au SIL central.
I
FO
I T
Figure 5: Architecture Mono SIL, Mono/Multi MW FA
Dans cette configuration :
U E

ou depuis le site local ; I Q
La validation est ralise sur le SIL central, indiffremment depuis les sites distants
d
Le paramtrage des examens dans le SIL est unique ; N

Le paramtrage de chaque analyse
R O
analy est unique sur un MW ;

C T
Les changes ne reposent pas sur des feuilles de demandes mais uniquement sur
les numros de tubes attribus par le SIL central (pas de rservation de
d plage).
L E
La communication entre les sites est de fait intgre et aucune procdure particulire de
E
communication nest mettre en place.
N
6.4.3 Recensement des changes de donnes d'un LBM
I O
Lgende des diagrammes de cette section :
R S
V E
LA
Figure 6: Lgende des diagrammes de flux

6.4.3.1 Phase pr-analytique

(Rfrence : NF EN ISO 15189 5.4)
Organisation manuel de prlvement LBM

prescriptrice (1) contrle spcimens
SIL primaires / prescription
SIH ou LGC donnes dmographiques
Acceptation / modification
Recueil donnes de la prescription
patient prescription
Cration de la non-conformits (2)
prescription
acceptation prescription gestion des
Gestion et suivi de SIQ
la prescription avec ou sans modifications non-
conformits
I
analyses demandes
FO
sur chantillons
I T
manuel de prlvement F
MW
A
ordres de
chantillons
Laboratoire sous-traitant
du laboratoire sous-
traitant E
primaires
U
prparation (3)
Equipements
I Q pr-analytiques
Ralisation des
SIL
examens sous traits
N pr-tri
Prparation et tri des
examens sous-
traits Spcimens des
R
examens sous-traits
O spcimens techniquer
C T
Notes : L E
Figure 7: Flux de la phase pr-analytique
E
(1) : Lorganisation prescriptrice peut tre un tablissement de soins quip d'un SIH ou un
N
cabinet mdical quip d'un LGC. Dans le premier cas, le SIH peut transmettre les donnes
I O
dmographiques des patients par voie lectronique (Cf. section 6.4.3.1.2). Le SIH peut aussi
S
transmettre la prescription sous forme lectronique (Cf. section 6.4.3.1.4), dans ce cas
l'acceptation des spcimens par le LBM et les ventuelles modifications du contenu de la
R
prescription sont notifies au SIH galement sous forme lectronique.
V E
(2) : Lenregistrement et le suivi des non-conformits peuvent tre assurs par le SIL ou par
un SIQ externe. Dans ce dernier cas, la dtection dune non-conformit par le SIL est
LA
reporte dans le SIQ, soit manuellement, soit par un flux lectronique (Cf. section 6.4.3.1.3).
(3) : S'il existe une chane pr-analytique robotique pilote par un MW celui-ci traduit le
contenu de la demande d'examens en ordres de prparation des spcimens techniquer.
(4) : Le LBM communique son manuel de prlvement l'organisation prescriptrice, par voie
lectronique ou papier. De mme, en cas de sous-traitance, le LBM sous-traitant
communique son manuel de prlvement au LBM de premire intention (Cf. section
6.4.3.1.3)
(5) : Le colisage des spcimens transmis au LBM sous-traitant est hors champ de ce guide
d'valuation des systmes informatiques.

6.4.3.1.1 La feuille de prescription

(Rfrence : NF EN ISO 15189 5.4.1)
La feuille de prescription parvient au LBM sous forme papier et/ou sous forme d'un flux
lectronique. Le contenu de cette feuille est dcrit au chapitre 7.3.3.
En cas de sous-traitance d'examens, la demande d'examens adresse au LBM sous-traitant
sous forme papier et/ou lectronique comporte les mmes lments que la feuille de
prescription, auxquels s'ajoutent :
L'identification du LBM demandeur :
o Nom du LBM,
o N FINESS ou identifiant attribu ce LBM par le LBM sous-traitant.
En cas de flux lectronique, transcodage des examens sous-traits dans la
codification fournie avec le manuel de prlvement du sous-traitant.
L'enregistrement informatique de la feuille de prescription dans le SIL produit une demande I
d'examens.
FO
6.4.3.1.2 Messages lectroniques de donnes dmographiques patients
I T
l'tablissement de sant est fortement recommande".)
FA
(Rfrence : SH REF 02 5.4 "Une procdure d'identitovigilance interne au LBM ou
U E
Lorsque l'organisation prescriptrice est un tablissement de sant, il existe couramment une
liaison informatique du SIH de l'tablissement vers le SIL du LBM, acheminant les donnes
dmographiques des patients. L'envoi de ces donnes dmographiques est dclench par
I Q
les vnements administratifs "entre ou visite du patient", "sortie du patient", "transfert du
N
patient d'un service un autre", "correction d'identit", "fusion d'un doublon". Le SIL reoit
R O
donc ces donnes pour l'ensemble des patients de l'tablissement mais il n'exploite
rellement ces donnes que pour les patients de l'tablissement ayant des examens de
biologie au LBM.
C T
L E
Deux standards existent pour ces flux lectroniques, tous les deux diffuss par l'association
interop'sant. Ce sont par ordre de pertinence dcroissante :

E
Le profil IHE PAM dans sa version franaise, maintenue rgulirement, au rythme
d'une version par an ;
N
I O
Le message ADM de l'ancien format Hprim Sant, fig depuis 2004. Ce format
ancien, encore trs rpandu dans les liaisons entre tablissements de soins et LBM
R S
de ville, ne fournit pas l'INS du patient et ne dcline pas l'identit du patient sous une
forme rglementaire (nom de jeune fille et nom, au lieu de nom de famille et nom
E
d'usage).
V
LA
Figure 8: Flux de donnes dmographiques

Ce flux lectronique de donnes dmographiques contient les lments suivants :

Identification de l'tablissement metteur : Nom et/ou N FINESS ;
Patient :
o Identifiant permanent au sein de l'tablissement de soins ;
o INS, si connu, avec sa date d'obtention (possible uniquement avec IHE
PAM) ;
o Identit : prnom, nom de famille, et le cas chant, nom d'usage ;
o Sexe ;
o Date de naissance.
Dossier administratif et mouvements :
o Identifiant du dossier (n d'hospitalisation, de v isite, de consultation ) ;
o Date d'entre, si connue ;
I
FO
o Date de sortie, si connue ;
o Service ou UF de prsence, si connu ;
I
o Type d'vnement dclencheur du message : entre, sortie, mouvement T
doublon.
F A
interne, correction ou enrichissement de donnes administratives, fusion de
(Rfrence : NF EN ISO 15189 5.4.2, 5.4.3, 5.4.4) U E

6.4.3.1.3 Manuel de prlvement sous forme lectronique structure
I Q
Le manuel de prlvement des chantillons primaires guide la fois :
N
La prescription, en listant les examens de biologie que le LBM est capable de
renseignements cliniques attendus ;

R O
raliser, et en stipulant les conditions associes : horaires, dlai de ralisation,
T
Le prlvement des chantillons primaires en prcisant pour chaque examen de
C
biologie, le ou les chantillons attendus, (nature, volume, type de tube, conditions de
E
prlvement, de conservation, de transport).
L
E
Ce manuel de prlvement peut tre communiqu aux prescripteurs, LBM demandeurs, et
prleveurs sous diverses formes : papier, site web, pdf, messages lectroniques structurs.
N
I O
Dans le cas d'une communication par messages lectroniques structurs, un seul format
R S
standard existe : le profil IHE LCSD maintenu rgulirement et diffus dans sa version
franaise par l'association interop'sant. Ce mode de communication permet en outre de
V E
diffuser les codes informatiques des examens de biologie et de leurs lments, pour une
utilisation ultrieure dans les messages d'changes de demandes et rsultats avec le SIL
(prescription connecte, sous-traitance).
LA
Les messages diffusant le manuel de prlvement sous forme lectronique structure
prcisent la version qu'ils diffusent. Il est recommand que les messages de demandes
d'examens, prescription connecte, envois de rsultats, rappellent un numro de version du
manuel de prlvement sur lequel ils s'appuient.

Figure 9: Flux de manuels de prlvement

I
Point de vigilance : FO
I
Continuit du processus de mise jour : Une nouvelle version du paramtrage
p T du
catalogue des examens du SIL se traduit
FA
tradui par une nouvelle version du manuel de
prlvement communiqu aux acteurs (mise jour du site web, nouvel envoi
papier, fichier pdf ou flux de messages lectroniques structurs).
6.4.3.1.4 La
a prescription connecte U E
(Rfrence : NF EN ISO 15189 5.4)
I Q
N
La prescription connecte peut exister entre tablissements de soins et LBM intra-
forme d'un flux lectronique. Dans

R O
tablissement ou de ville. Elle consiste dmatrialiser la feuille de prescription sous la
Dans ce cas, la rception des chantillons primaires au LBM et
C T
leur vrification par rapport la prescription lectronique dclenche un flux lectronique
d'acceptation de la prescription retourn vers le prescripteur.
L
Deux standards existent pour les flux deE
de prescription connecte, tous les deux diffuss par
E
l'association interop'sant. Ce sont par ordre de pertinence dcroissante :
Le profil IHE LTW ;
N
L'ancien
O
'ancien format Hprim Sant fig depuis 2004, l'exception d'un seul amnagement
I
consenti pour y insrerr l'INS-c
l'INS du patient.
R S
Les donnes du message de prescription connecte sont celles de la feuille de prescription
E
(voir chapitre 7.3.3).
V
LA
Figure 10: Flux de prescription connecte

Points de vigilance :
Seul le profil IHE LTW permet de grer convenablement les modifications de la
prescription (examens ajouts ou substitus), ainsi que les refus de spcimen, avec
communication des motifs de refus.
La procdure de rapprochement de la prescription des spcimens primaires,

implmente dans le SIL permet :
o le rapprochement sur identifiant de spcimen ou de patient ou de prescription ;
o de donner la possibilit d'accepter ou de refuser le spcimen, en motivant le
refus et en chanant vers l'enregistrement des non conformits pr-analytiques ;
o de prvoir la gestion des prescriptions orphelines (dure maximale de
conservation, purge, signalement).
I
FO
6.4.3.2 Phase analytique
(Rfrence : NF EN ISO 15189 4.13,
5.5)
I T
FA
U E
I Q
N
R O
C T
L E
E
N
I O
R S
V E
LA
Figure 11: Flux de la phase analytique
Un analyseur peut tre connect directement au SIL ou bien au travers d'un MW. Dans un
LBM mono site, il nest pas rare que le SIL soit connect directement avec lensemble des
analyseurs. Quelle que soit la configuration
configurat il importe de vrifier la traabilit
traabil des contrles
qualit et la mthode de conservation des rsultats bruts dits par les instruments,
instruments ainsi
que la validit des transferts analyseur SIL.

Lenregistrement et le suivi des non-conformits peuvent tre assurs par le SIL ou par le
SIQ. Dans ce dernier cas, la dtection dune non-conformit par le SIL ou par le MW peut
dclencher un flux vers le SIQ pour enregistrement.
Les CIQ sont traits sur l'analyseur. Le contrle et la vrification des rsultats de CIQ
peuvent tre grs sur l'analyseur, sur le MW, dans le SIL ou tout autre outil ad-hoc.
Lacceptation technique des rsultats peut suivant les cas tre ralise sur l'analyseur, sur le
MW ou sur le SIL.
Le LBM conserve les rsultats bruts (NF EN ISO 15189 4.13.3). Les formats de
transmission par les analyseurs peuvent tre considrs comme des formats valides de
conservation des donnes brutes.
I
FO
Les standards disponibles pour les changes de donnes SIL MW sont, par ordre de
pertinence dcroissante :
Le profil IHE LTW ;
I T

Le standard HL7 2.x utilis hors contexte du profil IHE LTW ;
F A
Les standards ASTM E1394 et E1381figs depuis 1997 et retirs du portefeuille de

standards valides d'ASTM depuis 2002 ;
Le standard H' Sant non conu pour cet usage. U E
I Q
Les standards disponibles pour les changes de donnes avec les analyseurs sont, par
ordre de pertinence dcroissant : N
Le profil IHE LAW ;
R O

C T
Le standard HL7 2.x utilis hors contexte du profil IHE LAW ;
Les standards ASTM E1394 et E1381figs depuis 1997 et retirs du portefeuille de
L E
standards valides d'ASTM depuis 2002 ;
E
Le standard H' Sant non conu pour cet usage.
N
Sur le terrain, les interfaces des analyseurs sont encore assez peu standardises et leur
I O
paramtrage est souvent ferm.
R S
Certains fournisseurs d'analyseurs de biologie mdicale exploitent dans leur primtre une
PFS laquelle leurs analyseurs et/ou leurs MW dploys dans les LBM peuvent se
connecter.
V E
LA
Les donnes qui remontent vers la PFS sont exclusivement des donnes techniques. Par
ailleurs, cette connexion peut aussi tre utilise pour les interventions de tlmaintenance du
fournisseur sur l'analyseur (selon les modes exposs au 6.3.5.2).
Si la PFS reoit des donnes mdicales caractre personnel des LBM, le fournisseur est
un hbergeur agr en contrat avec les LBM utilisant ces analyseurs (comme expos au
6.2.5.2).

6.4.3.3 Phase post-analytique

(Rfrence : NF EN ISO 15189 5.7.1 & 5.8)
SH-REF-02 encadr rglementaire associ au 5.8 :
La validation dun rsultat dexamen de biologie mdicale est ralise par un
biologiste mdical avant toute communication lextrieur du LBM (L.6211-2),
lexception des examens de biologie dlocalise. () La possibilit de transmettre un
rsultat provisoire d'examen, ouverte par la norme (5.8.9), est supprime par la
lgislation franaise.
InVS EFS
Surveillance Contle rsultats
Destinataire des rsultats : Epidmiologie dimmuno-hmato
I
FO
mdecin en cabinet, service compte rendu et/ou rsultats
de soins en tablissement
LBM
compte rendu
et/ou rsultats
I T
mise en forme du CR
SIH ou LGC
Stockage des rsultats dans
SIL
Passerelle F A
consolidant les examens
locaux et sous-traits
Validation et interprtation
le dossier mdical local dchange
U E
SISP opr par un hbergeur agr : I Q
DMP ou serveur de rsultats N
RO
compte rendu dexamens
Mise en partage des rsultats sous-traits
Patient
Diffusion aux destinataires
dsigns abonns au service
SISP
C T
compte rendu
dexamens
LE
Laboratoire sous-traitant
Professionnel de sant mise en forme du CR
Consultation a posteriori des
E SIL dexamens sous-traits
Validation et interprtation
N
rsultats de biologie dun patient
Stockage ventuel dans le dossier
mdical local
I O
S
ER
Figure 12: Flux de la phase post-analytique
V
Les rsultats et/ou comptes rendus d'examens ne sont transmissibles qu'aprs validation et
LA
interprtation sous la responsabilit d'un biologiste mdical (Cf. 5.8 du SH-REF 02).
La diffusion de rsultats et/ou de comptes rendus d'examens dmatrialiss dans les

formats lectroniques attendus peut tre opre directement par le SIL ou peut tre confie,
en tout ou partie, une passerelle dchange qui peut, le cas chant, raliser des
conversions de formats et des remises en forme des rsultats avant diffusion. La passerelle,
est dans le primtre et sous la responsabilit du LBM ou de l'tablissement qui le contient.

En ce qui concerne la diffusion de rsultats d'examens en intra-tablissement par un LBM

d'tablissement de soins :
Les standards disponibles pour le format et la structuration des rsultats sont, par
ordre de pertinence dcroissante :
o Le profil IHE LTW ;
o Le compte rendu structur de biologie au standard CDA, selon le modle
spcifi par le CI-SIS ;
o L'ancien format Hprim Sant fig depuis 2004 ;
o Le compte rendu pdf sans autre mise en forme.
Le moyen de transport est choisi par l'tablissement en conformit avec son
infrastructure rseau interne.
En ce qui concerne la diffusion de rsultats vers un professionnel de sant ou un systmeI

d'information situ hors de l'entit juridique du LBM :
FO
les standards disponibles pour le format et la structuration des rsultats sont, par
ordre de pertinence dcroissante :
I T
spcifi par le CI-SIS ; F A
o Le compte rendu structur de biologie au standard CDA, selon le modle
o L'ancien format Hprim Sant/Image fig depuis 2004 ;
U E
o Le compte rendu pdf encapsul dans un document CDA non structur, tel que
spcifi par le CI-SIS ;
I Q
N
o L'ancien format Hprim Mdecin fig depuis 2000 ;
o Le compte rendu pdf sans autre mise en forme.

