FAQ des industriels

La réponse ci-dessous est aussi valable pour l’ETH.12 et ETH.30.

Pour rappel l’exigence ETH.11.1.2 est la suivante : « En cas de réutilisation des données issues de la téléconsultation, le Système DOIT mettre en œuvre des mécanismes permettant de garantir que les patients ont été informés de la réutilisation de leurs données pour servir des finalités secondaires, de la finalité poursuivie, de l’identité du responsable de traitement (si différent du SI de téléconsultation), et des droits RGPD des personnes, qu'ils l'ont bien compris et qu’ils y consentent. » Le consentement au recueil des données de la téléconsultation et au traitement de ces données en rapport avec la prise en charge du patient est inclus dans le consentement à la téléconsultation. Le traitement des données servant une finalité secondaire nécessitera autant de consentements que de finalités secondaires. (consentement à la carte, la dissociation des finalités secondaires est donc requis). 

Par exemple dans le cas particulier de la recherche, il peut y avoir plusieurs recherches et dans ce cas, si la Sté de TLC a obtenu une autorisation générique recherche, un seul consentement au traitement des données pour la recherche suffira en plus du consentement à la téléconsultation qui lui sera obtenu à chaque téléconsultation. Si la Sté de TLC n’a pas obtenu d’autorisation générique recherche, il faudra autant de consentements que de finalités de recherche, en plus du consentement à la téléconsultation, à chaque téléconsultation. 

Si les données sont anonymisées, elles ne sont pas réidentifiantes et elles perdent leur statut de données à caractère personnel. Dans ce cas, la réutilisation secondaire des données anonymisées est possible après une simple information du patient. Néanmoins, l’éditeur doit se donner les moyens de vérifier que cette information a bien été comprise par les patients. 

Au contraire, si les données sont pseudonymisées (une réidentification du patient est possible), le RGPD est applicable, et d'un point de vue éthique, il est attendu que l'éditeur recueille le consentement du patient pour chaque type de réutilisation secondaire des données et qu’il s’assure de la bonne compréhension par le patient des informations qui lui sont fournies, condition d’un consentement éclairé. Aussi, il est nécessaire de savoir si les données sont anonymisées ou seulement pseudonymisées.

Dans le cas du critère ETH.11.1.2 « En cas de réutilisation des données issues de la téléconsultation, le Système DOIT mettre en œuvre des mécanismes permettant de garantir que les patients ont été informés de la réutilisation de leurs données pour servir des finalités secondaires, de la finalité poursuivie, de l’identité du responsable de traitement (si différent du SI de téléconsultation), et des droits RGPD des personnes, qu'ils l'ont bien compris et qu’ils y consentent », une finalité secondaire est la finalité d'un traitement qui ne sert pas directement le soin du patient.

Cela peut être par exemple d’améliorer le service, de servir la recherche, la commercialisation des données ou des résultats d’analyse des données, l’utilisation des données pour alimenter les statistiques propres à l’éditeur, etc.

Cette définition est valable également pour ETH.12 et ETH.30 

• ETH.12 : « Le Système DOIT mettre en œuvre des mécanismes permettant de distinguer le type des finalités secondaires en faisant la différence entre les finalités secondaires non essentielles servant notamment l’intérêt général et les finalités secondaires non essentielles servant un intérêt particulier, afin de permettre un consentement "à la carte" » (par ex., pouvoir consentir au traitement des données à des visées de recherche et ne pas consentir au traitement servant la production de statistiques d’usage à destination de l’éditeur).
• ETH.30 : « Le Système DOIT permettre aux patients de ne pas consentir au traitement de leurs données pour servir une finalité secondaire sans qu’il n’y ait de dégradation du service rendu par le STLC ou d’impact sur la qualité de leur prise en charge. »

L'exigence ETH.11.1.2 précise qu' « en cas de réutilisation des données issues de la téléconsultation, le Système DOIT mettre en œuvre des mécanismes permettant de garantir que les patients ont été informés de la réutilisation de leurs données pour servir des finalités secondaires, de la finalité poursuivie, de l’identité du responsable de traitement (si différent du SI de téléconsultation), et des droits RGPD des personnes, qu'ils l'ont bien compris et qu’ils y consentent ». L'analyse d’un panel de patients (idéalement une trentaine, et au moins 10) pourrait répondre à l'exigence, à condition que ce soit un panel représentatif de la population d’usagers ciblées par la téléconsultation (en termes par exemple d'âge, de sexe, de handicap, de niveau de littératie, de catégorie socio professionnelle…).

