L’identifiant national se trouve sur la première ligne de votre CPx et se compose de 12 chiffres : 

• en 1^ère position, le chiffre "8" ;
• suivi des 11 chiffres de votre numéro RPPS.

Image

Dans une approche inclusive, tous les services numériques à destination des citoyens, utiles à la prise en charge de sa santé, peuvent candidater au référencement. Les services numériques éligibles doivent s’adresser aux usagers (patients/citoyens) et être édités par des acteurs publics ou privés, dans les secteurs sanitaires (santé et bien-être), médico-social et social. Ils doivent entrer dans le périmètre défini par l’article L. 1111-13-1 précité.  

Les services numériques éligibles :

• doivent obligatoirement s’adresser aux usagers (patients/citoyens) ;
• et être édités par des acteurs publics ou privés ;
• dans les secteurs sanitaires (santé et bien-être), médico-social et social.

Les services numériques éligibles sont les suivants :  

• applications mobiles ;
• sites web.

Ils peuvent être :  

• reliés ou non à un ou plusieurs objets connectés ;
• gratuits ou payants ;
• des dispositifs médicaux ou non.

Au moment du dépôt de la demande de référencement, les services doivent être utilisables par des usagers finaux (patient/citoyen).

Les services relevant du règlement européen 2017/745 relatif aux dispositifs médicaux doivent être conformes aux exigences de sécurité et de performances qui leurs sont applicables. La conformité à cette règlementation est matérialisée par l’apposition du marquage CE dispositif médical.

Le respect du présent programme ne dispense pas le service candidat au référencement de satisfaire à toutes les dispositions en vigueur, légales et règlementaires, nationales et communautaires 

Afin que mon service soit référencé, dans le Catalogue de services référencés, il doit être conforme à la doctrine du numérique en santé.

Cette doctrine est publiée tous les ans et définit les règles communes de sécurité, d’interopérabilité, d’éthique qui s’appliquent aux services numériques en santé.

Les données qui figurent dans Mon espace de santé sont les suivantes :

• les données du profil médical saisies librement par le patient, dans un format non structuré (antécédents, allergies) ;
• les mesures de santé (poids, taille, IMC, nombre de pas pendant la journée, température, tour de taille, fréquence cardiaque, tension artérielle diastolique et systolique, niveau de la douleur, glycémie) au format FHIR (voir spécification interopérabilité FrObservation) ;
• des documents de santé (ex : compte-rendu d'acte diagnostic, compte-rendu d'acte thérapeutique, compte-rendu d'admission…).

Vous disposez de deux moyens de recherche sur le site de l’annuaire santé : 

• une recherche par mots-clés (Qui ? Quoi ? Où ?) qui vous permet de trouver les professionnels de santé et les établissements correspondants ;
• une recherche avancée par critères détaillés (profession, spécialité ordinale, compétence, identifiant, lieu d'exercice...) qui vous permet de cibler la recherche soit sur les professionnels de santé, soit sur les établissements. 

L'accès restreint s'effectue en cliquant sur "connectez-vous" du site de l’annuaire santé.

Une authentification par carte de la famille CPS est requise :

• si vous êtes porteur d'une carte de Directeur d'établissement (CDE) ou d'une carte de professionnel de santé (CPS) exerçant en libéral, vous pouvez automatiquement accéder aux informations auxquelles vous avez droit (cf article 7 de l'arrêté du 6 février 2009 modifié) ;
• dans les autres cas, l'accès par carte CPx nécessite un enrôlement préalable par l'ANS. Vous devez remplir une fiche de demande de droits d'accès au RPPS et préciser le numéro de votre carte CPx.

Par ailleurs, pour pouvoir vous authentifier par carte de la famille CPS, vous devez disposer d'un lecteur de carte et avoir installé sur votre poste les composants nécessaires à l'accès à la carte. Ces composants sont disponibles sur l'espace CPS. Pour les professionnels de santé, la configuration requise pour l'accès au DMP permet d'accéder à l'annuaire santé. En cas de problème, vous pouvez vérifier la configuration de votre poste accédant à l'outil de diagnostic des postes.