R O
Le moyen de transport est soit une messagerie scurise de sant, soit un autre
C T
protocole dtermin par le systme informatique destinataire. Par exemple
l'alimentation du DMP se fait par web service.
L E
Ds lors que la diffusion des rsultats d'examens de biologie exploite un format structur
E
(profil IHE LTW, document lectronique CDA structur, message Hprim Sant ou Hprim
Mdecin) il est recommand d'identifier les analyses porteuses de rsultats l'aide de la
N
nomenclature LOINC traduite en franais et publie dans le CI-SIS.
I O
R S
L'envoi lectronique du compte rendu au patient peut se faire via un SISP (DMP ou serveur
de rsultats). Le format et le transport sont dtermins par le SISP.
V E
L'envoi du compte rendu directement au patient par messagerie sans autre protection n'est
pas recommand.
LA

6.4.3.4 Biologie dlocalise

(Rfrence : norme NF EN ISO 22870 en complment de la norme NF EN ISO 15189 et SH-
REF-02 encadr rglementaire "Tests d'orientation diagnostique et biologie dlocalise")
Les tests (tels que l'auto-surveillance glycmique pratique par les patients diabtiques avec
un lecteur de glycmie personnel), les recueils et traitements de signaux biologiques (tels
que la mesure oxymtrique transcutane) vise de dpistage, d'orientation diagnostique ou
d'adaptation thrapeutique immdiate pratiqus hors du LBM, par le clinicien, l'infirmier ou le
patient lui-mme, qui relvent de l'article L.6211-3 du code de la sant publique ne sont pas
des examens de biologie mdicale et ne sont donc pas des activits accrditer.
Ces tests se distinguent des examens de biologie mdicale dite dlocalise (tels que
les gaz du sang par voie artrielle raliss dans les units de soins), qui sont des examens
de biologie mdicale part entire (L.6211-18). Ils sont accrditer et entrent dans le
champ d'application du prsent recueil. Ils doivent respecter galement les exigences de la I
norme NF EN ISO 22870.
FO
I T
La biologie dlocalise se rencontre dans les tablissements de soins et concerne les LBM
d'tablissement ou travaillant avec un tablissement.
FA
La biologie dlocalise n'a pas, proprement parler, de phase pr-analytique : le
U E
prlvement du patient produit un spcimen biologique exploit tel quel et immdiatement
par la phase analytique ralise par le personnel de l'unit de soins. Ce personnel est form
I Q
au maniement des analyseurs dlocaliss par le LBM qui supervise le processus.
N
Les rsultats obtenus sont utiliss sans dlai par les soignants. Cependant, le LBM qui
du processus de biologie dlocalise. R O

supervise le processus collecte l'ensemble des rsultats pour contrler et assurer la qualit
C T
La biologie dlocalise fait interagir 4 catgories de systmes :

L E
Les analyseurs dlocaliss dans les units de soins ;
Un ou plusieurs systmes intermdiaires (MW) de pilotage de ces analyseurs ;
E
Le SIL du LBM de supervision qui est destinataire de l'ensemble des rsultats de la
N
biologie dlocalise qu'il supervise ;

I O
Le SIH de l'tablissement, qui est la source de vrit pour l'identification des patients,
S
et pour celle des soignants.
R
V E
LA
Figure 13: Flux de biologie dlocalise

Points vrifier :
Fiabilit de l'identification du soignant sur l'analyseur et remonte de cette
identification avec les rsultats dans le SIL ;
Fiabilit de l'identification du patient sur l'analyseur : lecture tiquette code barre ou
saisie manuelle. L'identit du patient est obtenue du SIH et affiche sur l'cran de
l'analyseur pour contrle ;
Remonte de l'ensemble des informations de traabilit avec les rsultats vers le SIL
: Identifiants de l'analyseur, du soignant, du patient, horodatage, alarmes ;
Le contrle de qualit peut se faire sur le systme intermdiaire de pilotage (MW) ou
sur le SIL. Vrifier les actions dclenches en cas de dtection d'anomalie : Alerte au
biologiste, blocage automatique de l'analyseur par le systme intermdiaire,
I
FO
Un seul standard est disponible pour les flux 1, 2, et 3 : le profil IHE LPOCT qui s'appuie sur
le standard POCT1-A, ce dernier exploitant des messages HL7.
I T
Le moyen de transport est choisi par l'tablissement en conformit avec son infrastructure
rseau interne.
F A
L'interface de contrle de l'identification du patient entre le MW et le SIH, lorsqu'elle est
prsente, peut s'appuyer sur :
U E

identits des patients de l'tablissement ; I Q
Le profil IHE PAM (Cf. 6.4.3.1.2) qui sert alors pr-alimenter le MW avec les
N
Le profil IHE PDQ qui permet au MW d'interroger en temps rel le SIH, rception de
O
l'identifiant patient transmis par un analyseur dlocalis.
R
C T
Sur le terrain, les interfaces des analyseurs de biologie dlocalise sont trs rarement
standardises, et leur paramtrage est souvent ferm.
L E
6.5 Cartographie des systmes et des changes
E
Pour matriser son environnement, il est recommand que le LBM sappuie sur une
N
cartographie de ses systmes mettant en vidence les changes de donnes entre eux et
I O
avec les systmes extrieurs.
R S
Chaque systme est repr sur ce schma par son nom et son adresse rseau (suivant les
V E
cas : nom DNS, url, adresse IP, ).
Exemples de cartographie :
LA

6.5.1 LBM de ville bi-sites travaillant avec deux tablissements
Clinique des cdres Hpital

DMP
SIH
SIH
Cabinets
MSSant
de ville
Dmographie
Dmographie H Sant
IHE PAM
rsultats Rsultats CR
dexamens dexamens dexamens
I
SIL Passerelle dchange FOLBM
I T
SIQ
MW
F A
MW
Bactrio
site 1
U E site 2
I Q
Analyseur Analyseur
Analyseur N
Analyseur Analyseur Analyseur
hmoc.
Site 1
autres
natures
coag.
Site 1 R O hmato
Site 1
bioch
Site 2
hmato
Site 2
Site 1
C T
E
Figure 14: Cartographie des flux d'un LBM de ville deux sites travaillant avec une clinique et un hpital
L
Notes : E
N
Les flux de tlfacturation avec l'assurance maladie peuvent ventuellement tre montrs,
mais ils restent hors primtre de l'valuation.
I O
Les priphriques (terminaux, douchettes, lecteurs Vitale, imprimantes, scanners )
S
peuvent tre montrs ou non.
R
V E
LA

6.5.2 LBM hospitalier
DMP
Hpital Gestion Dossier

Passerelle
Administrative Patient
dchange
Analyseur des Patients Informatis
Analyseur
Analyseur
gaz
gazdu - Pdiatrie
gazdu
sang du - Ra Dmographie
sang
sang IHE PAM Rsultats dexamens IHE LTW
- Nonat
+ CR structur dexamens
Rsultats biologie dlocalise Prescription connecte
Protocole propritaire IHE LTW
I
MW
SIL
LBM
FO
Bio dlocalise IHE LPOCT
IHE LTW
I T
MW
SIQ
MW
FA
Secteur autres
bactrio secteurs
U E
IHE LAW
IQ
IHE LAW
Analyseur Analyseur
Analyseur N
Analyseur Analyseur Analyseur
hmoc. autres
natures
coag.
R Ohmato bioch hmato
C T
Figure 15: Cartographie des flux d'un LBM intra-tablissement
L E
E
N
I O
R S
V E
LA

7 PRECONISATIONS POUR LE FONCTIONNEMENT DE

DES
SYSTEMES INFORMATIQUES
INFORMATIQUES EN REGARD DES EXIGENCES
EXI
7.1 Environnement
7.1.1 Matriels et logiciels
(Rfrence : SH REF 02 4.2
Toutefois, les incidents qui mettent en cause les logiciels dfinis au 18 de larticle
L.5311-11 sont signals sans dlai l'ANSM, par les professionnels de sant qui les utilisent
(dcret n 2011 - 1448). Le SMQ du LBM comporte les dispositions relatives la protection
des systmes d'information et la dclaration des incidents ).
I
FO
Les logiciels isols (non intgrs dans un dispositif mdical) utiliss dans un LBM pour la
gestion des examens de biologie
ologie mdicale et lors de la validation, de linterprtation, de la
communication approprie et de larchivage des rsultats, se rpartissent :
En n logiciels qui sont des dispositifs mdicaux devant tre marqus CE ; I T
En logiciels qui ne sont pas des dispositifs
dispo mdicaux.
F A
leur finalit mdicale (modification
modification et/ou cration dune donne).
E
Les logiciels sont considrs comme des dispositifs mdicaux marqu CE en fonction de
U
donne Dans la directive 98/79/CE,
il sagit le plus souvent dun auto-marquage
I Q
auto marquage CE. Les procdures de racto-vigilance
racto du LBM
sappliquent directement ces dispositifs et une dclaration lANSM est obligatoire en cas
danomalies. Sont exclus par exemple le changement N
ngement dunit, les calculs simples ou les
comparaisons de rsultats, ...
R O
C T
Pour les logiciels non dispositifs mdicaux (les plus nombreux) lordonnance 2010-49
2010
ajouts dans le champ des produits couverts par lANSM. Un dcret spcifique dcrit une
les a
E
vigilance spcifique (identique la racto-vigilance).
racto
L
Art. R. 5232-17. La vigilance comporte :
E
1 Pour les professionnels de sant utilisateurs mentionns larticle L. 5232-4, 5232
signalement lAgence franaise de scurit sanitaire des produits de sant de tout incident
le
N
consistant en une dfaillance ou une altration des caractristiques ou des performances
I O
des produits de sant mentionns la prsente section, ou une inadquation dans
R
sant des personnes .S
ltiquetage ou la notice dutilisation, susceptibles dentraner
dentraner des effets nfastes pour la
V E
Le SMQ du LBM comporte lensemble de ces dispositions.
LA
Les fonctionnalits
alits de facturation des systmes sont hors du champ de d ce guide
cependant la prservation de la confidentialit des donnes patient peut induire
des contraintes sur la circulation des donnes de facturation.
facturation. Ainsi,
Ainsi quand une
facture risque darriver
er dans un environnement non mdical le LBM veillera faire
en sorte quun nom dexamen ne puisse tre reli
reli un nom de patient.
Exemple : demande dexamens de mdecine du travail facture lentreprise
employeuse du patient.
patient

7.1.2 Critres de slection dun SIL ou dun MW

(Rfrence : NF EN ISO 15189 4.6.1)

Il est important de bien identifier les tapes du processus de manire faciliter lexpression
des besoins et, avant tout, danticiper sur les points risques, notamment :
Fonctionnalits ;
Performance
erformance (cots, dlais) ;
Ergonomie ;
Marquage CE DM DIV ;
Compatibilit
ompatibilit des systmes entre eux ;
Maintenance, SAV ;
Mode dgrad ; I
Formation,
ormation, valuation, habilitation,
habilitation
FO
I T
Diffrentes socits scientifiques mettent disposition des outils et des documents
F A
(Descriptifs Standardiss en Automatisation dont MW - de la SFBC et guides de la SFIL,
SFIL
) sur lesquels les LBM pourront sappuyer pour mettre en place leur propre cahier des
rglementaires, normatives et internes.

U E
charges. Ce dernier permet de dfinir ses besoins fonctionnels en fonction des exigences
I
7.2 Matrise du paramtrage et des dictionnaires/tables Q
N
Ce chapitre traite de la gestion globale
R O
globa des diffrents dictionnaires/tables
/tables. Cette gestion
englobe la cration, la mise jour, linactivation/suppression et larchivage.
C T
L E
Le LBM met en uvre un dispositif dalerte lors de toute mise jour dun
d des
lments de la chane des systmes dinformation (exemple de personne alerter :
E
biologiste responsable, rfrent informatique,
informatique ).
7.2.1 Annuaires des tiers N

I O
Le terme tiers regroupe lensemble des partenaires pouvant changer des informations
R S
avec le LBM (mdecins, maeuticiens, IDE, LBM sous traitants, administrations, organismes
payeurs, UF, CNR, INVS, ANSM, EFS, fournisseurs,
fournisseurs ).
V E
Le LBM met en uvre une procdure de gestion dun tiers et de vrification de la
transmission des donnes entre tiers et LBM. La matrise des champs de lannuaire de tiers
LA
a un impact direct sur la diffusion des donnes biologiques (dmatrialisation du compte
co
rendu au format CDA, Hprim, impression centralise et/ou dporte, serveur de rsultats,
fax, ). Lannuaire contient lensemble des donnes permettant de piloter les changes
avec le tiers.
Exemples de donnes :
Donnes
onnes dadressage (postales, informatiques,
inform tlphoniques, ) ;
Donnes
onnes didentification (FINESS, RPPS,
RPPS ) ;
Donnes
onnes de hirarchisation (Etablissements de sant, UF ou services, mdecins,
maeuticiens, ) ;
Modalits
odalits de codification en fonction de la qualit du tiers (par
(par exemple codification
c
en utilisant les premires lettres du nom et les premires du prnom pour les
prescripteurs, la distinction des praticiens travaillant en cabinet et en tablissement

de sant pourra seffectuer en utilisant les premiers caractres pour identifier

ltablissement et les suivants pour identifier le praticien, ).
7.2.2 Catalogue des examens

Le LBM dfinit sur son SIL les rgles de gestion des codes examens. La mise en place dun
catalogue des examens tant une opration critique, les tapes de cration et de
modification sont ralises par des personnes habilites.
Note : en termes dinteroprabilit, le transcodage sur lensemble des interfaces a un impact
direct sur le traitement des examens par les automates.
Exemple de catalogue :
Classement par sous domaine, famille (biochimie gnrale et spcialise,
hmatocytologie, ) ;
I
FO
Classement suivant le lieu de ralisation des examens : sur site, LBM sous-traitants.
Exemple de caractrisation de lexamen au niveau du SIL :

Code analyse, code de transcodage, ; I T
Famille dappartenance (hmostase, bactriologie, ) ;
Nature du spcimen ; F A
Units, normales, ;
Code nomenclature avec traabilit des mises jour ; U E
Lieu de ralisation (site, LBM sous-traitant, ) ; I Q
N
Pour les LBM sous-traitants : conditions de transport ;
Mthode utilise ; R O
Gestion de la redondance, du dlai de ralisation, du dlai de stabilit, ;
Mode de saisie (manuelle, interface, ) ;

C T
Syntaxe, commentaire examens ;
L E
Type de rsultat (numrique, texte, ) ;
E
Rgles associes au code (changement dunit, ) ;
N
Acceptation technique, ;
O
Impression ou non de lexamen.
I
R S
7.2.3 Harmonisation des systmes unitaires
V E
Le systme unitaire entre deux systmes interconnects pouvant tre diffrent, il est
primordial de vrifier, pendant les vrifications, les ventuelles conversions dunits.
LA
Lorsquelle est disponible la codification LOINC prsentant des codes diffrents en fonction
du systme unitaire est recommande dans les changes de donnes entre systmes.
7.2.4 Gestion de ladresse postale

En termes dadressage, le LBM porte une attention particulire aux normes en application
du ou des prestataire(s) responsable(s) qui peuvent avoir des consquences sur la
transmission des comptes rendus.

Exemple : Norme AFNOR XP Z 10-011

10
Quelques rgles lmentaires concernant la norme de ladresse :
ladresse doit comporter 6 lignes maximum (ventuellement une 7me pour le
pays),
dune longueur maximum de 38 caractres,
les informations dans ladresse partent du plus prcis
prcis (ligne 1 : Titre / Prnom
/ Nom) pour aller au plus vaste (ligne 6 : Code Postal / Ville),
la dernire ligne (Code Postal / Ville) est imprativement en majuscules
La Poste Franaise recommande toutefois de mettre galement la ligne 4
(numro, type de voie, voie) et la ligne 5 (lieu-dit Boite Postale) en
majuscules, ce qui maximise la performance de la reconnaissance optique,
Les accents, signes de ponctuation ou style (soulign, gras, ) sont proscrits
I
FO
par la norme de ladresse partir de la ligne 4 (voie),
les abrviations (Res., Bat., Bd, Bvd, ) ne sont tolres que si elles sont
T
ncessaires pour le respect des 38 caractres par ligne
I
7.3 Matrise informatique de la phase pr-analytique A
analytique
F
7.3.1 Gestion informatique de lidentit des patients
(Rfrences : SH REF 02 5.4
5.4.5 U E
Q
NI
Note : "Une
Une procdure d'identitovigilance interne au LBM ou l'tablissement de sant est
fortement recommande".)
SIH : donnes didentit

O
Etat des lieux des sources de donnes didentits patients :
R
identits patients gres par une administration
ration externe au LBM ;
T
Carte vitale : donnes didentits gres par lorganisme dassurance maladie ;
C
Systme
E
ystme informatique du demandeur/prescripteur pour un LBM recevant ses
EL
demandes dexamens en format lectronique, en prescription connecte ou en sous- sou
traitance.
N
Le SIL gre plusieurs domaines d'identification de patient. Chaque identifiant permanent de
I O
patient est visiblement rattach son domaine d'identification et nest exploit que dans le
contexte de ce domaine didentification :
R S
Le domaine national
onal pour l'INS-c
l'INS ;
Autant
V E
utant de domaines d'identification que d'tablissements de soins fournissant des
donneses dmographiques au LBM (exemple : NIP ou IPP, IEP ou NDA) ;
Son
LA
on propre domaine pour l'identifiant interne attribu par le SIL.
Lexploitation correcte par le SIL des domaines didentification est primordiale : le
patient identifi 1234 par la clinique A na aucune raison dtre la mme personne
que le patient identifi 1234 par lhpital B.