L'exigence ETH.09.1 « SI la téléconsultation est enregistrée, le Système DOIT en informer le patient (l'information doit être claire et facilement accessible), et le Système DOIT permettre au patient de consentir à l'enregistrement de la téléconsultation ou de mettre fin à la téléconsultation ? » s'applique uniquement aux solutions de téléconsultation proposant l'enregistrement des téléconsultations. 

Cette exigence est donc considérée "Non applicable" pour les solutions de téléconsultation qui n’enregistrent pas les téléconsultations. Dans ce cas, une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve.

Pour être conforme à l'exigence ETH.08, il est suffisant que le système offre la possibilité au patient de sélectionner le type de lieu où il se situe lors de la téléconsultation. Cela peut inclure des options comme le domicile, une officine, un EPHAD, ou tout autre lieu approprié. L'exigence ne nécessite pas que le patient fournisse son adresse exacte. L'objectif principal de cette exigence est de garantir que le système permette d'identifier le lieu général de la consultation pour des raisons de traçabilité et de sécurité, sans imposer la saisie d'une adresse précise. 

Par contre, l’exigence ETHT.02 impose que le patient puisse saisir l'adresse précise du lieu de la téléconsultation : « Le Système DOIT afficher une interface de saisie du lieu où se situe le patient (adresse, code postal, géolocalisation, ...)… ».

L'exigence ETH.07.1 « Le Système DOIT permettre au patient lors de la téléconsultation d'accéder aux informations suivantes : la civilité, le titre, le nom, le prénom, la spécialité, le niveau de formation du professionnel de santé à la téléconsultation (formation interne de la société de téléconsultation, formation réalisée par une société savante, formation du Développement Professionnel Continu, formation par une organisation de Formation Médicale Continue, ...) et s'il a un exercice médical en présentiel, l'adresse de son cabinet. » impose que les informations du professionnel médical soient mises à disposition du patient. Si le professionnel médical exerce également en présentiel, l'adresse de son lieu d’exercice doit être accessible au patient. Il est accepté de ne renseigner que la ville ou le code postal du lieu d'exercice.

L’exigence ETH.03 « Le Système DOIT permettre au professionnel de santé d'évaluer la capacité du patient à consentir à l'acte de téléconsultation. ».

Ainsi, le professionnel médical doit s’assurer que le patient dispose d’une capacité de discernement lui permettant d’apprécier que le patient est en capacité de consentir à la téléconsultation. La case à cocher ne suffit pas.

L’exigence ETH.04 « Le Système DOIT permettre au patient de confirmer son libre choix au recours à la téléconsultation. Le recueil de cette information est tracé. ».

Il est rappelé dans les éléments de preuve qu'il faut démontrer que le patient a pu exprimer que la téléconsultation à laquelle il a recours était le résultat de son choix et qu'elle ne lui avait pas été imposée par d'autres personnes ou par des éléments de contexte particuliers (RDV en présentiel plus tardif, RDV avec son professionnel de santé plus tardif, RDV avec un autre professionnel de santé que d'habitude en présentiel, c'est quelqu'un de sa famille qui a pris le RDV, etc.).

Une case à cocher, par exemple, permettrait très facilement de répondre à ce point. Concernant le libre choix de télécharger l'application, il est tout à fait possible de tomber dans les cas qui sont cités dans les éléments de preuves, à savoir qu’un tiers a pu imposer à au patient d'utiliser telle ou telle application.

