FAQ de l'offre : Ségur du numérique en santé

Les dispositifs SONS DPI et PFI sont indépendants et décrits distinctement dans les documents suivants : Appel à Financement (DPI et PFI), DSR (DPI et PFI) et REM (DPI et PFI). Par conséquent, les financements associés à la mise en œuvre des solutions DPI et PFI sont indépendants. Ainsi si un éditeur met en place une PFI pour laquelle l'établissement valide son fonctionnement conformément aux attendus décrit dans la VA (vérification d'aptitude), l'éditeur percevra le financement au bénéfice de l'établissement que ce dernier ait bénéficié ou non d'un DPI Vague 2. 

Les preuves sont analysées une fois que l'ensemble du chapitre est complet et soumis.

Ces exigences SC.SSI/IAM.91 et SC.SSI/IAM.92 définissent la manière dont le système doit tracer certaines opérations et gérer la robustesse des mots de passe administrateurs.

Avant, le système devait conserver les traces de l’ensemble des opérations mentionnées (SC.SSI/IAM.91) et permettre à la structure de santé de mettre en place une politique de mots de passe robuste s’il gérait des comptes d’administration dans sa base de compte propre (SC.SSI/IAM.92).

Maintenant, le système doit uniquement conserver les traces des opérations mentionnées qu’il gère localement (SC.SSI/IAM.91) et peut utiliser un MIE sans mot de passe s’il garantit un niveau de sécurité équivalent ou supérieur, par exemple une clé FIDO (SC.SSI/IAM.92).

Ce changement est lié au fait que la rédaction initiale de ces exigences ne prenait pas en compte des cas d’usage remontés durant la procédure de référencement.

Concrètement :

• Dans la nouvelle version de l'exigence SC.SSI/IAM.91 : possibilité pour chaque scénario de déposer un justificatif expliquant le fonctionnement de l’application et indiquant que l’action n’est pas gérée localement.
• Dans la nouvelle version de l'exigence version SC.SSI/IAM.92 : possibilité de montrer l’authentification au système d’un administrateur pour justifier de l’utilisation d’un MIE sans mot de passe (NB : les codes PIN sont proscrits).

A noter qu'il n'y a aucune obligation pour l'éditeur, il s’agit d’une prise en compte de cas d’usage existants.

Oui, un composant "EAI/librairie" non autonome intégré dans le proxy doit passer son agrément au CDNA pour obtenir sa propre homologation.

En cas d'identification d'erreurs non légitimes, vous pouvez contacter l'adresse support monserviceclient.mssante@esante.gouv.fr en précisant dans l’objet « [MOTCO2] ».

L'équipe support prendra contact avec vous après analyse des traces fournies. Eventuellement MOTCO2 devra évoluer pour prendre en charge votre spécificité.

Le délai de réponse dépend du traitement par l’équipe en charge, mais vous pouvez généralement démarrer vos développements dès la réception d’une réponse positive.

Il est conseillé de surveiller votre messagerie et l’espace de suivi pour être informé dès que l’autorisation est accordée. 

L’ensemble de la Solution Logicielle, c’est-à-dire le Composant Principal LPS, le Proxy e-Santé et les Composants Additionnels interfacés avec le Composant Principal LPS ou le Proxy e-Santé, font partie de l’Espace de Confiance PSC.

Le Composant Principal LPS et le Proxy e-Santé doivent être habilité dans l’Espace de Confiance PSC selon son rôle.​ 

Pour le couloir Hôpital de Ségur V2, un raccordement à l’Espace Communautaire est suffisant. 

L’habilitation EDC PSC n’est pas obligatoire pour le référencement dans ce cas. Il est cependant possible pour un logiciel DPI de demander une habilitation EDC PSC en dehors du Ségur.

L’“éditeur” et l’“opérateur” sont deux rôles distincts :​

• L’éditeur est responsable du développement et de la conformité du logiciel ou du Proxy e-Santé.​
• L’opérateur est celui qui exploite la solution (logiciel ou proxy) en production.​

Seul l’opérateur (ou un fournisseur disposant de l’habilitation Opérateur de Service Utilisateur) pourra s’enrôler pour financement auprès de l’ASP.

Il s'agit du cas d'un Proxy e-Santé tiers qui embarque des Composants Additionnels Non Autonomes (ou logiciels EAI).​

Dans le parcours Ségur, l'éditeur de la Solution Logicielle déclare qu'il utilise un Proxy e-Santé tiers et des Composants Additionnels Non Autonomes.​

Dans le parcours d'habilitation EDC PSC, l'éditeur ELU déclare qu'il utilise un Proxy e-Santé tiers.

Dans le parcours d'homologation au CNDA, l'éditeur de la Solution Logicielle déclare qu'il utilise des Composants Additionnels Non Autonomes (EAI) intégrés au Proxy e-Santé et celui-ci bénéficiera d'un plan de test adapté.