7.3.1.1 Identits et mouvements de patients transmis par le SIH

La contrainte sur les identifiants permanents expose ci-dessus sapplique de la mme faon
aux NDA transmis par les SIH des tablissements. Le LBM sassure que chaque NDA est
rattach au domaine d'identification de l'tablissement metteur.
La procdure d'identitovigilance du LBM prend en compte ces flux lectroniques de donnes

dmographiques. Les donnes du SIH et/ou du SIL ntant pas forcment exactes, la
procdure intgre les modalits de correction et de communication des donnes identit et
mouvements de patients .
Le LBM, en lien avec ltablissement de sant, prvoit une procdure de saisie des identits
et mouvements de patients en mode dgrad afin dassurer la continuit de service en cas
de panne du SIH.
En pratique, toute discordance ncessite une tude dimpact et est gre comme une non- I
FO
conformit.
7.3.1.2 Donnes didentit patient lues sur la carte Vitale

I T
Les modalits de gestion des donnes didentit lues dans la carte vitale sont intgres dans
F A
la procdure didentitovigilance. Une attention particulire est porte la gestion des
discordances entre la carte vitale et les informations didentit communiques par le patient
accessibles.
U E
ainsi qu la prise en compte des cas o les donnes de la carte vitale du patient ne sont pas
I Q
7.3.1.3 Donnes patients reues dans les demandes dexamens
dmatrialises N
R O
Lassociation des demandes dexamens reues du systme demandeur des dossiers
patients existants dans le SIL fait lobjet des mmes prcautions que dans le cas dune
C T
liaison fournissant identits et mouvements : utilisation des identifiants fournis dans le
contexte de leur domaine didentification ; contrle de concordance des traits didentit
fournis avec ceux du dossier existant.
L E
7.3.2 Fusion des dossiers patients E
N
Le recours aux fusions de dossiers permet, en rduisant les dossiers en doublons, de
I O
maintenir une cohrence du suivi des patients. La fusion de dossiers tant une opration
S
critique, il convient que celle-ci soit trace et effectue par des oprateurs en nombre limit
et dment habilits. Une autorisation daccs spcifique cette fonctionnalit dans le SIL ou
R
le SIH peut tre prvue par le fournisseur informatique. Si ce nest pas le cas, la procdure
E
en tient compte.
V
LA
Afin dviter tout problme didentitovigilance, la fusion de dossiers de patients ayant des
groupes sanguins diffrents nest pas possible. Le LBM sassure de cette impossibilit lors
de la cration de dossier patients-tests. Le cas chant, le LBM prend des dispositions pour
pallier le manquement de son SIL.
Plus gnralement, toute discordance entre les deux dossiers fusionner fait lobjet dun
message davertissement retourn par le logiciel avant validation de cette fusion. Si le
logiciel noffre pas ce mcanisme de contrle, la procdure en tient compte.
Cette fonctionnalit devant tre encadre, il importe de dfinir une liste de critres
permettant didentifier les doublons lorsquils sont identiques et de bloquer la fusion lorsquils
sont diffrents, ceci afin de respecter lintgrit du dossier patient.

Exemples de critres de fusion associer :

Date de naissance ;
Nom de famille ;
Nom dusage ;
Prnom ;
Groupe sanguin ;
Adresse ;
INS-c ;

La fusion tant une opration critique pour le suivi des patients, il est souhaitable
I
FO
que si un doublon est suspect sur lassociation de plusieurs critres, la fusion en
cas de discordance dun des critres ne puisse se faire quaprs une tude de
risque.
I T
7.3.3 Prescription (papier et/ou connecte)
(Rfrences : NF EN ISO 15189 5.4.1)
F A
U E
La feuille de prescription parvient au LBM sous forme papier et/ou sous forme d'un flux
Identification I Q
lectronique. La feuille de prescription comporte les lments suivants :
n du prescripteur et de l'organisation prescriptrice (tablissement de soins
N
et service, ou cabinet mdical). L'identification peut tre le nom et/ou le n FINESS de
l'organisation ;
Identification R O
Adresse
C T
dentification du prescripteur et des autres mdecins destinataires du compte
co
dresse de l'organisation prescriptrice / du prescripteur et adresse des autres
rendu ;
destinataires du compte rendu ;

Identification L E
dentification univoque du patient :
o L'identit E
'identit du patient comporte
comport son nom de famille,, son prnom et le cas
N
chant un nom d'usage. Chacune cune de ces informations tant portes
porte dans un
I O
champ individualis et clairement identifi. En cas de prescription
R S
anonymise, l'identit n'est pas fournie ou est remplace par une chane de
caractres anonymise ;
V E
o Le
o La
e sexe du patient est renseign dans un champ ddi, distinct de la civilit ;
a date de naissance du patient est fournie, si elle est connue prcisment.
LA
Pour les patients dont la date de naissance n'est pas connue prcisment,
celle-ci
ci peut se rsumer une anne de naissance ou une date de
naissance dite lunaire fournie par l'organisme d'assurance maladie via la carte
Vitale du patient ;
o L'INS-cc du patient,
patient si connu. En l'absence d'INS-c le LBM ou l'tablissement
met en uvre une procdure d'identitovigilance renforce ;
o Le NDA (n d'hospitalisation ou de visite) du patient au s ein de
l'tablissement, lorsque l'organisation prescriptrice est un tablissement.
tablissement
En n cas de flux lectronique, identifiant de la prescription dans le systme de
l'organisation prescriptrice ;
Nom du prleveur ;

Examens de biologie prescrits :

o Dsignation explicite, de prfrence respectant la NABM, non ambige de
chaque examen ;
o En cas de flux lectronique, codification de l'examen conforme celle dfinie
dans le manuel de prlvement du LBM.
Elments cliniques pertinents :
o Le(s) motif(s) de la prescription (vise diagnostique, pronostique, de suivi, de
dpistage, de bilan pr-acte ou post-acte, de bilan priodique de sant) ;
o Les autres renseignements cliniques requis en fonction des examens
prescrits, pour les besoins de linterprtation des rsultats.
Pour chaque spcimen primaire requis par la prescription :
o La nature du spcimen et le cas chant le site de prlvement ;
I
FO
o La date et lheure de prlvement dans le cas o le spcimen est fourni par
l'organisation prescriptrice.
I T
En cas de sous-traitance d'examens, la demande d'examens adresse au LBM sous-traitant
prescription, auxquels s'ajoutent : F A

sous forme papier et/ou lectronique comporte les mmes lments que la feuille de
L'identification du LBM demandeur :

o Nom du LBM ;
U E
I Q
o N FINESS ou identifiant attribu ce LBM par le LBM sous-traitant.
En cas de flux lectronique, transcodage des examens sous-traits dans la
N
O
codification fournie par le catalogue des examens du sous-traitant.
R
Points vrifier sur le SIL :
C T
Lenregistrement informatique de la feuille de prescription dans le SIL produit une demande
L E
d'examens sur laquelle on retrouve l'ensemble des informations listes ci-dessus auxquelles
s'ajoutent la date et lheure de rception des spcimens primaires au LBM.
E
7.3.4 Cas particulier de lautocration de demande dexamens
N
Le LBM prend des dispositions afin de scuriser ce mode de connexion.
I O
R S
Exemple de dispositions :
Loprateur analyse le spcimen sur lanalyseur sans enregistrement pralable sur le
SIL ;
V E
Les oprateurs sont forms/habilits ;
LA
Loprateur identifie son spcimen sur lanalyseur avec lidentifiant patient (IPP ou
NDA) ;
Le ou les rsultats sont transmis au SIL avec lidentifiant, en connexion directe ou via
un MW ;
La demande est gnre automatiquement sur le SIL qui lui affecte un numro et y
range les examens avec leurs rsultats.
Il est important que le LBM dfinisse les paramtres de matrise de cette fonctionnalit,
concernant :
Le ou les lment(s) administratif(s) permettant(s) dinterroger le SIL ou le SIH afin
de scuriser laffectation des rsultats au dossier patient. Exemples : IPP, NDA, nom
de famille, prnom, ... ;
Le mode de transfert des donnes ainsi que leur traabilit,

NB : en cas de panne de ce mode de fonctionnement, le LBM prvoit une procdure en

mode dgrad afin dassurer une diffusion des donnes biologiques (Cf. 7.8).
7.3.5 Saisie de plusieurs demandes dexamens avec des analyses communes

pour un mme prlvement
Il est frquent davoir plusieurs prescriptions pour un mme prlvement. Si le SIL ne peut
pas rattacher plusieurs demandes dexamens un mme prlvement, le LBM, en cas
danalyses communes, prend des dispositions (recopie automatique et/ou saisie manuelle)
pour viter de rendre des rsultats diffrents et pour grer les antriorits.
De faon idale le SIL gre les antriorits en fonction de lhorodatage du prlvement.
7.4 Matrise informatique de la phase analytique

I
FO
(Rfrence : NF EN ISO 15189 4.13 & 5.5)
7.4.1 Connexions des analyseurs en direct sur le SIL ou via MW

I T
La scurisation des connexions danalyseurs, en direct ou via MW, ncessite dtablir les
F A
pr-requis avant de mettre en production les changes dinformations entre les diffrents
systmes informatiques du LBM.
diffrents systmes.
U E
Le type de connexion est dfinir par le LBM, en tenant compte des possibilits des
caractristiques des fournisseurs d'analyseurs. I Q

Concernant le choix du format des tiquettes codes barres, le LBM respecte les
N
R O
Etat des lieux : deux modes de connexion sont utiliss ce jour :
Connexion monodirectionnelle : flux de donnes dans un seul sens. Lanalyseur
C T
dtermine (par configuration ou par saisie manuelle de loprateur) son ordre de
travail sur un spcimen (les analyses raliser sur ce spcimen). Il excute lordre,
L E
puis renvoie au SIL ou au MW les rsultats associs lidentifiant du spcimen ou
E
sa position sur lanalyseur ou son rang dans une liste de travail.
Connexion bidirectionnelle : flux de donnes dans les deux sens. Lanalyseur
N
obtient du SIL ou du MW son ordre de travail sur le spcimen (la liste des analyses
I O
raliser ainsi que les informations contextuelles ncessaires comme, par exemple, le
R S
numro de la demande dexamens, lidentit du patient, celle du prescripteur, ). Ce
flux aller peut se drouler de deux faons :
V E
o Connexion bidirectionnelle en mode chargement: le SIL ou le MW envoie au
pralable les ordres de travail lanalyseur qui les mmorise passivement en
LA
attendant de traiter les spcimens.
o Connexion bidirectionnelle en mode interrogatif : lanalyseur est linitiateur et
interroge le SIL ou le MW au vu du spcimen (reconnaissance de ltiquette
code barre) et reoit en rponse lordre de travail excuter pour ce
spcimen.
Aprs avoir excut lordre de travail lanalyseur renvoie les rsultats avec les
informations de contexte au SIL ou au MW.

Exemples de points sensibles du flux de transmission des ordres de travail:

Dfinir les lments qui composent lordre de travail.
o Numro de spcimen : dispositions permettant dviter les collisions de
numros (nombre de caractres, dlai de rotation, identifiant prenne, ) ;
o Codes analyses : habilitation au paramtrage/matrise de la table de
transcodage ;
o Antriorits (valeur, date, unit, ) ;
o Donnes du dossier patient : identit, sexe, date de naissance, date dentre,
IPP, NDA, ;
o Donnes de la demande dexamens : numro, prescripteur, unit de soins,
donnes cliniques et observations fournies par le prescripteur (temprature,
diurse, dure damnorrhe, infection connue, ) ;
I
FO
o Donnes du spcimen : date de prlvement, date de rception, prleveur,
risques associs,
Dterminer le mode de fonctionnement de la connexion lorsque la connexion passe
I T
par un MW la composition des ordres de travail est dfinir sur chacune des tapes
F A
de communication : SIL <> MW, MW <> analyseur. Le MW a souvent besoin de
plus de donnes contextuelles que lanalyseur. Dautre part, le MW peut rpartir le
U E
travail entre plusieurs analyseurs et produire ainsi plusieurs sous-ordres partir de
lordre de travail transmis par le SIL. De mme, le mode de connexion est
configurer sur chacune des tapes de communication.
I Q
N
R O
Exemples de points sensibles du flux de retour des rsultats :
o Dfinir les lments qui composent le flux de rsultats. identifiants
retourner (patient, demande) ;
C T
o Numro de spcimen dans une taille et un format compatibles entre les deux
L E
systmes et assurant la protection contre les collisions ;
o Codes analyses : habilitation au paramtrage/matrise de la table de
transcodage ; E
N
o Donnes du rsultat : codage des rsultats qualitatifs, units des rsultats
I O
numriques, alarmes codes, codes dinterprtation (> ou <, L ou H, ...),
o
R S
commentaires textuels et cods, ;
V E
Lorsque la connexion passe par un MW ces lments sont dterminer sur chacune
des tapes de communication, le MW tant susceptible denrichir le flux de rsultats
LA
initial de lanalyseur avec, par exemple, des donnes dacceptation et dinterprtation
des rsultats. De plus, le MW est susceptible de gnrer des ordres de repasse, sur
le mme analyseur ou sur un autre, avec ou sans modification de lordre initial :
dilution, concentration, ajout danalyses, ;
Traabilit des oprateurs ayant ralis (sur lanalyseur, sur le MW) une action
(acceptation du rsultat, interprtation, commentaire, dcision de repasse, choix
entre les rsultats de deux passages, ).
7.4.2 Rgles de contrle du processus analytique

La mise en place de rgles oprationnelles permet dautomatiser, de standardiser et de
scuriser le processus analytique. Le LBM matrise lutilisation de ces rgles et sassure de
leur stabilit dans le temps.

Exemple de rgles utilises :

Conversion dunit ;
Calcul dindex (MDRD), de valeurs analytiques (LDL cholestrol, bilirubine lie, )
Rgle de gestion dclenchement dautres analytes (exemple si bilirubine totale au
seuil critique faire la bilirubine libre ) ;
Rgles de repasse, critres dfinis par le LBM ;

La criticit des rgles oprationnelles est dfinir par le LBM. Leur paramtrage est confi
des oprateurs habilits et est trac. Le LBM met en place une politique concernant :
Lexploitation ;
La criticit ;
La validation par lutilisation de patients test ; I
La dfinition des extrmes pour chaque type de calcul ;
La vrification du fonctionnement des rgles de gestion et le fonctionnement en FO
cascade ; I T
La traabilit des rgles mises en uvre ;
Le systme de test en continu (rgles mises en dfaut, ) ; F A

U E
7.4.3 Contrle(s) de qualit connect(s)
I Q
N
Les contrles de qualit peuvent tre grs par des systmes informatiques comme le SIL,
R O
les MW ou dautres systmes. Le paramtrage des contrles est effectu par des
oprateurs habilits et selon les besoins exprims dans la procdure de gestion des
T
contrles qualit (rgles de Westgard par exemple).
C
L E
La mise en place dune liaison de gestion des contrles qualit ncessite de dfinir des
rgles de fonctionnement et dutilisation, concernant :
E
Les rgles de gestion des contrles qualit avec blocage ou non de la production ;
La traabilit des oprations effectues sur lacceptation ou le refus dun ou de
N
I O
plusieurs contrles qualit ;
La liste des oprateurs responsables de la validation des contrles qualit ;
S
La liste des oprateurs habilits paramtrer et grer le systme des contrles
R

V E
qualit en gnral ;
A Matrise informatique de la phase post-analytique

L7.5
(Rfrence : NF EN ISO 15189 5.7.1 & 5.8)
7.5.1 Dmatrialisation des donnes

Le format de communication des examens mdicaux peut faire appel des systmes de
transfert informatique des donnes (dmatrialisation). Le LBM dfinit une politique de
diffusion des comptes rendus dmatrialiss.
A titre dexemple la politique mise en uvre peut comporter les items suivants :
Catalogue des examens transmis avec indication du blocage de certains rsultats
dexamens (srologie VIH positif, ) ;
Vrification du catalogue des examens transcods au cours du temps et de
lvolution du SIL ;

Modalits
odalits de transfert des donnes biologiques : numriques, codes textes, units,
intervalles de rfrence, antriorits, commentaires, prestation
prestation de conseils,
techniques, ;
Rgles
gles de confidentialit (par exemple pour les examens concernant le personnel de
ltablissement de sant,
sant ) ;
Surveillance
urveillance de fonctionnement de ce mode de diffusion (mise en place dun tableau
de bord, ) ;
Traabilit
it de la consultation des comptes rendus par les tiers ;

7.5.1.1 Serveurs de rsultats intgrs la chane de production des

soins
I
FO
Les serveurs de rsultats sont exploitables dans le respect des dispositions concernant
lagrment des hbergeurs de donnes de sant exposes au chapitre 6.2.5.
Le LBM en concertation avec ses correspondants (prescripteur,
( rescripteur, personnel mdical et
paramdical, patient, ) dfinit les droits daccs,
I T
daccs, la dure de disponibilit, et les modalits
de consultation des donnes pour :
Les prescripteurs ;
F A
Les
E
es tablissements de sant, accs par prescripteur, service, UF, Une attention
U
particulire est porte en cas de mise en place dun accs en mode urgence
vitale ( bris de glace ) ;
Les IDE,, le personnel paramdical ; I Q
Les patients. N
Une traabilit nominative est mise en place.
R O
C T
L E
Le LBM prend des dispositions concernant la transmission des rsultats jugs
proccupants et des examens diffusion restreinte.
E
N
Exemple de modalit de consultation pour les patients lorsque le LBM met disposition sur
I O
son serveur de rsultats,, les comptes rendus dexamens de biologie mdicale pour les
patients ayant donn leur accord explicite :
R S
Le compte rendu est disponible pendant une dure dtermine et la notification de
sa disponibilit se fait par mail et/ou SMS ;
LaccsE
accs se fait via un login et un mot de passe, communiqus sparment au
V
patient. Un dispositif de mot de passe usage unique transmis au patient par SMS
LA
ou mail, au moment de la connexion, donne un meilleur niveau
niveau de scurit ;
Le e compte rendu nest mis disposition que lorsquil est complet.
7.5.1.2 Passerelle dchange

Dans certains contextes (en particulier en contexte hospitalier), les changes post- post
analytiques peuvent tre assurs par une passerelle dchange ou EAI (Enterprise
Application Integration). Le LBM qui souhaite squiper dune nouvelle passerelle porte une
attention particulire aux critres suivants :
Connecteur
onnecteur DMP compatible disponible (liste disponible sur le site de lASIP Sant) ;
Support dune messagerie scurise de sant ;
Possibilit
ossibilit de rceptionner les rsultats des LBM sous-traitants.
sous

7.5.2 Transfert des donnes par Module Fax informatique

(Rfrence : SH REF 02 5.8)
La liaison SIL ligne tlphonique (mode fax) ncessite une matrise des points critiques
suivants :
Lintgrit des numros de fax utiliss ;
La mise en place dune convention de preuve avec le tiers (Cf. annexe 1) ;
Le suivi de la transmission (par exemple via un Tableau de bord ) ;
La traabilit de la transmission.
7.5.3 Signature lectronique et signature lectronique prsum fiable

Sous chapitre non dvelopp dans lattente du ou des textes lgislatifs d'application
prcisant les modalits de mise en place de la signature lectronique prsume fiable. I
7.5.4 Systmes daide la validation biologique (SAVB) FO
I T
Ces logiciels sont bass sur la combinaison d'un ensemble de rgles d'expertise assorties
F A
de rgles de priorit. Un tel systme peut devenir un outil complexe la faveur de
l'accumulation et de linteraction de rgles multicritres du type : ge du patient, sexe, dlai
entre deux examens, volution d'un rsultat d'analyse dans ce dlai, rsultats d'autres
analyses, indice de priorit de rgle,
U E
I Q
Les recommandations de ce chapitre sappliquent aux rgles dexpertise qui peuvent faire
N
partie intgrante dun SIL. En revanche, les systmes experts intimement lis des
automates danalyse sont, au titre des DM DIV, exclus du champ de ce prsent document
R O
puisquils sont soumis une validation ou vrification de mthode (logiciels de calcul de
risques de trisomie 21, systmes experts dantibiogramme, ).
C T
On s'assurera que les rgles sont pertinentes, en vrifiant que le comit de spcialistes qui
validation. L E
les a labores soit qualifi et que le systme ait prouv son efficience via un dossier de
E
N
7.5.4.1 Catgories de systmes
I O
Les SAVB dits "partiellement ouverts" :
Dans ce cas le systme est livr avec un ensemble de rgles dexpertise prprogrammes,
S
non modifiables, et leur mcanisme d'action est parfois inaccessible.
R
V E
Les SAVB dits ouverts :
Dans ce cas les rgles sont toutes librement paramtrables. L'laboration de ces rgles qui
LA
reprsente un point sensible est maitrise par les biologistes.
7.5.4.2 Etudes pralables ladoption

La prparation au choix d'un tel systme peut avantageusement passer par une analyse de
risque afin de lister les cueils, d'adapter la taille et la dure des tests.
A rception, la vrification de l'adaptation du SAVB au contexte informatique et clinico-

biologique du LBM est vivement recommande.
Par exemple, un jeu-test de demandes d'examens par famille (Biochimie gnrale et

spcialise, Hmostase, ) contenant l'ensemble des analyses concernes est mis en
uvre. Chaque analyse reoit ensuite des rsultats choisis pour leur diversit, leur caractre
extrme ou selon les consquences cliniques qui peuvent en dcouler. Enfin un jeu-test
multi-familles de taille au moins identique pourra tre utilis dans le cas o plusieurs

analyses de ces familles interagissent au sein des rgles.