L’exigence ETH.01 « Le Système DOIT être intuitif, c’est-à-dire simple d’usage pour tous les publics, facilement compréhensible et ne demandant aucune formation particulière » signifie que le SI de TLC doit être aussi intuitif, simple d’usage et facilement compréhensible pour choisir une TLC sans frais supplémentaires que pour choisir une TLC avec frais pour services optionnels. Les parcours patient doivent être dans les deux cas de simplicité comparable, sans favoriser l'accès aux TLC avec frais optionnels.

Pour évaluer cela, on pourrait comparer les navigations conduisant à un RDV de TLC AVEC et SANS frais optionnels pour le même motif de TLC et aux mêmes horaires, en vérifiant que le nombre de clics nécessaires pour un utilisateur sans formation préalable est identique. Lorsqu'une TLC inclut des frais optionnels, le patient doit en être informé avant la présentation du devis. Il ne doit pas découvrir ces frais non remboursables au dernier moment. Le patient doit pouvoir à tout moment choisir une TLC SANS frais optionnels.

En résumé, il est nécessaire d’évaluer sur un panel représentatif des utilisateurs de la plateforme de TLC que les usagers sont bien en capacité d’une part de prendre facilement un RDV de TLC et d’autre part de choisir au moment de la navigation une TLC SANS frais supplémentaires ou AVEC des frais liés aux services optionnels. Le manque de transparence peut engendrer un manque de confiance. Découvrir le devis au dernier moment peut conduire à un renoncement à la TLC et accentuer les inégalités d'accès aux soins.

Trois phases peuvent être distinguées afin d'assurer la gestion du cycle de vie d'un examen d'imagerie au niveau de l'archive locale associée au logiciel DRIMBox :

1. Dans le cadre de la réalisation d'un examen d'imagerie, un compte-rendu d'imagerie ainsi qu'un ensemble d'images médicales sont produits. Ces informations, une fois envoyées à la fonctionnalité source du logiciel DRIMBox, permettent la création d'un document KOS mentionnant l'ensemble des informations à utiliser afin d'accéder ultérieurement aux images. Une fois le document KOS créé par le logiciel DRIMBox et publié au sein de l'environnement DMP (transaction TD2.1a du Guide d'Intégration DMP), une nouvelle entrée est ajoutée au sein de l'archive locale de la DRIMBox (pour plus de précisions, voir section 4.5.7 de la spécification projet DRIMBox).
2. Dans le cadre d'une modification de contenu d'un examen d'imagerie (suppression/ajout d'images médicales, changement de visibilité du compte-rendu d'imagerie, ou autre), le document KOS associé doit être mis à jour en conséquence par le logiciel DRIMBox et remplacé au sein de l'environnement DMP (transaction TD2.1b du Guide d'Intégration DMP). Une fois la mise à jour effectuée auprès de l'environnement DMP, celle-ci doit également être répercutée au niveau de l'archive locale associée au logiciel DRIMBox. Cet ajustement aura pour conséquence un remplacement du document KOS archivé, ainsi que du lot de soumission associé (fichier METADATA.xml).
3. Dans le cadre d'une dépublication d'un compte-rendu d'imagerie ou en cas de  suppression de l'intégralité des images associées à un examen d'imagerie médicale, alors le document KOS associé doit être dépublié de l'environnement DMP (transaction TD3.3c du Guide d'Intégration DMP). Conformément aux indications fournies en section 4.5.8.1 de la spécification projet DRIMBox, le document KOS sera alors être identifié comme dépublié au niveau du stockage local. L’objet DICOM KOS en tant que tel peut éventuellement être supprimé de la base d’archivage, mais son identification et statut doivent être tracés afin de fournir une réponse précise lors de la demande d’accès aux images qu'il référence. 

Si vous effectuez un montage (utilisation d’une solution tierce déjà certifiée), vous n’avez pas à effectuer de demande de certification auprès du CNDA sauf dans le cas d'une homologation EAI, les LPS intégrant un moteur doivent obtenir une homogation auprés du CNDA. Vous pouvez communiquer à l'ANS le NIL de cette solution tierce lors de votre demande de référencement. 

