FAQ des industriels

Après la certification de la solution logicielle, le CNDA transmet à l’éditeur l’attestation de conformité ainsi que la lettre de référencement (ci-dessous). Les éditeurs apportent l'attestation de conformité comme preuve de certification à l’ANS.

• Dans le cas d'un CDAR2N1, le PDF à mettre en pièce jointe doit être identique à celui encapsulé dans le CDA.
• Dans le cas d'un CDAR2N3, "Le document de santé au format PDF doit afficher tous les éléments de l’entête du document CDA ainsi que les zones textuelles des différentes sections du corps du document CDA."

Rappel de l'exigence : Lors de la visualisation d’un document au format HL7 CDA R2, le Système DOIT le rendre lisible par un humain (l'entête et le corps) avec la feuille de style envoyée par le producteur si elle existe, sinon avec la feuille de style du consommateur (un lien pour obtenir une feuille de style d'exemple est fournie dans le scénario).

Scénario - Vérifier la lisibilité par l'utilisateur des données d'un document au format HL7 CDA R2 N1
Prérequis : Un document au format HL7 CDA R2 N1 est reçu par le système.
Etapes du scénario : 

• intégrer un document H7 CDA R2 niv 1 ;
• afficher les données de l'en-tête d'un document au format CDA R2 N1.

Il est recommandé au consommateur de vérifier et de nettoyer la feuille de style du producteur afin de se prémunir des attaques de type injection, Cross Site Scripting, déni de service...etc. Si la feuille de style du producteur présente un quelconque risque de sécurité, le système doit utiliser sa propre feuille de style pour afficher le document.

Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous candidater.

Il sera demandé d'envoyer votre dossier de preuves en amont. Cet envoi sera suivi d’une visite sur site afin de vérifier certaines exigences. La procédure est semblable à celle du CNDA.

Non, vous ne pouvez pas déposer toutes vos preuves dans un même dossier ZIP. Selon le document de spécifications de référencement de la vague 2 du Ségur numérique, chaque preuve de conformité doit être déposée individuellement et en respectant les chapitres spécifiques sur la plateforme Convergence.

Lé dépôt des preuves de conformité doit se faire par Chapitre sur la plateforme Convergence. Voici les points clés concernant le dépôt des preuves de conformité. Chaque preuve demandée dans Convergence est obligatoire et doit être déposée telle quelle, sans être regroupée dans un fichier ZIP global.

S'agissant des montées versions Ségur, le logiciel utilisé pour produire les preuves de conformité aux exigences du Ségur doit être disponible à la commercialisation. La convention de référencement Ségur stipule que l’éditeur doit pouvoir commercialiser les montées de version logiciel référencé au plus tard dans les 2 mois à compter de l’entrée en vigueur de la Convention. La montée de version de ce logiciel étant engagée suite au référencement.
 

Sur la plateforme Convergence, plusieurs preuves obligatoires vont vous être demandées selon vos profils sélectionnés pour attester de la conformité votre solution logicielle aux exigences (captures d’écrans, vidéos, fichiers, logs, homologations…). Le dépôt des preuves se fait par chapitre selon la catégorisation proposée dans Convergence et indiquée dans le REM. Vous pourrez également suivre vos dépôts de preuves chapitre par chapitre.

Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.

Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.

Oui, le RIS doit obligatoirement pouvoir alimenter le DMP par API Pro Santé Connectée

La plateforme interop.esante.gouv.fr permet de visualiser les preuves en avance de phase, mais pour le référencement vous devez utiliser la plateforme interopsegur.esante.gouv.fr.

Non, il est simplement nécessaire de fournir un lien permanent vers le test "CI-SIS-CR-CDA-N1-Create_doc-Sc1" pour un type de document géré par la solution.

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé.

En cas de rachat d’un hébergeur ou d’un sous-traitant ultérieur (achat d’un datacenter actuellement détenu par un fonds de pension canadien par un fonds de pension US etc.) que faire ?

La table de correspondance avec SecNumCloud fournie en annexe du référentiel est uniquement fournie à titre indicatif. Elle n’est pas à compléter. 

Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties. 

L’Hébergeur doit renseigner la liste des réglementations extra communautaires auxquelles il est soumis (FISA, Cloud Act, etc.) dans la documentation à fournir à son client.

S’agissant de la transparence (tableau des garanties publiques) il doit indiquer s'il est soumis ou pas un risque d'accès tel qu’évoqué dans la question et citer le pays concerné.