La pertinence des expertises opres est examine avec soin par le biologiste.
Dans le cas o le SAVB est un logiciel indpendant du SIL, la mise en place de la connexion
est une phase aussi pousse qu'une connexion type MW (Cf. 7.4).
7.5.4.3 Paramtrages des rgles d'expertise

Llaboration des rgles dexpertise reprsente un point sensible qui est maitris par les
biologistes.
Il est recommand que les rgles :

Soient valides par un comit de paramtrage constitu de biologistes exerant dans
le LBM ;
Fassent l'objet d'enregistrements facilement disponibles et comprhensibles ; I
FO
Aient t approuves par tous les biologistes de l'tablissement par exemple au
cours d'habilitations en tant que signataires ;
I T
Ne soient modifiables que par un personnel autoris choisi parmi le comit de
paramtrage ;
F A
Aient t testes sur un nombre suffisant de demandes d'examens en rapport avec
l'tude de risque mene.
U E
I Q
Avant la mise en situation relle, il est souhaitable de prvoir une phase probatoire pour les
N
nouvelles rgles. Celle-ci consiste laisser agir le SAVB mais maintenir une expertise, par
les biologistes, des rsultats de chaque demande dexamens. Les biologistes auront t
volution substantielle d'une rgle. R O

correctement informs de cette activit de surveillance. Il en est de mme pour toute
C T
Par exemple, la suite de la modification de la rgle d'expertise de la cratinine, le LBM
L E
pourra procder une phase probatoire d'un mois au cours de laquelle tous les examens
contenant cette analyse seront retenus dans le menu des rsultats valider et assortis d'un
E
marquage signifiant "nouvelle rgle d'expertise en test pour la cratinine " du type flag,
N
zone colore, un message court, ... .
I O
7.5.4.4 Exploitation du systme
R S
La trace de lexpertise d'une demande d'examens biologique par le SAVB est parfaitement
visible, de prfrence au niveau du tableau de bord de validation, avec un niveau de dtail
E
permettant de voir le comportement du systme pour chaque analyse (flag, couleur, ...).
V
LA
7.5.4.5 Surveillance du systme
Le comportement du SAVB est priodiquement valu, par une combinaison de moyens.
Toute anomalie ou mme toute insuffisance fait l'objet d'une action corrective.
On pourra par exemple mettre en uvre :

Une srie de demandes-test. Le LBM peut entretenir un jeu de demandes d'examens,
dfinir, comportant de nombreuses analyses dont les rsultats ont t choisis pour
leur criticit et leur aptitude faire fonctionner les rgles en situation complexe. A
priode dfinie, trimestrielle ou semestrielle, ces examens sont reprsents afin d'tre
de nouveau expertiss par le SAVB. Les indicateurs dexpertise (flag, couleur, )
spcifiques chaque analyse sont examins et compars la situation attendue. Des
copies d'crans sont conserves comme traabilit de la vrification.

L'examen dtaill d'une srie de demandes d'examen. Le biologiste d'un site est
dsign pour examiner rtrospectivement toutes les demandes examens expertises
par le SAVB sur une priode donne (journe, demi-journe, ...) pour s'assurer de la
pertinence des expertises effectues par celui-ci. Cette valuation est faite
priodiquement : trimestrielle, semestrielle, Cela implique que le SIL trie dans une
entit ddie (menu, dossier, rpertoire, ...) et sur une priode donne, les demandes
dont au moins un rsultat dexamen aura t expertis par le SAVB.
L'exploitation priodique des alarmes. Tout SAVB est quip d'un systme de
dtection des conflits entre rgles dcisionnelles qui conduit :
o La non expertise du ou des rsultats concerns ;
o L'enregistrement d'une alarme dtaillant les sources du dysfonctionnement
dans une entit facilement accessible par le biologiste.
Le LBM peut mettre en place un examen priodique (hebdomadaire, mensuel, ) de I
FO
ces alarmes.
Le suivi statistique des non-conformits et des rclamations lies cette expertise
I T
assiste. Une sensibilisation au caractre systmatique de leur enregistrement est ici
tout particulirement indique auprs de tous les acteurs du LBM.
7.6 Organigramme informatique F A

U E
Le LBM met en place des dispositions visant organiser les responsabilits informatiques
Q
ainsi que les niveaux dhabilitation afin den assurer la matrise.
I
N
Sil il le juge ncessaire, le LBM nomme un responsable informatique et ventuellement un
R O
supplant. Ces nominations peuvent faire appel des personnes internes et/ou externes au
LBM en fonction des comptences et/ou de lintgration du LBM dans une structure
dfinies (Cf. annexe 2).

C T
possdant une direction des systmes dinformation. Les fonctions et responsabilits sont
L E
Les responsabilits informatiques pouvant tre primtre variable, il est ncessaire de
E
dfinir prcisment le rle de chacun sur diffrents points comme :
Gestion du catalogue des examens dans le SIL, paramtrage, mise jour ;
N
Gestion des connexions, paramtrage, maintenance, supervision ;
I O
Gestion des changes lectroniques, donnes didentits et de mouvements,
rsultats ;
R S
Identitovigilance ;
V E
Gestion de limpression et de la mise sous-pli des rsultats ;
Gestion du parc matriel ;
LA

En cas dexternalisation de responsabilits critiques concernant la scurit ou la disponibilit

du systme, lorganigramme prcise le contrat fournisseur qui couvre cette responsabilit.
Le contrat fournisseur contient explicitement cette responsabilit et les conditions qui sy
appliquent en particulier sur les aspects :
Scurit des postes clients (antivirus, accs, ) ;
Scurit du rseau (firewall, authentification rseau, VPN, ) ;
Redondance.

7.7 Matrise de la scurit informatique

(Rfrence : SH REF 02 5.3.11 Le LBM met en place des dispositions visant matriser
ses systmes informatiques (SIL, systme daide la validation, middleware, serveur de
rsultats, ) :
droits daccs (confidentialit, authentification, hirarchisation des accs, ),)
7.7.1 Sensibilisation des utilisateurs la scurit informatique

Une charte informatique est recommande.
(Cf. annexe 3)
7.7.2 Scurit du systme - Droits daccs (hirarchisation des accs, ) I

FO
Le SIL et la plupart des systmes informatiques disposent dun module LDAP de gestion
des droits daccs (Cf. 6). Si ce nest pas le cas, les procdures en tiennent compte. Les
I T
droits daccs sont dfinir sur le SIL et les systmes associs. Les intervenants sont
rfrencs et les modifications traces (Cf. 7.9). Il est vrifi que les droits dfinis sont en
adquation avec leurs comptences.
F A
Exemple de hirarchisation :
U E
Les intervenants : techniciens, secrtaires, biologistes, qualiticiens, ;
I Q
Les fonctions : rfrent technique, rfrent mtrologie, ;
Les niveaux dhabilitation : matres ou administrateurs, utilisateurs, ;
Les droits daccs : N
o Validation ;
R O
o Paramtrage examens ;
C T
o Accs aux modifications administratives ;
L E
o Accs aux fusions de dossiers ;
o Accs aux modifications de rsultats aprs validation biologique ;
o E
N
I O
7.7.3 Dlai de verrouillage aprs inactivit
R S
Afin de garantir limputabilit des actions aux utilisateurs, il est important de dfinir un dlai
de verrouillage ou dconnexion sur inactivit avec masquage des donnes affiches. Afin de
V E
protger les donnes, de garantir la scurit du systme et de sassurer de la traabilit des
actions, le LBM indique dans sa politique de scurit informatique les modalits de
verrouillage :
LA

Au moment de quitter son poste de travail ;
En fonction dun temps prdfini dinactivit ;
En cas de changement dutilisateur.
Certains LDAP (Cf. 6) permettent de dfinir de manire centralise ce dlai pour tous les
postes et tous les utilisateurs authentifis.

7.8 Procdures en cas de panne informatique : mode dgrad

Le LBM prvoit en cas de panne dun ou de plusieurs de ses serveurs critiques (Cf. 6.2.2)
une procdure en mode dgrad afin dassurer la continuit de service.
Elle intgre notamment les modalits :

De gestion des examens critiques et des demandes dexamens urgentes ;
De communication des rsultats ;

Le mode dgrad implique la mise en place dun plan de continuit adapt en fonction de
chaque incident (panne dune ou plusieurs connexions, panne MW, panne SIL, panne
I
FO
serveur de rsultats, ).
Ce plan intgre :
Lanalyse de risques ;
I T
La reprise dactivit ;
F A
Les modalits de reprise des donnes (administratives, rsultats, autres, ) ;
Les modalits de traabilit.
U E
I Q
Exemple de stratgie en mode dgrad (schma trois tapes) :
Etape 1 : Etiquettes pr-imprimes
N
de la structure.
R O
gnration de numros avec le nombre de caractres habituellement utilis au sein
C T
Etape 2 : Le SIL est en panne fonctionnement en mode dgrad ou aprs coupure du SIL
Principe dutilisation simple, chaque prlvement du dossier se verra affecter un
L E
numro partir des tiquettes pr-imprimes/panne prpares en avance ;
E
Ce numro est dfini au pralable (il nest en aucun cas susceptible dentrer en
conflit avec un numro habituellement attribu par le SIL) ;
N
Le LBM prvient sil le juge ncessaire les tiers ;
I O
Le LBM garde un listing papier de lanalyseur (impratif) et de la communication des
rsultats :
R S
o Rendu par les analyseurs ou MW ;
V E
o En respectant le plus possible les units habituellement utilises ;
o
LA
Etape 3 : Le systme redmarre rcupration des informations
Le LBM prvient les tiers si ncessaire de la reprise et met en uvre une stratgie :
o Denregistrement pour chaque demande dexamens avec les natures de
prlvement sy rattachant ;
o De changement de lheure (et ventuellement de la date) sur chaque
demande dexamens ;
o De rcupration des rsultats des automates et concentrateurs ;
o

7.9 Traabilit, Intgrit et Conservation des donnes

7.9.1 Traabilit des donnes
(Rfrence : SH REF 02 4.13 4.13 La dure de conservation des enregistrements, utiles pour
garantir la traabilit, doit tre conforme la rglementation en vigueur et satisfaire la fois
les besoins des patients, des prescripteurs et du LBM. Afin de permettre la ralisation
successive de 2 valuations Cofrac, elle ne peut tre infrieure 18 mois. )
La traabilit joue un rle important dans la surveillance et l'apprciation de la qualit du

processus analytique, ceci
eci afin d'tre en mesure d'agir de faon curative pour rectifier le plus
rapidement possible la conformit du processus.
process Le LBM met en place les dispositifs,
dispositifs ds
que cela est pertinent et critique, de traabilit et ceci tout au long du processus analytique
en incluant le systme de management de la qualit (SMQ).
I
(SMQ). La traabilit informatique est
un procd qui permet lobservation dune trace dune action ralise soit par :
Un des acteurs effecteurs (techniciens, secrtaires, biologistes, ) ;
Un des systmes (liaison identit, SAVB, MW, MW ). FO
I T
F A
Le LBM prend des dispositions concernant la traabilit des modifications de
paramtrage.
U E
7.9.2 Intgrit des donnes
I Q
(Rfrence : SH REF 02 5.3.11
5.3.11)
N
O
Les donnes et enregistrements quils soient dordres administratifs, biologiques, techniques
R
(CIQ, Maintenances, calibrations,
T
calibrations ) ou communicatifs, ncessitent pour le LBM
des dispositions permettant de matriser lintgrit de ses informations.
C
L de dfinir
L E
Exemples : E
Exploitation
N
xploitation des donnes analyseur sauvegardes
gardes (accs, lecture par logiciel
I O
automate (format exploitable ou lisible),
lisible) ) ;
R S
E
7.9.3 Archivage des donnes
V
Le LBM met en uvre une procdure darchivage
d dess donnes biologiques et des donnes
LA
du systme qualit. Lobjectif est de pouvoir relire les donnes au cours du temps sans
perte dinformation. La dure de conservation des donnes est conforme la rglementation
rglementa
en vigueur et ne peut tre infrieure 18 mois afin de garantir la traabilit entre deux
valuations successives Cofrac.
Cofrac
7.9.4 Archivage des demandes et des comptes rendus

La notion darchivage dsigne deux oprations distinctes dans le SIL :
Le traitement nt de clture dune demande dexamens dont la phase post-analytique
post est
termine et dont la facture est gnre.
gnre Il convient de verrouiller les possibilits de
modifier les rsultats et les prestations de cette demande, tout en la laissant
accessible en ligne,
gne, pour consultation, ainsi que pour la poursuite du processus de
facturation/recouvrement des prestations ;
Le e traitement darchivage du compte rendu dexamens dune demande, dans le
format dans lequel il a t diffus.
diffus

7.9.4.1 Archivage/dsarchivage des demandes dexamens en ligne

Lorsque le post-analytique et la facturation dune demande dexamens sont effectus, cette
demande peut tre bascule dans le statut archiv (appel aussi cltur ou
termin selon les SIL). Cest ce changement de statut que lon appelle larchivage en
ligne des demandes dexamen.
Une demande dans le statut archiv a les caractristiques suivantes :

La demande reste accessible en ligne dans lapplication avec lintgralit de ses
donnes, traabilit comprise ;
La demande est non modifiable (prestations, rsultats, interprtation, compte rendu,
).
Larchivage est rversible : le SIL offre une fonction de dsarchivage dune slection de
I
FO
demandes dexamens, qui consiste rebasculer ces demandes dans le statut en cours .
Une demande dsarchive peut nouveau tre modifie comme toute demande en cours,
avec les mmes conditions et rpercussions :
I T
F A
Toute modification dexamen, danalyse, de rsultat, ractive les phases analytique
(notamment lacceptation des rsultats modifis) et post-analytique (validation,
rediffusion du compte rendu correctif aux destinataires) ;
U E
Une modification dun des lments didentification du dossier patient (nom, prnom,
I
la phase analytique de cette demande a t r-ouverte.Q
sexe, date de naissance) est rpercute sur la chane analytique dans la mesure o
N
Une fois les oprations ayant ncessit le dsarchivage effectues, et le cas chant, aprs
bascule dans le statut archiv . R O

diffusion dun nouveau compte rendu correctif, la demande dexamen peut tre nouveau
C T
7.9.4.2 Archivage des compte rendus dans leur format de diffusion
L E
En parallle de larchivage en ligne des demandes dexamen, le compte rendu diffus sous
E
format papier ou lectronique est archiv sous son format de diffusion, et conserv dans un
fichier informatique. Il est un lment majeur de la preuve lgale du rendu de rsultat. Si le
N
fichier a fait lobjet dune signature lectronique, cest le fichier sign lectroniquement qui
I O
est archiv. Dans le cas dun rsultat dexamen qui a fait lobjet dun rendu partiel puis
complet ou dun dsarchivage puis rarchivage , tous les fichiers rsultats gnrs et
S
transmis sont conservs.
R
V E
Pour assurer la prennit de format, deux formats principaux sont privilgier :
PDF/A : la spcification PDF/A-1 a t publie par l'ISO et est utilise par les
LA
organismes de normalisation du monde entier pour garantir la scurit et la fiabilit
de la diffusion des changes de documents lectroniques. PDF/A-1 optimise
lindpendance matrielle et logicielle. Le contenu de la norme ISO 19005-1 est trs
complet. Il comprend la dfinition du format PDF/A-1, mais aussi la faon de
dvelopper un outil de visualisation de fichier conforme ce format. Cela garantit
ainsi la possibilit future de toujours disposer d'un outil de visualisation ;
Le format compte rendu structur de biologie tel que spcifi par le cadre
dinteroprabilit des SI de sant. Ce format sappuie sur le standard CDA. Ses
spcifications sont prennes et compatibles avec une indpendance matrielle et
logicielle.