Il n’est pas indispensable d’avoir le même signataire entre le BDC et la VA. Ainsi, si le signataire de la VA diffère de celui du BDC, votre demande de solde ne sera pas refusée (pour cette raison du moins).

Cependant, il doit y avoir une concordance entre le nom figurant sur la facture et le signataire de la VA pour que votre demande soit validée.

Oui, l'appel contextuel via PSC du web PS DMP doit obligatoirement être implémenté dans le cadre de la vague 2.

Après la certification de la solution logicielle, le CNDA transmet à l’éditeur l’attestation de conformité ainsi que la lettre de référencement (ci-dessous). Les éditeurs apportent l'attestation de conformité comme preuve de certification à l’ANS.

Non, un distributeur n'a aucune action à réaliser pour le référencement de la solution. Le référencement de la solution est pris en charge par l'éditeur de la solution. Ce dernier doit déclarer ses distributeurs dans le dossier administratif du référencement Ségur. Un mandat de distribution devra également être fourni à l'ASP par le distributeur au moment de l'enrôlement au guichet ASP.

Cette habilitation est exigée pour toute demande de financement de prestation principale Ségur vague2 DRIMbox auprès de l'ASP. En tant qu'opérateur de la solution Ségur en production, le distributeur doit donc demander l'habilitation Opérateur de service utilisateur Espace de Confiance Pro Santé Connect pour la solution qu'il déploie et opère chez ses clients. 
Néanmoins, un distributeur revendeur pur qui s'appuie sur l'éditeur pour le déploiement et les opérations en production chez ses clients, pourra utiliser l'habilitation opérateur de service utilisateur Pro Santé Connect de l'éditeur dès lors que celui-ci l'y autorise. Cette autorisation devra faire l'objet d'une mention dans le mandat demandée par l'ASP au distributeur au moment de l'enrôlement. Par exemple : "Dans la mesure où les Prestation Ségur sont réalisées techniquement par l’Editeur, L’Editeur autorise le Distributeur à disposer, dans le cadre des demandes d’avance SONS-IMG-DB-va2, de l'habilitation « Opérateur de service utilisateur » de l’Espace de confiance Pro Santé Connect (EDC PSC), obtenue par l'Editeur pour la Solution."

Le passage sur l'Espace de test interopérabilité pour la DRIMBox et Proxy e-santé illustrés au travers du schéma mentionné en section 4.1 du DSR DRIMBox illustrent le fait que ceux-ci pourront être initiés et déroulés en parallèle afin que l'obtention des habilitations à l'espace de confiance PSC du LPS et du Proxy e-santé soient finalisées au moment de l'instruction du dossier Segur.

Actuellement, le projet DRIM-M spécifie la possibilité qu'un patient puisse accéder à un service de visualisation de ses examens d'imagerie au moyen d'un lien URL positionné au sein des comptes-rendus d'imagerie associés. L'utilisation de ce sevice de visualisation implique que l'utilisateur (patient) soit en mesure de s'identifier auprès du dispositif FranceConnect+. Or, à l'heure actuelle, les différents fournisseurs d'identité associés au dispositif FranceConnect+ imposent  que l’utilisateur ait plus de 15 ans pour créer son identité numérique. En conséquence, un mineur de moins de 15 ans ne sera donc pas en mesure d'utiliser le service de visualisation de ses examens d'imagerie à partir de la consultation de ses comptes-rendus d’imagerie, FranceConnect+ étant le seul moyen d’authentification patient actuellement spécifié au sein des exigences associées au projet DRIM-M. 
Afin de pallier cette situation, une solution complémentaire peut être temporairement envisagée. Conformément à la note mentionnée au sein de la section 4.1 de la spécification projet DRIMBox visionneuse, il est possible de mettre les images à disposition du patient mineur via un support physique en attendant le déploiement du fournisseur d’identité en direct proposé par le service « Application Carte Vitale ». Cette méthode d’authentification, actuellement en cours de spécification par les acteurs institutionnels, devrait permettre de résoudre la situation évoquée. En effet, tel qu’envisagé actuellement, l’utilisateur patient aura à terme le choix entre deux méthodes d’authentification suite à une demande de visualisation d'un examen d'imagerie : FranceConnect et Application Carte Vitale. Ainsi, si l'utilisateur sélectionne la méthode d’authentification proposée par le service Application Carte Vitale, alors le titulaire de la carte vitale (càd parent) auprès de laquelle il est associé en tant qu'ayant droit (exemple : enfant) affilié à son régime sera en mesure de se connecter et de visualiser les images médicales associées au compte-rendu.