Une fois authentifié, vous visualisez toutes les informations sur les professionnels de santé autorisées pour votre catégorie d'utilisateur (en consultation ou en extraction). 

Si vous disposez de plusieurs profils, il vous sera demandé au titre de quel profil vous souhaitez accéder au service.

Non, l'exigence PGSSI-S IEU 2 n'est pas applicable lorsque la solution est esclave de l'identité.

Il doit être possible de voir la création ou le résultat de la création d’un patient dans la solution avec son identifiant privé et ses 5 attributs. Il doit être possible aussi de visualiser que ce patient est associé à son INS, même si peut être les étapes du scénario de conformité sont faites en même temps.

Il faudrait donc, s’il n’est pas possible de visualiser la création d’un patient via la GAP, avoir le flux de création permettant de créer le patient et celui pour associer l’INS dans la solution (si différent), puis d’avoir une copie écran d’un compte usager associé à son matricule INS.

NB : Attention à ne pas confondre  la création de l'identité (au niveau de la GAP) et la création du compte dans le DMN. Si la solution ne permet pas l'accès à la GAP, cela signifie qu'il ne peut récupérer l'identité.

Le mandataire d’une structure peut créer des comptes utilisateurs sur Convergence pour ses collaborateurs. En fonction du besoin du compte à créer et du rôle du collaborateur à créer, le mandataire peut lui créer un de ces trois types de comptes :

• Mandataire : son identité est vérifiée par un processus automatique lors de la création de son compte (vérification de son identité et de l’identité de l’entreprise). Il gère les comptes de son entreprise et peut déléguer ce droit aux Représentants.
• Représentants : représentant désigné par le Mandataire, son identité n’est pas vérifiée par l’ANS, son inscription est validée par le Mandataire dans le FI, il peut être invité par le Mandataire. Il peut créer des comptes mandataires, représentants et salariés et peut gérer les comptes de son entreprise en délégation du mandataire.
• Salarié : son identité n’est pas vérifiée non plus par l’ANS, son inscription est validée par le Mandataire et/ou ses Représentants. Il peut être invité par le Mandataire ou par le Représentant, il ne peut pas gérer les comptes de son entreprise.

Le rôle mandataire du fournisseur d’identité est destiné au représentant légal de cette entreprise. Le mandataire peut désigner des représentants qui héritent des droits du mandataire.

Dans le cas où l'exploitant du DMN au sens de fabricant du DMN a développé un produit qui s'appuie sur des composants principaux développés par des tiers, chacun de ces tiers doit formaliser dans un mandat auprès de l'exploitant précisant qu'il s'engage dans la certification du DMN avec celui-ci dans un groupement dont l'exploitant du DMN  est le chef de file. Le mandat doit être signé par l’ensemble des entités juridiques qui donnent mandat au représentant du groupement, lequel sera l’interlocuteur unique de l’ANS.

L’obligation de disposer d’un agrément ou d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement :

• portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Dans le cas d'un dispositif médical numérique dont les établissements de santé, le client de l'exploitant du DMN héberge lui-même les données de santé à caractère personnel et n'est pas obligé d'avoir un certificat hébergeur de données de santé. (voir : question 2 Explicitation du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé.

Comme noté à la page 14 du référentiel 1.2.2 : « Le Référentiel d’Interopérabilité et de Sécurité des Dispositifs Médicaux Numériques (DMN) exige une méthode d’authentification des usagers à 2 facteurs. Le Système doit donc implémenter cette méthode d’authentification (exigence IEU 9.1). » Le développement de la double authentification est donc obligatoire pour un DMN s'il y a un accès patient, et c’est une exigence qui sera vérifiée par l’ANS.