7.9.5 Cas dun changement de SIL

Dans le cas dun changement de SIL (choix informatique ou rapprochement entre LBM), le
systme prcdent est conserv en ligne pendant 18 mois pour permettre la l vrification de
traabilit entre deux audits Cofrac.
Cofrac Aprs ce dlai, larchivage des comptes rendus dans
leur format de diffusion dans la mesure o les rsultats peuvent tre retrouvs dans un laps
de temps compatible avec les besoins des destinataires.
7.9.6 Cas spcifique du squenage

Les techniques de squenage ADN gnrent des donnes brutes trs volumineuses en
particulier dans le cas du squenage haut dbit. Lobjectif de la conservation des donnes
brutes est de pouvoir assurer la traabilit des donnes
donnes qui ont permis darriver la
conclusion. Si le systme se compose dun squenceur puis dun programme informatique
complmentaire danalyse des squences, les deux tant fournis et valids par un seul et
mme fournisseur, la conservation des donnes
donnes utilises dans les algorithmes de conclusion I
est suffisante.
FO
I T
Dans le cas o le LBM dveloppe et valide son propre programme de bioinformatique, il
conserve les donnes brutes du squenage.
F A
7.10 Sauvegarde des donnes
Il faut diffrencier sauvegarde des donnes
U E
donnes et archivage des donnes. La sauvegarde des
I Q
donnes est ralise pour viter toute perte de donnes dans le cas dun incident majeur
(crash systme, incendie, ) alors que larchivage est ralis pour figer les donnes
importantes ou valeur contractuelle
N
ractuelle dun systme dinformation. Les archives sont dailleurs
elles-mmes sauvegardes.
R O
7.10.1 Types de sauvegarde
C T
Il existe de nombreuses stratgies de sauvegardes de donnes dont les grands types sont :
L E
La sauvegarde totale qui fait une image de lensemble dun systme un instant
donn.. Cette sauvegarde considre aussi bien les fichiers relatifs la base de
E
donnes, les programmes du SIL, les traces et les archives ;
La N
a sauvegarde incrmentale (ou partielle) qui fait suite une sauvegarde totale et
enregistre
I O
gistre uniquement les donnes modifies depuis la dernire sauvegarde totale
R S
ou incrmentale. Ce type de sauvegarde est beaucoup plus rapide raliser mais
ncessite aussi un dlai plus important en cas de restauration (restauration dabord
La V E
de la sauvegarde de totale puis des toutes les sauvegardes incrmentales) ;
a sauvegarde en temps rel qui duplique chaque enregistrement sur deux dispositifs
LA
de stockage compltement dissocis (voir distants). La sauvegarde en temps rel
peut-tre
tre ralise par des logiciels
logiciels spcifiques ou directement par les dispositifs de
stockage eux mme ;
La a sauvegarde de la base de donnes seule. Cette sauvegarde est considre
comme une sauvegarde partielle. Une mise jour de la base de donnes pouvant
tre disponible pendant la sauvegarde,
sauvegarde, la sauvegarde peut tre corrompue si le SIL
nest pas prvu pour une sauvegarde systme ouvert.
ouvert
Le LBM dfinit en partenariat avec son fournisseur de SIL les sauvegardes
effectuer et sassure de leurs bons droulements.

Les systmes dits en cluster (un serveur principal et un serveur de secours) sur un
seul et mme site utilisent souvent un seul et mme dispositif de stockage qui
devient le maillon le moins redondant du systme, ce qui ncessite une surveillance
surv
accrue du LBM pour sassurer de son bon fonctionnement.
7.10.2 Supports de sauvegarde

Pour tre parfaitement scuris, les sauvegardes sont ralises sur deux supports diffrents,
lun des deux supports tant considr comme une sauvegarde hors feu qui permet de
raliser une restauration en cas de destruction du site o se situe le systme informatique,
lautre support permettant de faire une restauration dans un dlai plus court et ne ncessitant
pas de logistique particulire.
La sauvegarde hors feu contient lensemble des donnes patients. Elle est scurise
physiquement et logiquement. Le fichier de sauvegarde est de prfrence crypt et scuris
avec un mot de passe pour viter tout risque daccs aux donnes en cas de vol pendant le I
FO
dplacement.
ent. Le lieu de stockage est ferm cl est accessible un personnel habilit.
Donnons diffrents exemples de configuration de sauvegarde :

Le I T
e SIL est sur un seul serveur qui est sauvegard sur un disque externe. Cette mme
sauvegarde est aussi duplique
F A
duplique sur bande magntique (compression avec mot de
passe) et la bande externalise dans un local scuris sur un autre site ou un autre
btiment du mme site ;
Le U E
e SIL est un systme en haute disponibilit install sur des serveurs sur deux sites
I Q
physiques distants avec une rplication en temps rel entre les deux sites. Une
N
sauvegarde est ralise de manire priodique sur bande magntique. La rplication
feu et aucune autre externalisation

ext
O
en temps rel entre les deux sites est considre comme une sauvegarde hors
R
nest ncessaire.
Point de vigilance : C T
L E
La plus part des serveurs disposent de disques dits en RAID (rplication des
E
donnes sur plusieurs disques dans le mme dispositif de stockage). Ces disques
tant dans le mme dispositif de stockage, le RAID nest pas considr comme un
N
systme de sauvegarde mais simplement comme un systme permettant une
O
continuit de service cas de dysfonctionnement de lun des disques.
I
R S
7.10.3 Frquence des sauvegardes
V E
Aprs analyse des risques et des contraintes dinterruption
dinterruption et de restauration de service, le
LBM dfini dans son systme qualit la frquence des diffrentes sauvegarde et la
frquence dexternalisation des sauvegardes hors feu .
LASauvegarde et hbergement de donnes de sant

7.10.4
Lagrment hbergeur de donnes
donnes de sant implique le respect des rgles nonces ci- ci
dessus. Le LBM hbergeant son SIL chez un hbergeur agre dispose de fait dun dispositif
de sauvegarde garantissant lintgrit et la scurisation de ses donnes et de ses
sauvegardes.

8 VALIDATION ET VERIFICATION DES SYSTEMES

INFORMATIQUES
8.1 Donnes fournisseurs (marquage CE DM DIV)
A rception dun systme informatique, le LBM sassure de la conformit des pr-requis
exprims au niveau de son cahier des charges ou de son appel doffres. Le fournisseur
remet au LBM les lments attestant du bon fonctionnement du systme informatique.
Certains logiciels disposent dun marquage CE DM DIV. Il sagit de logiciels isols (non
intgrs dans un dispositif mdical) ayant une fonction de gnration dinformation nouvelle
finalit mdicale (systmes experts). La notion de risque nest pas un critre de
qualification. Le LBM adapte le niveau de vrification en fonction de ses exigences et du
rfrentiel applicable. I
FO
NB : Quel que soit le logiciel, en cas dincident consistant en une dfaillance ou une
I T
altration des caractristiques ou des performances de ces systmes, ou une inadquation
de la notice dutilisation, susceptibles dentraner des effets nfastes pour la sant des
F A
personnes, le LBM procde un signalement lANSM. A cet effet, le LBM intgre dans sa
procdure de vigilance un dispositif afin de rpondre cette obligation rglementaire.
U E
Les modalits de signalement sont disponibles sur le site de lANSM.
I
8.2 Vrification du paramtrage (examens, textes cods,Q
connexions, rgles) N
Le paramtrage comprend trois phases :
R O
Phase de cration ;
C T
o Expression du ou des besoin(s), par exemple laide dun enregistrement (Cf.
annexe 4 Exemple 1) ;
L E
o Conservation ou non des antriorits en cas de changement de mthode
o E
dun examen existant ;
N
I O
NB : si le dossier de vrification/validation de mthode autorise la conservation de lexamen
S
et des antriorits (rsultats comparables entre lancienne et la nouvelle mthode), le LBM
sassure que les demandes dexamens cres antrieurement la mise en service de la
R
nouvelle mthode contiennent bien, en cas de rdition du compte rendu, toutes les
). V E
donnes initiales (nom de la mthode, identification de lanalyseur, intervalle de rfrence,
LA
Phase de vrification avant mise en service :
Le LBM ralise un jeu dessai de patients tests afin de garantir la fonctionnalit du
paramtrage et couvrir la majorit des scnarii (syntaxe, erreur automate, ). Toutes les
tapes de la saisie des demandes jusqu limpression ou la transmission des rsultats
doivent faire lobjet de vrifications. Les preuves de vrification sont apportes par la
ralisation de dossiers patient-test , chaque cration dexamen, de connexion, de rgle
et de tout texte cod jug critique par le LBM (par exemple les textes cods utiliss dans la
saisie dun groupe sanguin).
Phase de production :
Au cours de lexistence dun examen, le LBM peut tre confront un scnario non test
ayant ou non une consquence sur le rendu des rsultats. Un correctif du paramtrage est

effectu et trac sur lexamen. Une analyse de ltendue de ce scnario est ralise par le
LBM.
Notion de jeux dessai de patients tests :

La vrification des fonctionnalits du systme, des transferts de donnes, ou de lintgrit
des donnes dans le temps est gnralement effectue laide de patients tests . Ce
sont des dossiers patients fictifs cres la demande en fonction des items que le LBM
souhaite vrifier, ou des dossiers patients rels qui contiennent les donnes ou les examens
dont le LBM souhaite se servir pour vrifier le bon fonctionnement du processus test.
Ces patients tests permettent de vrifier de point point le bon fonctionnement du

systme. Par exemple, lorsque lon souhaite vrifier le bon transfert des donnes entre
lautomate et le SIL via le MW, la correspondance entre les donnes brutes issues de
I
lautomate et les rsultats prsents sur le compte rendu permet de valider (ou dinvalider) le
FO
bon transfert des donnes, la bonne gestion des arrondis, des calculs secondaires, des
commentaires et texte cods automatiss, ou encore le bon fonctionnement des rgles
dexpertise du MW,
I T
de :
F A
Le LBM sattache choisir des dossiers test en fonction du processus vrifier en termes
Contenu des dossiers (type dexamens, sexe, tranches dge, ) ;

E
Nombre de dossiers (suffisant pour tester toutes les conditions ) ;
U

I Q
N
Il peut tre utile, notamment en cas de mauvais fonctionnement de vrifier les fichiers de
R O
transferts utiliss aux diffrentes interfaces, mais cela ncessite un minimum de
comptences en informatique pour leur exploitation.
C T
Dans le cas des automates pri-analytiques, les patients tests peuvent galement tre
L E
accompagns dchantillons primaires afin de vrifier lensemble du processus
daliquotage/srothquage. Une ralisation effective des analyses peut galement tre
E
ralise afin de vrifier le processus dans son intgralit.
N
Enfin, dans de nombreux cas la vrification du transfert de donnes peut se faire au fil de
I O
leau laide des donnes relles produites par la gestion quotidienne des examens. Par
R S
exemple en hmatocytologie, lorsque le rsultat de lautomate induit une vrification sur
lame, loprateur peut en saisissant les rsultats de son contrle de formule vrifier en mme
V E
temps le bon transfert des donnes de la numration et tracer cette vrification directement
sur le ticket automate utilis.
LA
Dans la suite de ce guide, la notion de patients tests correspond minima une vrification
de type point point .
8.2.1 Examens
Le paramtrage dun examen est une opration critique quil convient de vrifier et de valider
avant mise en service en se concentrant minima sur les points suivants :
Facteur de conversion (units internationales / units conventionnelles) ;
Pertinence du nombre de chiffres significatifs dans les rgles darrondissages. Il
ressort que le nombre de chiffres significatifs peut tre diffrent selon que lon
exprime les units en SI ou en units conventionnelles ;
Exemple de la cratininmie : ne pas rendre de dcimales pour les rsultats exprims
en micromoles/l ; en revanche, il convient dexprimer avec une dcimale les rsultats
en units conventionnelles (mg/l) ;

Intervalles de rfrence : tre particulirement attentif dans la dfinition des tranches

dges utilises (jours, mois, annes) ;
Calculs intra ou inter analyses ;
Choix du format dtiquette code barres;
Vrification de la connexion (Cf. 8.2.3).
La modification dun paramtrage dexamen est trace avec une gestion de version et une
possibilit de retour arrire.
(Cf. annexe 4 Exemple 2)
8.2.2 Textes ou commentaires cods

Les textes cods sont galement vrifis avant utilisation en sassurant de la concordance
du code choisi avec le texte imprim sur le compte rendu. I
FO
Les textes jugs non critiques peuvent tre contrls par simple chantillonnage.
(Cf. annexe 4 Exemple 3)
8.2.3 Vrification des connexions I T

F A
Avant mise en service, le LBM vrifie les connexions analyseur <> SIL et/ou analyseur <->
MW <-> SIL. A noter que la vrification se fait pour les connexions vers des systmes hors
E
du primtre du marquage CE DM DIV de lautomate ou du systme informatique.
U
I Q
L encore, la ralisation de patients tests est souhaitable. Les preuves de vrifications
peuvent tre apportes par des copies dcrans des diffrentes interfaces, ou la
N
confrontation des donnes dentres (par exemple rsultats de lanalyseur) et de sortie (par
exemple compte-rendu dexamen).
R O
C T
La vrification de chacune des connexions est galement faire dans le cas dun MW
partag avec plusieurs SIL. Mme si la vrification peut tre ralise de point point , il
(Cf. annexe 5) L E
est important de vrifier toutes les connexions.
E
N
8.2.4 Vrification des rgles de gestion des examens
I O
Avant mise en service, le LBM vrifie la fonctionnalit des rgles. Le LBM effectue des tests
de cohrence afin de garantir lefficience des rgles mises en uvre.
R S
Dans ce cas, lanalyse du processus considr est dterminante pour le choix du type et du
nombre de patients tests effectuer.
E
(Cf. annexe 6)
V
LA
8.2.5 Vrification des alarmes transmises par les analyseurs
Il est important de vrifier dans le paramtrage de la connexion les modalits de
transmission et de gestion des codes dalarmes transmis par les analyseurs et de sassurer
que les ventuelles rgles associes sappliquent correctement.
Comme pour les rgles dexpertise du MW, lanalyse du processus considr est
dterminante pour le choix du type et du nombre de patients tests effectuer.
(Cf. annexe 7)

8.2.6 Format de rendu du rsultat
8.2.6.1 Chiffres significatifs

Le nombre de chiffres significatifs dun rsultat dpend de la valeur de son incertitude.
Les rgles suivantes peuvent tre appliques :
Arrondir l'incertitude largie deux chiffres significatifs en majorant ;
Arrondir le rsultat avec le mme nombre de dcimales que l'incertitude.
Exemple
Mesure brute : 5,6789
Incertitude associe 0,6243
Rsultat 5,68 (+/- 0,63)
I
8.2.6.2 Rgles darrondissage FO
Le biologiste veille lhomognit du prcd employ : I T
Troncature simple (dconseille) ;
Arrondi arithmtique (le plus courant en France) ; F A
E
Arrondi au chiffre pair (employ dans certains pays et dans la finance).
U
I
8.3 Vrification initiale (ou intgration fonctionnelle)Q
N
R O
Le LBM vrifie laide de patients tests la chaine dinformation afin :
De sassurer de la transmission sans perte et/ou modification inapproprie des
donnes dun systme lautre ;
C T
De valider les diffrents scnarii auxquels le LBM est confront :
E
o Vrification de cas courants (en tenant compte des limites de dtection des
L
E
techniques, vrifier la syntaxe >, <, ) ;
o Vrification de cas extrmes, des alarmes analyseurs, ;
N
o Vrification de cas ayant dj pos problme(s) par le pass.
I O
R S
La vrification de transmission des donnes peut tre effectue par le biais de
comparaisons de copies dcran ralises sur diffrents postes et diffrentes tapes du
V E
processus (Cf. annexe 8), ou par comparaison de type point point (Cf. 8.2).
Preuves documentaires possibles :
Le LBM met en place une recette dintgration visant valider, dun point de vue
LA
fonctionnel, que la nouvelle interface et/ou interoprabilit dveloppe par le
prestataire est bien conforme aux besoins fonctionnels rglementaires et/ou
exprims ;
Le LBM trace les intgrations des interfaces et/ou interoprabilit des diffrents
systmes informatiques utiliss (SIL, MW, Systme expert, ) et conserve les
preuves (copies dcran, ).
Exemple de recette dintgration fonctionnelle:

La livraison par un prestataire dune nouvelle version de la liaison mdecin de ville/LBM ,
afin de grer les correspondants (autres mdecins, unit de soins, ), peut seffectuer ainsi :
Dfinition de correspondants dans le SIL ;
Validation dun rsultat pour le prescripteur et les correspondants ;
Vrification de la gnration des fichiers pour lensemble des destinataires ;
Vrification du format de fichier (entte, corps de fichiers, pied de page) ;