Le corpus documentaire associé au projet DRIM-M spécifie que les différents logiciels DRIMBox déployés doivent effectuer une récupération quotidienne du fichier de liste blanche mis à disposition par l'ANS. Suite à chacune de ces récupérations, le fichier de liste blanche obtenu doit être vérifié afin de prévenir d'éventuelles corruptions de celui-ci. 
Le processus de contrôle du fichier de liste blanche implique une vérification de la signature qui lui est associée . Pour cela, les informations mentionnées au sein du tag "X509Data" du document liste blanche doivent être exploitées. Ces données correspondent aux principales caractéristiques du certificat utilisé afin de signer le fichier de liste blanche ANS. 
Tel qu'indiqué au sein de la spécification projet DRIMBox, nous préconisons l'utilisation de l'outil eSignSanté afin de valider la conformité de la signature associée au fichier de liste blanche ANS (pour plus de précisions concernant cet outil, voir https://github.com/ansforge/esignsante). 
En complément, nous pouvons indiquer que dans le cadre de l'homologation SEGUR vague 2 DRIM-M, une preuve de mise en oeuvre du processus de vérification de la signature est demandée. Dans ce contexte, les informations suivantes peuvent permettre de répondre à certaines interrogations :   
* Autorité à l'origine de l'émission du certificat utilisé pour la signature de la liste blanche de test : http://igc-sante.esante.gouv.fr/AC%20TEST/ACI-EL-ORG-TEST.cer. 
* CRL associée au certificat  utilisé pour la signature de la liste blanche de test : http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG-TEST.crl. 
* Le certificat à mettre en oeuvre afin de signer la preuve de vérification de la signature associée à la liste blanche de test doit être propre à chaque éditeur de solution DRIMBox. Ainsi, dans le cas où l'outil eSignSanté est utilisé, le fichier de configuration "config.json" doit être complété avec un certificat propriétaire au niveau de la section "proof". 

Les endpoints d'accès à un logiciel DRIMBox, tel que définis au sein du corpus documentaire associé au projet DRIM-M et tels que délivrés par le registre national ANS, comportent notamment deux paramètres : "ID_DRIMBox" (identifiant unique d'un logiciel DRIMBox) et "ID_Registre" (identifiant du fournisseur pour un site donné). 
Au vu des différents types d'architecture possibles pour le déploiement d'un logiciel DRIMBox, la gestion de ces paramètres peut soulever certaines interrogations. Afin de répondre à celles-ci, nous pouvons envisager deux architectures de déploiement d'un logiciel DRIMBox et étudier la gestion des paramètres "ID_DRIMBox" et "ID_Registre" qui en découle : 
* Cas d’un logiciel DRIMBox  au sein d'un établissement et utilisé par un radiologue ayant plusieurs situation AM (activités libérales). Dans cette situation, les URLs implémentés par le logiciel DRIMBox comporteront tous le même paramètre "ID_DRIMbox" et le même "ID_Registre" dans ce cas un seul logiciel DRIMBox et PACS sont déployés. Aussi une instance DRIMBox peut être utilisée par plusieurs professionels de santé comportant plusieurs situations d'exercice.
* Cas d’un logiciel DRIMBox avec un PACS desservant deux établissements. Dans cette situation, les URLs implémentés par le logiciel DRIMBox comporteront tous le même paramètre "ID_DRIMbox" puisqu'un seul logiciel DRIMBox est déployé. De manière identique, l'ensemble des URLs implémentés par le logiciel DRIMBox mentionneront le même "ID_Registre" puisqu'un seul site est identifié, depuis lequel sont desservis les deux établissements.