Par contre, il est également indiqué : « Pour tenir compte du cas où l’activation de l’authentification des usagers à 2 facteurs diminue l’usage de la solution et entraîne une perte de chance pour l’usager, le fabricant du DMN peut sous sa responsabilité ne pas activer systématiquement l’authentification à deux facteurs. ». Cela signifie que l’activation du double facteur peut ne pas être systématique pour l’ensemble des patients. Ce point est de la responsabilité de l'entreprise du numérique en santé développant le DMN.

Enfin, il est précisé dans le scénario IEU 9.1 : « L'accès du patient à une interface de déclaration simple dans le cadre d'un parcours de télésurveillance n'est pas soumis à ce scenario de conformité et ne nécessite pas d'authentification à deux facteurs systématique. » . Cela signifie que dans le cadre d’une déclaration simple, c’est-à-dire dans le cas où un patient accède à un simple formulaire de saisie de données (hors du DMN),  il n’est pas soumis au développement du double facteur.

Le référentiel d’identification électronique se borne à faire en sorte que les identifiants utilisés pour les usagers soient des identifiants uniques et sectoriels de préférence. Il n'existe aujourd'hui aucune exigence qui encadre ce cas de figure, même si la qualité de l’identification d’un usager est l’un des principes fondamentaux de la qualité et de la sécurité de sa prise en charge.

Dans le cas d'une candidature pour un DMN pour lequel l'implémentation de l'Identité Nationale de Santé est non applicable, la conformité aux exigences IEU 7 et IEU 8 n'est pas obligatoire. Ces deux exigences sont donc "Non applicables".

En cas de non applicabilité, une déclaration sur l'honneur justifiée devra être fournie à la place de la preuve attendue. 

Pour certains services référencés dans le Catalogue de services, lorsqu’ils s’inscrivent dans des finalités de prévention, de diagnostic, de soins ou de suivi social et médico-social, ces derniers pourront être candidats en vue d’échanger des données de santé avec Mon espace santé, dans le respect du consentement éclairé de l’utilisateur.

Le catalogue de services numériques référencés est un ensemble de services développés par des acteurs privés, par des acteurs publics, qui peuvent être gratuits ou payants et qui pourront figurer dans le catalogue de Mon espace santé.

Sont uniquement concernées les solutions numériques qui entrent dans le champ de la santé, du bien-être ou du maintien de l’autonomie.

Ce catalogue de services numériques référencés traduira la richesse de l’offre numérique du secteur, de par la nature des services, le public auquel il s’adresse, les éditeurs de ces solutions, tout en garantissant le respect des critères suivants:

• critères liés à l’offre elle-même :
  • domaine de la santé ou du bien être ;
  • qualité du contenu en lien avec les critères HAS ;
  • modèle économique du service.
• conformité à la doctrine technique du numérique en santé ;
• conformité juridique ;
• critères éthiques.

Non, le référencement au Catalogue de services n’est pas obligatoire.

Mon espace santé c’est principalement quatre grandes fonctionnalités :

• le Catalogue de services numériques référencés qui vous concerne directement en tant qu’entrepreneur de service numérique ;
• le Dossier Médical qui intègre l’ensemble des documents du DMP historique, des mesures de santé au format FHIR qui vont décrire la situation de santé de la personne à un instant T et le profil médical qui reprend les antécédents et les allergies de l’utilisateur pour qu’il puisse les partager ;
• la Messagerie dont l’objectif est de créer un endroit sécurisé pour permettre à l’utilisateur d’échanger avec les professionnels qui interviennent dans sa prise en charge ;
• l’Agenda dans lequel l’usager pourra alimenter lui-même ses rendez-vous médicaux ou autoriser des applications de prise de rendez-vous à les inscrire pour son compte, pour les centraliser en un seul endroit. C’est avant tout un outil de gestion, de prévention et de parcours de soins notamment pour mettre en place des rappels de dates clés des examens de prévention.

• la visibilité de mon service numérique à l’ensemble des citoyens ;
• une garantie de confiance pour les usagers, grâce au processus de référencement garantissant le respect du cadre de valeur de sécurité, d’éthique et d’interopérabilité ;
• sous réserve du consentement de l’usager, un accès aux données de Mon Espace Santé.