Vrification
rification de la cohrence des fichiers avec les donnes de biologie prsentes
dans le SIL ;
Vrification des zones communes et diffrentes dans les fichiers gnrs, toutes les
donnes devant tre identiques sauf au niveau des donnes prescripteurs savoir
savoi le
nom de fichier et lentte ;
L
encore une vrification de type point point entre les donnes valides
val issues
du SIL (compte rendu) et les donnes visualises ou imprimes partir du logiciel
mdecin permet de valider le bon fonctionnement de la connexion.
8.4 Vrification aprs changement de version (ou non

rgression fonctionnelle)
fonctionnelle
Une analyse de risques est ralise afin dvaluer limpact du changement de version I
FO
(vrification des changes de donnes, formation des utilisateurs, mise jour des
procdures, ). Celle-ci ci est fonde sur la consultation du rapport dintervention que
transmet le fournisseur de lanalyseur ou informatique au LBM. La mise en place dun
I T
environnement de qualification (base de tests) scurise la validation dune nouvelle version
de logiciel avant sa mise en production.
F A
Le LBM assure la traabilit
U E
traabilit des modifications effectues et des rapports
I Q
dintervention et prend des dispositions permettant dinformer le responsable des
systmes dinformation lors de toute modification de logiciel, en particulier lors
dintervention extrieure. N
R O
Tout changement de version dun logiciel embarqu sur un analyseur ou dun SIL est valu
T
en fonction de lanalyse de risques ds son installation et fait lobjet de ralisation de patients
C
tests.. De mme le changement du protocole de connexion dun analyseur analys ncessite une
vrification des interoprabilits.
L E
E
La lecture du rapport dintervention permet didentifier les patients tests raliser (Cf.
annexe 9) : tests de connexion, transmissions dmatrialises de comptes-rendus,
comptes Pour
les analyseurs ralisant
N
ant une expertise, comme par exemple les systmes experts
I O
dinterprtation des antibiogrammes, le LBM teste quelques rgles dexpertise par
chantillonnage (saisie manuelle ou reprise de phnotypes caractriss pour vrification des
R S
rgles dexpertise par rapport aux rfrentiels choisis par le LBM).
Le LBM trace les changements de versions des diffrents systmes informatiques utiliss
V E
(SIL, MW, Systme expert, ) (Cf. 8.7).
Exemple de non rgression Vrification de la Liaison LBM/prescripteur suite lajout de la
LA
fonctionnalit LBM/correspondant :
La nouvelle fonctionnalit LBM/correspondant est teste en intgration fonctionnelle ;
Le LBM vrifie la non rgression fonctionnelle concernant la connexion dj existante
LBM/prescripteur :
o Vrification de la gnration des fichiers scuriss par le SIL ;
o Vrification
rification de lenvoi effectif du message scuris au(x) bon(s)
destinataire(s).
(Cf. annexe 10)
Aprs une analyse de risque en cas de rgression le LBM peut envisager un retour
la version antrieure ( dfinir dans les pr-requis).
pr

8.5 Vrification continue (dont signalement vigilance)

8.5.1 Vrification du paramtrage
Le LBM sassure au cours du temps de la stabilit du paramtrage utile au transfert de
donnes. Le LBM dfinit une priodicit de vrification continue. Le LBM met en place des
patients tests connus dans une srie afin de contrler la cohrence des rsultats
rsulta dexamens.
La vrification comprend lensemble du processus (vrification des connexions de
prescription, des automates pri-analytiques
pri analytiques (centrifugation, aliquotage et srothquage,
srothquage ).
(Cf. annexe 11)
8.5.2 Vrification du paramtrage des rgles

Le LBM sassure au cours du temps de la stabilit des rgles par des patients tests.
I
FO
Le LBM porte une attention particulire quant la vrification des rgles en
cascade.
I T
Exemple de rgle en cascade :
Cas du taux de prothrombine infrieur 10% : F A
U E
Si TP gal 8%, rgle 1 : vrifier labsence de caillot dans le tube ;
Si absence de caillot : rgle 2 : relancer la demande dexamen lautomate ;
I Q
Si valeur confirme : rgle 3 : rendre sur le compte rendu <10%, rsultat vrifi ;
Pour
N
our linterprtation par rapport lhmatocrite, rgle 4 : si numration dans le
R O
dossier, si hmatocrite < 30% rendre un commentaire sous le rsultat TP : Compte
tenu de la valeur de lhmatocrite < 30%, les rsultats de lINR et du TCA sont
probablement sous-estims
estims .
C T
E
8.5.3 Vrification des sauvegardes et de larchivage
L
Archivage lectronique : le
darchivage dfinie. E
e LBM reproduit le rapport fidlement durant toute
tou la dure
N
Le
I O
e LBM sassure de lintgrit des donnes au cours du temps et vrifie laide de
d
R S
dossiers patients la possibilit de consulter les archives.
archives
Les sauvegardes sont vrifies de manire rgulires par le LBM et des exercices de
V E
restauration de donnes sont raliss a minima une fois par an. Ces exercices de
restauration peuvent se faire
e sous la forme :
LA
De e restauration des sauvegardes compltes sur un serveur de test ;
De e restauration des sauvegardes sur un serveur lou pour une courte dure chez un
hbergeur (cryptage des donnes et scurisation par mot de passe avant transfert
suppression
ssion des donnes aprs test).
La restauration des sauvegardes directement sur lenvironnement de production est
dconseille. Si la sauvegarde nest pas intgre, le LBM aura perdu ses donnes.
8.5.4 Transmissions des rsultats des examens spcialiss

Dans le cas d'intgration dans le SIL des rsultats d'examens transmis par les LBM
spcialiss, le LBM s'assure de la bonne communication des rsultats aux prescripteurs
et/ou patients.

8.5.5 Suivi des droits

Le LBM dfini les droits de chaque oprateur et hirarchise les droits selon les mtiers, les
habilitations et comptences des oprateurs. Le suivi priodique est dfinir en fonction de
lvolution du parc informatique et mouvement du personnel. Une vrification priodique (au
moins une fois par an) des droits sur les systmes informatiques est recommande.
Exemple de droits sur le SIL ou MW ou interfaces informatiques :

Matre ou administrateur,
Utilisateur en prcisant les sous niveaux en fonction des responsabilits dfinies :
o Secrtaire ;
o Technicien ;
o Biologiste ;
o ...
I
8.5.6 Cas des logiciels de bureautique FO
I T
Les logiciels de bureautique ne sont pas valider, mais leurs applications particulires (par
exemple les feuilles de calcul de tableur) demandent une vrification et une protection
approprie.
F A
U E
I Q
N
R O
C T
L E
E
N
I O
R S
V E
LA

9 ANNEXES
9.1 Annexe 1 : exemple de convention de preuve
Mr Le Dr xxxxxx
22 rue du Pont I
FO
TRANSMISSION ELECTRONIQUE DE RESULTATS D'EXAMEN
CONVENTION DE PREUVE I T
F A
La transmission dmatrialise de rsultats est soumise des exigences imposes par l'Etat aux
laboratoires de biologie mdicale (norme ISO 15189, dcret n 2007-960 du 15.05.07).
Ces exigences peuvent se rsumer ainsi :
U E
Authentifier l'metteur des comptes rendus et le destinataire (notion de non-rpudiation)
I Q
Tester l'exactitude des identifiants qui permettent la transmission lectronique ; par exemple :
n de fax, adresse de messagerie, code de cryptage s, )
N
Vrifier l'intgrit des donnes figurant dans les comptes rendus tltransmis
O
Prserver la confidentialit de ces informations sur le lieu de rception
R
les destinataires de nos comptes rendus.
C T
Nous sommes ainsi tenus de mettre en place un contrat encore appel convention de preuve avec
L E
Dans ce but, nous vous demandons de bien vouloir comparer le compte rendu test ci-joint au
E
document qui vous a t transmis lectroniquement et de nous retourner la prsente
convention l'adresse ci-dessous:
N
I O LBM xxx
R S 2, rue xxxx
75 000 PARIS
V E Fax : 01 xx xx xx xx
LA
Je soussign, ______________________________
Atteste de la bonne rception du compte rendu test

Ceci en situation de confidentialit (matriel de rception l'cart du public, droit d'accs rserv au
personnel autoris)
Atteste de la totale similitude des informations entre la version papier et la version
lectronique
Protocole de transmission: Messagerie scurise Fax Modem-Modem
Fait Le
Cachet et Signature

9.2 Annexe 2 : exemple de fiche de fonction de responsable

informatique du LBM
Fiche de fonction de responsable informatique
Mission principale :
Sous l'autorit des biologistes du LBM (et en lien avec l'quipe DSI de ltablissement de
sant), le rfrent informatique est responsable du bon fonctionnement des SIL. Il assure, au
sein de lquipe et en relation avec les biologistes, une mission d'interface, d'assistance
pdagogique et de maintenance. Il participe au choix et au dveloppement d'outils
informatiques.
Activits :
I
FO
Assistance et formation des utilisateurs des SIL :
identifier et analyser les problmes rencontrs dans lutilisation des SIL,
procder l'assistance des utilisateurs en lien avec la DSI,
I T
former, de manire individuelle ou collective, aux logiciels utiliss, aux
valuer les actions de formation,

F A
nouvelles fonctionnalits et aux nouveaux logiciels et applications,
concevoir des supports pdagogiques.

Assurer le paramtrage des SIL
U
identifier et analyser les besoins des utilisateurs
E
mettre jour le paramtrage
I Q
N
Grer les demandes de requtes et d'tudes ponctuelles
O
cibler et reformuler les demandes de requtes issues des services et
directions ou des partenaires externes (tablissements de sant, ),
R
T
traiter, mettre en forme et diffuser les rsultats de la requte
raliser et mettre en forme les statistiques, les graphiques et les tableaux de
C
bord partir des donnes extraites des SIL,
L E
Assurer une maintenance de proximit des logiciels
cibler et analyser les dysfonctionnements
E
assurer la sauvegarde du serveur et le bon fonctionnement du matriel
N
informatique en lien avec la DSI,
I O
assurer le suivi et la coordination de l'quipement des utilisateurs
(planification et information)
R S
Participer au choix des nouveaux produits, au dveloppement de projets et
d'outils informatiques favorisant la modernisation du service rendu (systme
V E
de contrle deffectivit, dmatrialisation des donnes)
recenser et analyser les nouveaux besoins des utilisateurs,
LA
identifier des axes d'amlioration des logiciels et du matriel informatique,
participer l'tude prospective relative au choix des nouveaux produits et au
dveloppement des outils informatiques du LBM,
participer des runions et des groupes de travail,
participer l'laboration de cahiers des charges,
participer au choix et la mise en place de nouveaux logiciels et du matriel
informatique,
accompagner la mise en place des nouveaux outils (procder des tests et
raliser des guides d'utilisation)
Comptences requises :
Connaissances :
connaissance du domaine LBM,
connaissance des activits des utilisateurs,
bonne connaissance de l'outil et de l'environnement informatique (logiciels)

Aptitudes professionnelles :
aptitude au suivi et au contrle
capacit d'anticipation et de prvision
aptitude au travail par projet
force de proposition
aptitude la pdagogie
aptitude l'apprentissage
Comportements professionnels motivations :
excellent relationnel
disponibilit
coute
rigueur et mthode
sens du travail en quipe
ractivit
I
FO
autonomie
motivation pour la nouveaut technologique
9.3 Annexe 3 : Exemple de charte informatique I T

Charte produite dans le cadre des travaux de la SFIL F A
U E
Maquette de charte dutilisation du systme
I Q
dinformation dans un LBM N
R O
Pour la rdaction du prsent document, nous nous sommes bass sur les objectifs de
rgles de scurit des donnes : C T

scurit permettant le bon fonctionnement dun systme dinformation ainsi que sur les
intgrit ;
confidentialit ; L E
disponibilit ; E
non rpudiation ;
N
authentification ;
I O
continuit du service
R S
et sur les textes lgaux en vigueur.
V E
Dans cette maquette, nous prsentons les recommandations destines aux utilisateurs dans
deux chapitres scurit des accs au systme et utilisation du systme .
LA
Chaque entit juridique et/ou biologiste responsable pourra sinspirer des items dcrits dans
ces chapitres, les complter ou les modifier en fonction de son organisation et des outils
informatiques mis disposition du personnel afin dlaborer sa propre charte dutilisation
intgre son systme qualit.
Ces recommandations peuvent tre intgres au contrat tabli entre biologiste responsable
et le service informatique des tablissements de sant.
INTRODUCTION
Nous conseillons de faire un rappel des textes lgaux auxquels sont soumis les
personnels des laboratoires de biologie mdicale, parmi lesquels :
La loi n78-17 relative l'informatique, aux fich iers et aux liberts du 6 janvier 1978
(plus connue sous le nom de loi informatique et liberts de 1978) ;

Larticle 1383 du Code Civil ;

La loi 2004-801 du 6 aot 2004 du Code Pnal.
Rappel : Ces textes doivent tre dj rfrencs dans le rglement intrieur du

laboratoire ainsi que dans les contrats de travail.
Droit et devoir de ladministrateur systme

Il peut tre utile galement de rappeler que ladministrateur du systme dinformation
a une obligation de confidentialit vis--vis des donnes personnelles des utilisateurs
et quil ne peut y accder que si elles menacent lintgrit du systme.
1) Scurit des accs au systme

Utilisation de login et mots de passe personnels et confidentiels ;
Respect des recommandations de la CNIL (mots de passe et login de 6 caractres minimum,
I
FO
mots de passe diffrents du nom, du prnom, de la date de naissance et de certains termes
( motdepasse , ssame , ), mots de passe comprenant au moins une lettre, un chiffre
et un caractre spcial, modification tous les 90 jours, non rutilisation des 3 derniers mots
de passe, ) ;
I T
au mot de passe) ;
F A
Droits daccs limits aux besoins des diffrents types dutilisateurs (profils utilisateurs lis
Authentification forte (utilisation de la CPS, autres systmes, ) ;

Lien avec lannuaire du personnel ;
Mise en place de dconnexion automatique sur les postes clients ; U E
I Q
Obligation de se dconnecter du systme en quittant son poste. En cas domission
N
lutilisateur suivant est dconnect de la session prcdente.
2) Utilisation du systme
R O
T
a) Utilisation courante des ressources informatiques
Interdiction dutiliser les ressources informatiques en dehors du cadre professionnel ;
C
Utilisation exceptionnelle des fins personnelles rgie par le rglement intrieur, de
L
mme que les utilisations abusives. E
b) Usurpation didentit E
N
Interdiction de masquer son identit ou dusurper lidentit de toute autre personne ;
O
Obligation de signaler les tentatives daccs anormales ou les anomalies constates.
I
R S
c) Donnes dautrui et confidentialit
Interdiction de lire, copier, modifier ou dtruire des donnes de tiers, sauf autorisation
V E
du ou des dtenteurs ;
Interdiction dintercepter des communications.
LA
d) Respect du droit des personnes et de lordre public
Interdiction de porter atteinte la vie prive dautrui par tout procd ;
Utilisation ou diffusion de limage (photos, enregistrement vido ou audio)
uniquement avec le consentement crit de la personne ou du responsable lgal pour un
mineur ;
Les donnes personnelles, quand elles existent, doivent tre clairement identifies
comme telles.
e) Droits de reproduction et respect du droit de la proprit intellectuelle

Respect des termes et conditions de la licence dutilisations des logiciels ;
Interdiction de reproduire des logiciels commerciaux sauf pour copie de sauvegarde ;
Respect des droits de proprit intellectuelle sur les uvres protges.

f) Utilisation dquipements trangers au laboratoire

Interdiction dutiliser du matriel tranger au laboratoire (ordinateur personnel, )
sans lautorisation du responsable informatique ;
Interdiction dutiliser des supports externes de donnes (disquettes, disques durs
externes, cd, dvd, cls USB, baladeurs mp3, tlphones portables, ) sans lautorisation
du responsable informatique.
g) Utilisation de la messagerie
Interdiction douvrir la pice jointe dun e-mail de provenance incertaine ;
Interdiction de cliquer sur un lien reu par messagerie provenant de personnes ou de
sites inconnus ;
Obligation de suivre les recommandations de la CNIL (fiche pratique "donnes de
sant, email et fax", ...) en particulier lutilisation de la messagerie scurise ;
Les e-mails personnels doivent tre clairement identifis comme tels.
I
h) Tlchargement et installation de logiciels
FO
Le laboratoire est quip dantivirus, de pare-feu et de filtres bloquant certains sites et mots
cls.
I T
lvitement :
F A
Toutefois, le systme de protection nest pas invincible et la scurit la plus sre est
responsable informatique ;
U E
Interdiction de tlcharger des logiciels ou des fichiers sans lautorisation du
Interdiction dutiliser des forums ou mailing-list sortant du cadre professionnel ;

I Q
Interdiction de se connecter sur des sites abordant des sujets sensibles, par
exemple :
N
- rencontres en ligne ;
R O
- duplication illgale de musique ou vido (ex. mp3, divx) ;
- pornographie, pdophilie ;
T
- extrmismes politiques et religieux ;
- terrorisme, racisme ; C
L E
- drogues, substances illicites ;
- piratage informatique, jeux en ligne ;
- E
N
i) Antivirus
I O
Interdiction de dsactiver et/ou de dsinstaller les logiciels antivirus ;
S
Interdiction de modifier le paramtrage du logiciel antivirus.
R
V E
j) Sauvegardes
La sauvegarde des fichiers personnels (lorsquils sont autoriss) est sous la
LA
responsabilit de lutilisateur ;
La sauvegarde des donnes situes sur le serveur est sous la responsabilit du
responsable informatique ;
Les autres sauvegardes (automates, poste de travail, ) doivent tre excutes par
des utilisateurs dsigns. Ces utilisateurs devront sassurer de lintgrit des donnes
sauvegardes et de leur conservation.

