I. - Le plan d'audit mentionné à l'article 2 comprend le périmètre de l'audit, la définition du calendrier de l'audit et les conditions de sa réalisation telles que mentionnées au présent article. Ce plan est communiqué par l'auditeur à l'éditeur de l'outil ou service numérique préalablement à la réalisation de l'audit.
II. - L'audit peut être réalisé sur pièces. Dans ce cas, l'éditeur est tenu de communiquer, sur demande de l'auditeur, tout document ou toute information organisationnelle, fonctionnelle ou technique, quel qu'en soit le support, permettant d'attester de la conformité dans le temps aux éléments mentionnés à l'article 1er, y compris les mises à jour des pièces justificatives figurant dans la demande initiale de référencement susceptibles d'être demandées par l'auditeur.
L'éditeur communique les pièces demandées par l'auditeur dans le délai prévu par le plan d'audit mentionné au I et, dans la mesure du possible, dans un format électronique.
III. - L'audit peut porter sur les aspects techniques de l'outil ou service numérique aux fins de vérifier ses fonctionnalités et caractéristiques au regard des éléments contenus dans le dossier de demande de référencement. Pour permettre cette évaluation technique, l'éditeur octroie à l'auditeur un accès effectif aux outils et services audités.
IV. - Si l'analyse des pièces ou des aspects techniques de l'outil révèle des anomalies, un audit complémentaire peut être réalisé sur site.
Cet audit peut également être réalisé en cas de signalement pour non-conformité aux critères prévus par l'article R. 1111-37 du code de la santé publique par les utilisateurs du catalogue de l'espace numérique de santé.
L'audit prévu aux alinéas précédents fait l'objet d'une information préalable de l'éditeur concerné au moins un mois avant sa réalisation. Le courrier d'information précise l'objet de l'audit, son périmètre, sa durée, les coûts supportés par l'éditeur, ainsi que la possibilité pour le responsable des lieux ou son représentant légal de s'y opposer.
V. - Pendant toute la durée de l'audit prévue par le plan d'audit mentionné au I, l'éditeur s'engage à :
- communiquer les pièces demandées par l'auditeur dans le délai prévu par le plan d'audit mentionné au I et en garantir l'exactitude ;
- mettre à disposition de l'auditeur tous les moyens nécessaires à la bonne réalisation de l'audit, notamment en désignant un point de contact dédié afin de répondre en temps utile à ses demandes ;
- donner accès à toutes les informations, tous les outils, services, fichiers ou tout autre élément nécessaires à la réalisation de la mission d'audit, dans le respect du périmètre de l'audit.
L'absence de réponse de l'éditeur dans le délai prévu par le plan d'audit mentionné au I et le refus de communiquer les pièces demandées par l'auditeur peuvent constituer un cas de non-conformité mentionné dans le rapport d'audit prévu à l'article 5.
Si l'opposition a pour effet de priver l'auditeur des éléments nécessaires à la réalisation de son audit, elle constitue également un cas de non-conformité mentionné dans le rapport d'audit.