Engagement de lutilisateur
Je soussign(e) :

Demeurant :

Exerant la fonction de :

Dclare avoir pris connaissance et approuver les dispositions de la prsente charte

nonces sur les pages prcdentes et mengage les respecter. Dans le cas contraire, je
ne pourrais pas mopposer lapplication des sanctions prvues au rglement intrieur du
I
FO
laboratoire.
Fait : ,
I T
A
En deux exemplaires dont un est remis lutilisateur et lautre conserv par le laboratoire.
F
Signature de lutilisateur : E
Signature du responsable du laboratoire :
U
I Q
9.4 Annexe 4 : exemples de formulaires de paramtrage
N
Exemple n 1 : Expression du besoin
R O
Partie rserve au demandeur
T
EC
Expression du besoin : Date :
EL
N
I O
S
Biologiste demandeur ou autre avec fonction :
R
V E
Nom de lexamen ou du bilan :
LA
Sous-Domaine (ex Hmatocytologie) / Famille (ex : Hmostase / COAGBM) :
Code(s) nomenclature(s) :
Commentaire(s) sur lexamen ou bilan :

Exemple n 2 : Liste de contrle de paramtrage de la fiche examen

Liste de contrle : modification dexamen . . . . . . . . . . . . . Traces
1 / Logiciel SIL Visa Date
Fiche(s) du dictionnaire N _ _ _ _ _ _ _ _
Tarification nombre de B + code de nomenclature
Non cumuls, plafonds, profils, 100%
Code de prlvement et tarifs
Format dexpression du rsultat (nombre de dcimales)
Units principale et secondaire
Conversion unit SI / units conventionnelles
I
FO
Valeurs de rfrences + Bornes de contrle biologiste
Fiche de calcul N _ _ _ _ _ _ _ _
Code analyse reflexe : _ _ _ _ _ _ _ _
I T
Fichier des rponses
Rgle(s) d'expertise
N _ _ _ _ _ _ _ _
N _ _ _ _ _ _ _ _ FA
Mention de la technique employe
Inscription dans le cahier de paillasse N _ _ _ _ _ _ _ U E
I
Documents secondaires (feuille de travail, liste de transmission, bordereau deQ
N
transmission) _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Inscription sur une tiquette de prlvement PRIMAIRE
R O N _ _ _ _ _ _ _ _
C
Inscription dans une connexion automate ou liaison extrieureT
Inscription sur une tiquette de prlvement SECONDAIRE N _ _ _ _ _ _ _
Impact sur le paramtrage dun graphique

L E
Impact sur un code dappel (profil et bilan)
Impact sur les tats statistiques E N _ _ _ _ _ _ _ _ _
N _ _ _ _ _ _ _ _ _
N
I O
Mention dalerte ou flag : _ _ _ _ _ _ _ _ _ _
2 / Logiciel expert daide la validation : Vrification d'impact
R S
3 / Logiciel Manuel de prlvement : Vrification d'impact
V E
4 / Logiciel(s) de diffusion de rsultats : Vrification d'impact
5 / Logiciel MW : Vrification d'impact
LA
6 / Logiciel(s) SIH : Vrification d'impact
7 / Dossier(s) test (un ou plusieurs selon analyse de risque)
Vrification rapport danalyse, Feuille de soins,

Vrification tiquette de prlvement primaire / secondaire
Vrification feuille de travail et autres documents secondaires
Vrification connexion(s)
8 / VALIDATION DU PARAMETRAGE
J'atteste avoir ralis une analyse de risque, une revue du paramtrage et une Date
vrification du dossier(s) test. Bon pour mise en exploitation.
Nom et signature du Biologiste Responsable

Exemple n 3 : Liste de contrle pour la cration dun examen ou dun texte ou

commentaire cod
Question Qui Rponse Validation / traabilit
Demande BIO Cration Modification
Conservation de lantriorit des si OUI Cration dun

BIO Oui Non
rsultats dictionnaire
Modification majeure des

Si OUI Cration dun
matrices des comptes rendus SI Oui Non
dictionnaire
(CR) (traabilit dvolution)
I
Besoin de transmission BIO Oui Non
FO
Evolution dun Examen/ I T
Duplication / Attention aux
Elment/ CR simple
SI Oui Non
A
bilans qui devront tre
F
modifis
Cration dun dictionnaire SI
U E Attention : la tarification nest

pas historise
Demande
I Q
Site demandeur BIO N
R O
Biologiste demandeur BIO
C T
Analyse transmise un labo
extrieur
BIO
L E Oui Non
Cette analyse est effectue sur SI E

Site :
Site 2 :
Oui
Oui
Non
Non
Avertir les responsables des
quel site BIO
N
Site N : Oui Non
sites concerns
Chapitre / Sous Chapitre I O Chapitre :

concern dans le SIL
R S BIO
Sous chapitre :
V E Identification
LA
Code dappel de lexamen SI
Code interne de lexamen SI
Nom de lanalyse pour libell

BIO
long dans le SIL
Vrification si distinction de
technique par site : Code SI
dappel de production
Ce code est communiqu au

client +
Code communication par dfaut SI
SUPPRESSION de lancien
code

Rangement
Ranger lanalyse dans le SI/

chapitre (ordre dimpression des BIO
examens sur le CR)
Contrle daccueil
Geste de prlvement Sang Bactrio

BIO
particulier Autre : ..
Nombre de sances BIO (par dfaut : 1)
Excution
I
Labo excutant (si transmis) BIO
FO
Contexte de ralisation BIO Local Autre : . I T
Dlai de ralisation BIO ..... jours F A
Jours de ralisation BIO Lu Ma Me Je Ve Sa Di U E
I Q
Facturation
N
Facturation immdiate BIO Oui
R O Non
T
EC
Cotation extrieure
SI Oui Non
(si transmis)
EL
Acte : rf ..
Code nomenclature / nbre B BIO
Nombre de B ..
N
Nombre lments :..
I O NOM lment
S CODE lment Numrique / Texte cod
ER
Dtermination des diffrents
BIO 1-
lments composants lanalyse
2-
V 3-
..
LA Dfinition de lELEMENT n. . (imprimer le s pages de 3 5)
Saisissable laccueil BIO Oui Non
Attention la rupture lie au

Recherche antriorit BIO Oui Non
changement de technique
Oui Non
Code nature chantillon BIO
N ou libell : .

Numrique
texte cod
Type de rsultat BIO
calcul (Formule) : .
autres : ............................
Si lment de type rsultat numrique
Mini :
Bornes pathologiques extrmes BIO Police 10 gras
Maxi :
Delta check : comparaison

rsultat du jour et rsultat BIO Relative : .. % Police 10 gras
antrieur (si > X%) Absolue : .. %
Validation Biologique
(bornes propres au labo au del
BIO
Enfant : Min
Femme : Min
Max
Max I
FO
desquelles il y a demande de
Homme : Min Max
validation biologique
Normales ENFANT :
I T
Normes
Rfrences (normales/ par sexe
ou tranche d'ge ...) Normales FEMME : F A
Il est obligatoire de mettre
Prciser les tranches d'ge si

BIO
U E une ligne au moins pour

gestion des attributs gras sur
le CR mdecin
besoin pour chaque sexe
Normales HOMME :
I Q
N
Normales ENFANT :
R O
Rfrence convertie si
BIO
C
Normales FEMME :
T
deuxime unit
L E
E
Normales HOMME :
N
Noter le libell exact de la technique (avec
Recopier exactement le
Technique NON CONNECTEE

I OBIO
nom de

lautomate) :
mme libell que celui mis au
niveau de lautomate
R S
(obligatoire pour la saisie
manuelle)
V E
Nom du ou des automates
Nom
..
de
Transit via le MW : Oui

lautomate :
Non
LA
BIO
Si OUI :
TRI MW : Oui Non Code :
Nom du driver prendre dans

Si transit MW : code ..
Connexion concerne BIO linterface Connexion du
Si pas MW nom du driver :..
SIL
Si transit par MW
A dcider avec le resp du
Code test : .
Code du test MW (code identique dans le
MW et dans ce champ) :
BIO Si ( nom automate ) :
Code : ..
demander au fournisseur de
N de la mthode dans le canal :
lautomate)
..

Noter le libell exact de la technique (avec Recopier exactement ce

nom de lautomate) : libell au niveau de technique
Technique BIO
Technique NON
CONNECTEE
Oui Non
Dclenchement de Texte cod BIO Si OUI : prciser les tranches numrique et le
texte cod correspondant
Si lment de type texte cod
Description des libells et textes

BIO
cods voulus
Orientation des maquettes (si

SI
bact) (rfrence interne)
I
FO
examen inclure sur une
SI Oui Non
paillasse
Feuille de bactrio SI Oui Non I T

Avertir Rfrent automate si F A
code connect
SI Oui Non
U E
Si lment de type Si lment de type texte cod Formule de calcul
I Q
BIO N Faire contrler la formule par
excel ou calculette et garder
SI
Formule :
R O la preuve de lexactitude du
calcul dans le SIL
C T
Excution
Saisie obligatoire BIO

L E Oui Non
E
Double saisie BIO
N Oui Non
I O
Premire unit
R S BIO
Deuxime unit
V E BIO
LA
Facteur de conversion
BIO
(si deuxime unit)
Compte-rendu
reporter sur rfrences

Rsultats ditables au patient BIO Oui Non
ditables au patient
Rsultats ditables au reporter sur rfrences

BIO Oui Non
prescripteur ditables au prescripteur
Nombre de dcimales pour la

BIO .
premire unit
Nombre de dcimales pour la

BIO .
deuxime unit si besoin

Conservation
Oui Non
Conservation de lexamen en
BIO Si Oui : contexte de conservation
chantillothque
Nom de lchantillothque :
Matrice ddition
Dcrire ce quil faut crire

SI
Matrice imprimable exactement sur le CR (ou
BIO
citer un modle dexamen)
Recopier toujours la
Matrice texte (modle) SI matrice imprimable
(pour rapport de fax)
I
FO
Mettre dans la matrice
Matrice tableau SI
tableau
Bilans
I T
Cette analyse appartient elle
un bilan ?
SI
Oui Non
Si oui rajouter la nouvelle analyse dans le bilan
F A
Attention, les bilans ne sont
pas historiss
concern
Transmissions des rsultats

U E
FAX Oui I
Non Q
analyse faxer pour tous
N
analyse faxer uniquement
SI
Spcialit : .
R O
Liaison extrieure SI C T
Oui Non
Codage des lments dans la L E

si oui : mettre jour les requtes dexclusion
Supprimer la ligne correspondant lancien Supprimer la ligne

liaison (LOINC)
SI
code
E correspondant lancien code
N Attention : le code de
I O communication par
dfaut est communiqu
R S Envoyer mail . pour avertir les

partenaires par mail des nouveaux examens
ou modif :
aux clients
Avertissement
V E des
correspondants en connexion
SI Liste des correspondants concerns :
Corres 1
Enlever le code
communication
lancienne analyse
de
de
LA
Corres 2 Enlever dans la table
Corres N connexion la ligne de
lancien code
Paramtrage MW
Resp
Gnralits Oprateur : Date
MW
code SIL reu par MW ou autre Resp

automate MW
Resp
examen reu par le MW Oui Non
MW

Resp Garder trace papier si

Examen trait par automate Oui Non
MW possible
Rsultat reu par SIL du MW ou Resp

Oui Non
autre automate MW
Dossiers tests de validation
Oprateur saisie :
SI
n du dossier : .././.- .-
impression tiquettes SI Oui Non
I
FO
Vrif : CR Mdecin BIO Oui Non
Vrif : CR patient BIO Oui Non
I T
Impr Cotation dans demande
SIL
SI Oui Non
F A
Vrif Rsultats FAX SI Oui Non
U E
Vrif connexion/liaison SI Oui NonI Q
N
Vrif : fiche identification patient SI Oui
R O
Non
T
EC
Vrif feuille de scu SI Oui Non
EL
Vrif : bon de transmission si
SI Oui Non
besoin
Feuille de secteur si
N
PAILLASSE
Bactrio
/ LECTEUR
I O SI Oui Non
S
ER
Accord et signature de mise en
SI
service
Accord et
V
signature
responsable du service
du
BIO
LA
Transmettre les infos pour le bio
responsable du site internet et
du guide des examens
BIO
Transmettre un message aux

biologistes et pour avertir tous BIO
les biologistes
Nom du biologiste et signature

Date de mise en production
du biologiste responsable BIO
de lexamen :
demandeur

9.5 Annexe 5 : exemple de vrification de connexions par

visualisation des fichiers transmis par lanalyseur
Donnes brutes transmises par lanalyseur (non formates)
I
Donnes formates (lisibilit accrue)
FO
I T
F A
U E
I Q
N
R O
C T
L E
E
N
I O
R S
V E
LA

Copie dcran SIL : vrification concordance donnes brutes analyseur donnes

transmises par SIL
I
FO
I T
F A
U E
I Q
N
Traabilit de la vrification de la connexion
R O
C T SIL
L E
E
SIL SIL
N SIL
S IO SIL
R SIL
SI
VE
L
LA

9.6 Annexe 6 : exemple dun test des rgles dun MW
I
FO
I T
FA
U E
I Q
N
R O
T
Exemple de rgles dexpertise
C
Patient test 1
L E Patient test 1
E
N
I O
RS
V E
LA
Comparaison dcrans permettant la confirmation du transfert de donnes impliquant

une ou plusieurs rgles dexpertise

9.7 Annexe 7 : exemple de vrification de transmission des

codes alarmes des analyseurs
Paramtrage de la connexion dans le SIL
I
Fichier de traces de la connexion
FO
I T
F A
U E
Importance de la vrification de lorthographe dans le paramtrage du SIL/MW :

I Q
dans lexemple, une saisie Atypical_Lympho (sans ?) nentrainerait pas un blocage de
la validation
N
R O
C T
L E
E
N
I O
R S
V E
LA

9.8 Annexe 8 : exemple de test de cohrence des donnes

transmises
Etape
ANALYSEURS DE GAZ DU SANG DELOCALISES
1 LABO LABO2 CPNN PNEUMO URG REA MATERNITE
MIDDLEWARE
I
FO
SIL
I T
5
SIL
Base Rplique
FA
SIH
U E
I Q
Cartographie du systme (Etapes et connexions informatiques des gaz du sang)N
R O
Patient test 1
C T
L E Patient test 1
Patient test 1
E
N
I O
R S
V E
LA
Patient test 1 Patient test 1
Comparaison des diffrents crans des systmes impliqus

9.9 Annexe 9 : exemple de vrification de non rgression

fonctionnelle
Les tests de non rgression sont regroups en scnario de non rgression avec des
scripts de test organiss par grandes tapes daction utilisateurs. Pour chaque tape,
il est prcis un rsultat attendu et loprateur vrifie que le rsultat attendu sest bien
reproduit preuve quil ny a pas eu de rgression.
Scnarii de test de non rgression

N scnario Description
Saisie d'un dossier patient avec une numration et
1 rendu de rsultat au laboratoire
Saisie d'un dossier patient avec une numration et
2 rendu de rsultat dans son DMP

I
FO
Script de test du scnario 1
Oprateur John Doe
Date d'excution : 01/03/2013
I T
N tape Description
Saisie du dossier patient avec analyse de
Rsultat attendu
F A
Le dossier est enregistr et en attente de
Rsultat rel
1 numration
2 Saisie manuelle du rsultat de la numration
rsultat
U E
Le dossier passe en validation biologique
Le dossier est prvisualis dans un format
OK
OK
3 Consultation du rsultat en prvisualisation

I Q
CDA avec les rsultats saisis OK
4 Validation biologique du rsultat
N
Le statut du dossier passe valid
Aprs clic, il s'ouvre ddans un navigateur et
OK
5 Visualisation du fichier CDA gnr sur le serveur

R O
et parfaitement lisible avec les rsultats
saisis OK
Visualisation du message envoy dans la boite
T Un mail est envoy et contient un fichier
EC
6 d'evoi de la messagerie crypt OK
EL
A noter que contrairement aux tests dintgration, les tests de non rgression peuvent
tre automatiss avec des logiciels robots qui reproduisent toujours les mmes
squences utilisateur.
N
I O
R S
V E
LA

9.10 Annexe 10 : exemple denregistrement des traabilits des

logiciels
I
FO
I T
FA
U E
I Q
Analyseu Analyseu Analyseu Analyseu N
r3
R O
r1 r2 r4
9.11 Annexe 11 : exemple deTformulaire de vrification des

transferts de donnes C
Famille vrifie
L E
Nom du sous domaine :
Examen(s) vrifi(s) : E Date :
N
I O
Systme(s) vrifi(s) :
o Automate :
S
o SIL :
o Serveur de rsultats :
R
o Liaison :
V E
o SIH Donnes administratives :
o Autres interfaces :
Numros des demandes dexamens vrifies
LA
Rgles mises en jeu vrifies (Prciser le nom des rgles et le systme) :
Vrification de la syntaxe (>, <, alarme(s).) :
Conformit : oui /non en cas de non-conformit ouvrir une fiche de non-conformit
Nom de loprateur ayant ralis la vrification
Biologiste responsable :
Commentaire(s) joindre la fiche de non-conformit
La vrification du paramtrage est effectuer tous les :

Joindre les preuves de vrification au formulaire complt

9.12 Annexe 12 : Analyse de risques applique aux systmes

informatiques des LBM
Lanalyse de risques tel que dcrite ci-aprs est un processus que lon met en uvre lors de
lorganisation ou la rorganisation dun service informatique. Dans la pratique courante, la
conduite du changement ne fait intervenir que certains des outils proposs, de faon plus ou
moins allgs en fonction des situations (les interventions sur le SI nont pas les mmes
impacts lors dune maintenance rgulire ou lors dune mise jour importante du
systme).
La gestion des risques est dfinie par le guide 73 de lISO comme lensemble des activits
coordonnes visant diriger et piloter un organisme vis--vis du risque. La finalit de la
gestion de risque peut se dcomposer en trois tapes :
- Amliorer la scurisation des systmes dinformation ;
I
FO
- Justifier le budget allou la scurisation du systme dinformation ;
- Prouver la crdibilit du systme dinformation laide des analyses effectues.
I T
Le guide 73 de lISO value un risque par la combinaison de la probabilit dun vnement et
de ses consquences. Une quation RISQUE = MENACE * VULNRABILIT *
F A
IMPACT est couramment reconnue dans ce domaine, les termes de cette quation tant
dfinis ainsi :
sensible du systme) ; U E
- La menace est la source du risque (par exemple lattaque possible dun lment
I Q
- La vulnrabilit est la caractristique dune partie du systme constituant une
faiblesse ou une faille au regard de la scurit ;
N
- Limpact reprsente la consquence du risque sur lorganisme et ses objectifs.
R O
Il existe de nombreuses mthodes utilises pour estimer et matriser les risques li aux
systmes d'information.
Exemples : C T
L E
AMDEC = Analyse des Modes de Dfaillance et de leurs Effets Critiques
EBIOS = Expression des Besoins et Identification des Objectifs de Scurit
(ANSSI) E
N
OCTAVE = Operationally Critical Threat, Asset, and Vulnerability Evaluation
I O
MARION = Mthode d'Analyse de Risques Informatiques Oriente par Niveau
MEHARI = Mthode Harmonise d'Analyse des Risques
R S
Globalement, elles proposent de :
V E
1) Dfinir le primtre de lanalyse de risques
LA
Il sagit didentifier les activits mtier, les intervenants, les lments technologiques et
dinfrastructure du LBM et ventuellement les patients, qui doivent tre prises en compte.
Cette tape initiale dfinie aussi les biens essentiels protger, par exemple les donnes
patients, les traitements ayant une influence directe sur la qualit du service rendu par le
LBM ses patients et ses prescripteurs, les donnes de production, de paramtrage,
La cartographie est un point de dpart essentiel lidentification de failles potentielles du
systme :
- matrielles (locaux, serveurs ou terminaux critiques, rseau, ) ;
- logicielles (BDD, hbergement, protections, redondances, interfaces, rseau,
scurit, ) ;
- humaines (oprateurs, utilisateurs, gestionnaires, protection, hirarchisation accs,
) ;
- organisationnelles.

2) Identifier les risques

Les donnes de l'tape prcdente sont analyses et associes des cueils : pannes,
msusages, ou toute autre menace possible .
La dcomposition en processus/sous-processus et la mthode des 5M (matires, matriel,
milieu, main duvre, mthodes) sont des moyens efficaces.
Le niveau de dtail des sous-processus dtermine le temps consacr cette analyse et doit
donc tre dimensionn en fonction de la criticit du processus que lon souhaite tudier.
Exemple 1 :
L'analyse de la gestion du rseau peut ncessiter une cartographie minutieuse du matriel,
des accs VPN, des fournisseurs, des utilisateurs et de l'ensemble des points d'entre du
VPN.
Une telle analyse approfondie se fait au dmarrage ou lors dune modification profonde du
I
FO
rseau pour ne revtir quune forme simplifie ou une revue sommaire lors dvolution
mineure.
Exemple 2 :
I T
Lors dun changement de logiciel sur un automate connect la chaine d'information SIL
<=> MW <=> AUTOMATE les investigations se focaliseront sur les modifications
F
ncessairement annonces par le fournisseur. Si le LBM dlgue cette tche unA
prestataire, une traabilit des actions ralises est assurer.
U E
3) Estimer la probabilit de la ralisation dun risque et son niveau dimpact
I Q
Il est dusage daffecter une cotation chacun des critres identifis prcdemment afin de
N
les combiner avec un indicateur facilitant la prise de dcision. Mme sil existe dans la
R O
littrature des seuils dcisionnels pour ce type dindicateur, ils sont spcifiques la mthode
employe. En pratique ils sont le plus souvent fixs empiriquement par le LBM.
C T
4) Consolider les lments de lanalyse et laborer le plan dactions
L E
Une vue synoptique des lments collects lors des phases 1, 2 et 3 ci-dessus est obtenue
en construisant un tableau du type matrice risque/criticit (Cf. tableaux ci-dessous).
E
Le plan daction rsulte finalement dun arbitrage entre les cots potentiels et le bnfice
N
attendu en matire de maitrise des risques. Cet arbitrage est du ressort de la direction qui en
garde la trace.
I O
S
Le plan de continuit dactivit rsulte de lanalyse de risques ou intgre celle-ci.
R
V E
Proposition des tableaux permettant de formaliser lanalyse par sous-processus,
lvaluation et la cotation du risque et de la criticit, ainsi que les ventuels moyens de
LA
maitrise envisags dans le cadre de la structuration des moyens de maitrise (cellule
informatique, politique de gestion, ) :

Gravit / Criticit
Cause Effet Mode de Frquence Moyen de
Processus Dtectabilit Criticit de globale de la Efficacit /
potentielle de indsirable de dfaillance d'occurrence maitrise
concern -D- l'impact dfaillance commentaires
dfaillance la dfaillance -M- -F- envisag
-C- -R-
Chaque ligne Description Description du

Dfaillance
permettant de Inexistant = 1 Toujours = 1 Absence = 1
Combinaison
des colonnes I
FO
du tableau des type d'impact fonctionner en prcdentes
reprend un ventuelles attendu mode dgrad Rare = 2 Facilement = 2 Faible = 2 Permet de
IT
sous causes concernant le => cotation 2 R=M*F*D*C n'avoir qu'un Idem
processus issu pouvant sous Frquent = 3 Difficile = 3 Moyenne = 3 seul document
FA
de la entrainer une processus Dfaillance donc compris
cartographie dfaillance envisag Bloquante Systmatique Indtectable Eleve = 4 entre 2 et 256
=> cotation 4 =4 =4
Exemples de processus concern par la mthode MARION
U E
Exemples de processus concern par la mthode MEHARI
la scurit organisationnelle
la scurit physique
l'entit
le site
I Q
la continuit de service les locaux
N
l'organisation informatique
la scurit logique et l'exploitation
R O
les applicatifs
les services offerts par les systmes et l'infrastructure
la scurit des applications
C T le dveloppement
la production informatique
E les rseaux et les tlcoms
EL
Exemples de cause de dfaillance par la mthode MARION Exemples de cause de dfaillance par la mthode MEHARI
Accidents physiques / Malveillance physique une seule cause :
Panne du SI
Carence de personnel / Carence de prestataire N => erreur
=> malveillance
Interruption de fonctionnement du rseau
I O => accident
Erreur de saisie / Erreur de transmission
Erreur d'exploitation
R S une seule consquence :
=> atteinte la disponibilit
Erreur de conception / dveloppement
Vice cach d'un progiciel
V E
Indiscrtion / dtournement d'information / Attaque logique du rseau
=> intgrit,
=> confidentialit
=> service
LA
Dans tous les cas, il faut lister les processus et sous-processus, puis envisager les causes et consquences potentielles avant den estimer le risque et
de dcider des moyens mettre en uvre pour ramener ce risque un niveau acceptable en fonction des possibilits et de la politique du LBM

Exemple de mise en uvre dans le cadre de la structuration du systme de gestion des SI
Gravit / Criticit
-C- -R-
I
FO
Panne du SI 4 2 1 4 32 Redondances /
Arrt Prod (serveurs,
ou du rseau
4 1 1 4 16 VPN, ) Action OK
Accidents / Indisponibilit 4 1 2 4 I T 32 /
Malveillance
physique
matriel /
logiciel 4 1 1 1
F A 4
Scurisation
locaux
Action OK
Gestion
fichiers
sensibles ou
Erreur
dexploitation / Invalidation
2 2 3
U E 4 48
Log / MDP
/
dictionnaires
saisies param.
(Accs ouvert)
paramtrage
2 1 1
I Q 4 8 Action OK
critiques
Carence de 2 4 3 N 4 96 /
personnel / Mauvais
de prestataire paramtrage
R O Formation RI
CT
(Incomptence) 2 1 1 4 8 Action OK
Vice cach NA
Etc...
L E
Analyse base sur la mthode MARION
E
Processus organisation de linformatique , sous processus matrises des paramtrages , voire gestion des fichiers sensibles avec un cut off choisit
N
24 par le LBM => un plan daction est mis en place au-dessus de 24, et il est considr que les actions sont efficaces si lestimation repasse en dessous du cut
I O
off . Le LBM sattachera hirarchiser les diffrents processus et sous-processus en fonction des modes de dfaillances envisags et inversement.
R S
V E
LA

Exemple de mise en uvre dans le cadre de la structuration du systme de gestion des SI
Gravit / Criticit
-C- -R-
I
FO
Panne du SI 4 2 1 4 32 Redondances /
Arrt Prod (serveurs,
ou du rseau
4 1 1 4 16 VPN, ) Action OK
Accidents / Indisponibilit 4 1 2 4 I T 32 /
Organisation
Malveillance
physique
matriel /
logiciel 4 1 1 1
F A 4
Scurisation
locaux
Action OK
gnrale
Erreur
dexploitation E
Estimer dans un ou plusieurs autres processus moins gnraux (comme ci-dessous par exemple)
U
Vice cach NA
I Q
Etc
N
Erreur
dexploitation / Invalidation
2 2
R O 3 4 48
Log / MDP
/
saisies param.
(Acces ouvert)
paramtrage
2 1
C T 1 4 8 Action OK
Gestion Carence de 2
E
4 3 4 96 /
EL
Mauvais
fichiers personnel / Formation RI
paramtrage
sensibles ou de prestataire 2 1 1 4 8 Action OK
dictionnaires
critiques MAJ logicielle
Modif
2 N 2 2 3 24
Cf. autres sous
comportement
I O processus
Vice cach
Etc...
NA
R S
Gestion des
transferts de
MAJ SIL,
MW,
Modif
V
comportement
E 4 3 3 3 108
Gestion des
versions et Etc.
donnes traa des MAJ
Fusion de
structures et
harmonisation
Fusion BDD
LAMlanges
donnes
4 3 3 4 144
Procdure +++
Accs Etc
restreints +++
des outils

Exemple de tableau destin valuer limpact dune modification de version logicielle (utilisable par le LBM ou le fournisseur)
Impact potentiel et
Date: N version O/N descriptif Utilisation
Suivi envisager
Excutable install 1.1 SIL Gestion Patients
Nouvel excutable 1.2 SIL Gestion Patients I
FO
Donnes cliniques intgres au
dossier patient utilisables en Connexion et gestion SAVB
Fonctionnalits
IT
validation biologique et intgrable Revalidation des rgles et
Nouvelles O Gestion renseignements cliniques dans le SAVB commentaires automatiss
FA
Modifies N NA
Dbugue N
Champs dans la base Ajout
Suppression
Modification
N
N
N U E
I Q
Gestion du dossier clinique du Connexion et gestion SAVB
Tables dans la base Ajout O Table GEST_CLIN_PAT
N
patient Commentaires automatiss
Suppression
Modification
N
N
R O
Relations / Liaisons Tables Modification O
T
DOSS_PAT et GEST_CLIN_PAT
C Cration du dossier patient
E
Combine cl unique DOSS_PAT et laccueil vrifier (bonne prise en
EL
GEST_CLIN_PAT la cration du compte des RC dans les dossiers et
Gestion "multi CLEUNIK" Modification O dossier patient du jour les rsultats vus en VB)
Connections automates Ajout N
Suppression N
N
Liaison HPRIM/MED/WEB
Modification
Ajout
N
N
I O
Suppression
Modification
R
N
O S
Utilisation "briques externe" Windows
Linux
V E N
N
LA
Mac N
Autres (tablettes) N
Post Script Imp. N

10 BIBLIOGRAPHIE
Rfrences rglementaires
Directive 98/79/CE du parlement europen et du conseil du 27 octobre 1998, relative aux

dispositifs mdicaux de diagnostic in vitro, JOCE du 7 dcembre 1998.
Ordonnance n2010-49 du 13 janvier 2010 relative la biologie mdicale : J.O. du 15 janvier

2010.
Rfrences normatives gnrales

I
FO
Laboratoires d'analyses de biologie mdicale Exigences particulires concernant la qualit
et la comptence. NF EN ISO 15189 (AFNOR).
I T
comptence. NF EN ISO 22870 (AFNOR).
F A
Analyses de biologie dlocalises (ADBD) Exigences concernant la qualit et la
Documentation Cofrac U E
I Q
Document Cofrac SH REF 02, "Recueil des exigences spcifiques pour l'accrditation des
laboratoires de biologie mdicale". N
R O
Publications
C T
L E
Descriptif standardis "Robotique et automatisation du laboratoire" - Annales de
Biologie Clinique - Volume 68 - Numro spcial Janvier 2010
E
Anne Gruson (Arras) Coordonnateur et les membres du groupe de travail : Bernard
N
Capolaghi, Pierre Carayon, Annette Chamson, Philippe Chatron, Genevive Dedieu, Philippe
Derache, Grard Desch, Franck Fernandez, Anne Gruson, Damien Gruson, Dominique
I O
Khenfer, Jean-Claude Maury, Bernard Poggi, Michel Sorel, Jean-Jacques Taris.
R S
Descriptif standardis "Middleware" - Annales de Biologie Clinique - Volume 70 -
V E
Supplment 1 - Novembre 2012
Anne Gruson (Arras) Coordonnateur et les membres du groupe de travail : Thierry
Blanchard, Bernard Capolaghi, Pierre Carayon, Rgine Cartier, Philippe Chatron, Genevive
LA
Dedieu, Philippe Derache, Grard Desch, Bruno Gauthier, Anne Gruson, Jean-Claude
Maury, Yvan Monneret, Bernard Poggi, Michel Sorel, Jrme Soucheleau, Jean-Jacques
Taris.
CI-SIS : Cadre dInteroprabilit des Systmes dInformation de Sant. Version

approuve en accs libre sur le site internet de lASIP Sant
Position Paper Les fournisseurs de DM DIV et la norme NF EN ISO 15189 , SIDIV

dition mai 2011

Sites internet
AFNOR, Association Franaise de Normalisation : www.afnor.fr
ASIP Sant, Agence des systmes dinformation partags de sant : www.esante.gouv.fr
CNIL, Commission nationale de linformatique et des liberts : www.cnil.fr
DMP, Dossier mdical personnel : www.dmp.gouv.fr
IHE, Integrating the Healthcare Enterprise : www.ihe.net
MSSant, les messageries scurises de sant : www.mssante.fr

I
FO
SFBC, Socit Franaise de Biologie Clinique : www.sfbc.asso.fr
SFIL, Socit Franaise d'Informatique de Laboratoire : www.sfil.asso.fr

I T
SIDIV, Syndicat de l'Industrie du Diagnostic In Vitro : www.sidiv.fr
F A
U E
I Q
N
R O
C T
L E
E
N
I O
R S
V E
LA

Cofrac SH Gta 02

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cofrac SH Gta 02

Загружено:

Авторское право:

Доступные форматы

Guide Technique dAccrditation Evaluation systmes informatiques Biologie Mdicale

Section Sant humaine

SH GTA 02 rv. 00 Page 1 sur 93

6.2.3.2 Points clefs dans lanalyse de lenvironnement......................................... 14

SH GTA 02 rv. 00 Page 2 sur 93

6.4.3.1.2 Messages lectroniques de donnes dmographiques patients ...........28

SH GTA 02 rv. 00 Page 3 sur 93

7.9 Traabilit, Intgrit et Conservation des donnes .............................................. 55

SH GTA 02 rv. 00 Page 4 sur 93

Le prsent Guide Technique dAccrditation (GTA) dfinit les recommandations relatives

permettent de satisfaire pleinement aux exigences de la norme utilise.

spcimens de liquide(s) biologique(s). Du latin : aliquot un certain nombre de .

SH GTA 02 rv. 00 Page 5 sur 93

Analyse rflexe : analyse additionnelle dclenche en fonction du rsultat dautres

un lment majeur de la preuve lgale du rendu de rsultats.

SH GTA 02 rv. 00 Page 6 sur 93

rpondre des exigences essentielles qui permettent de garantir : U E

la scurit du patient : qualit du rsultat ;

SH GTA 02 rv. 00 Page 7 sur 93

SH GTA 02 rv. 00 Page 8 sur 93

CSP : Code de la Sant Publique.

IDE : Infirmier/infirmire diplm(e) dtat.

SH GTA 02 rv. 00 Page 9 sur 93

Un SIL peut obtenir l'INS d'un patient de trois faons :

LDAP, un modle de scurit et un modle de rplication. I Q

LGC : Logiciel de Gestion de Cabinet mdical. N

public par l'ASIP Sant.

SH GTA 02 rv. 00 Page 10 sur 93

SaaS : Le logiciel en tant que service ou en anglais le Software as a Service est un

SH GTA 02 rv. 00 Page 11 sur 93

prconisations pour l'accrditation dans ce domaine.

5 SYNTHESE DES MODIFICATIONS

SH GTA 02 rv. 00 Page 12 sur 93

6.2 Architecture des serveurs

6.2.1 Les serveurs non critiques I

6.2.3 Rappel des recommandations de la norme NF EN ISO 15189 sur

SH GTA 02 rv. 00 Page 13 sur 93

6.2.3.1 Scurit des locaux

6.2.3.1.1 Locaux serveurs

SH GTA 02 rv. 00 Page 14 sur 93

6.2.3.3 Pannes matrielles et logiciels

6.2.4 Typologie dhbergement des serveurs critiques

SH GTA 02 rv. 00 Page 15 sur 93

6.2.5 Agrment de l'hbergeur des donnes

6.2.5.1 Rappel du cadre juridique

Rfrentiel de la procdure de demande d'agrment sur le site de l'ASIP Sant :

SH GTA 02 rv. 00 Page 16 sur 93

6.2.5.2 Les cas soumis la procdure d'agrment

6.2.5.2.1 Base de donnes confie un prestataire spcialis dans

Nous pouvons citer titre dexemple :

attention particulire la confidentialit des changes. FA

6.2.5.2.2 SIL mutualis entre deux LBM

6.2.5.2.3 MW mutualis entre deux LBM

SH GTA 02 rv. 00 Page 17 sur 93

Figure 2: MW mutualis entre deux LBM

SH GTA 02 rv. 00 Page 18 sur 93

6.3.2 Typologie des terminaux

lesquels s'excutent tout ou partie des applications.

de l'utilisateur aux applications depuis le poste.R O

6.3.3 Typologie des rseaux locaux du site

SH GTA 02 rv. 00 Page 19 sur 93

6.3.3.1 Rseau Physique

Le rseau filaire bnficie de la scurit daccs physique du site et de la scurit du poste

Organisation manuel de prlvement LBM