FAQ de l'offre : Ségur du numérique en santé

Sur la plateforme Convergence, lors de la phase de candidature administrative, les champs NRU éditeur de logiciel Utilisateur et NRU éditeur de logiciel Proxy e-sante ne sont pas obligatoires. 

Néanmoins, nous vous recommandons vivement de les compléter, car ces informations facilitent le rapprochement des candidatures entre les guichets Ségur et EDC PSC. 

En effet, cela nous assure que vous êtes bien engagés sur l'Espace de Confiance Pro santé Connect en vue de l'obtention de vos habilitations EDC PSC.

Au référencement Ségur, une seule candidature sera attendue au niveau de votre dispositif dans le cas où vous êtes éditeur et opérateur de votre solution candidate.

Par ailleurs, en tant qu'éditeur et opérateur de la solution logicielle, vous devez déposer deux candidatures sur l'Espace de Confiance (EDC) Pro Santé Connect (PSC) accessible via Convergence.

Vous devez candidater au guichet éditeur pour obtenir l’habilitation des composants principaux et du Proxy e-Santé de la solution logicielle pour permettre son référencement. Puis, une fois ces habilitations obtenues, vous pouvez candidater au guichet Opérateur pour obtenir l’habilitation “Opérateur de Service Utilisateur” (composants principaux) et “Opérateur de Proxy e-Santé” (Proxy e-Santé). La réalisation de ces deux étapes est indispensable pour que les clients de la Solution Logicielle bénéficient du financement prévu par le Ségur.

Pour plus de précisions sur le parcours Espaces de Confiance Pro Santé Connect, vous pouvez vous référer au guide d'utilisation EDC PSC

Il est possible de modifier les identifiants déjà associés à une solution, bien que cela ne soit pas nécessaire (l’expiration de la carte CPS n’a aucun impact sur MOTCTO2.

En revanche, si vous souhaitez associer tout de même de nouveaux identifiants à une solution, il vous faudra modifier ceux existants (bouton modifier). Il faudra patienter 24h afin que les nouvelles BAL liées aux nouveaux identifiants soient créées. Les BAL créées avec les anciens identifiants seront supprimées par la suite.

Les deux modes, Communautaire et Confiance, permettent de se connecter via Pro Santé Connect pour utiliser MOTCO 2.

Après certification, le CNDA remet à l’éditeur :

• L'attestation de conformité ;
• La lettre de référencement.

L’éditeur utilise ensuite l’attestation de conformité comme preuve de certification auprès de l’ANS.

Vous trouverez ci-dessous un exemple d'attestation de conformité :

Image

Le référentiel PSC se divise en deux grandes catégories d’espace :

1. L’Espace Communautaire (Communauté PSC) : Cet espace regroupe l’ensemble des fournisseurs de services qui utilisent Pro Santé Connect pour l’authentification des utilisateurs. Les exigences du référentiel Communauté PSC couvrent les aspects liés à l’authentification, à la gestion des utilisateurs, et à la sécurité des échanges d'informations.
2. L’Espace de Confiance (Extension Espace de Confiance PSC) : Ce périmètre étend les exigences du référentiel à ceux qui partagent des données sensibles au sein de l’écosystème de santé via les API Pro Santé Connectées. L’Espace de Confiance garantit des niveaux supplémentaires de sécurité et de conformité pour les services qui traitent des données à caractère personnel dans un cadre de confiance mutuelle.

Pour rejoindre l'Espace de confiance consultez la documentation de référence

Concernant l'authentification du fournisseur de service à Pro Santé Connect, l'accès s'effectue via le Client ID / Client Secret ou en MTLS pour l'Espace Communautaire et obligatoirement en MTLS pour l'Espace de Confiance.

Pour en savoir plus sur l'Espace Communautaire et l'Espace de Confiance, cliquer sur le lien suivant : lien

Le contenu des traces fonctionnelles attendues est défini par l’exigence SC.MSS/CONF.18.
L’objectif est de permettre un suivi des actions significatives réalisées sur les boîtes aux lettres MSSanté, sans conserver l’intégralité des échanges IMAP/SMTP ni le contenu des messages.

Ainsi, pour chaque boîte aux lettres, il est attendu a minima que les traces permettent de connaître :

• l’identifiant de l’auteur de l’action, dûment authentifié ;
• l’horodatage local du poste au moment de l’action ;
• le type d’action réalisée (consultation, envoi, suppression, etc.) ;
• la demande effectuée sur le serveur de messagerie MSSanté ;
• la réponse fournie par le serveur (y compris en cas d’échec).

Le contenu des messages ne doit en aucun cas être tracé. Le choix du niveau de détail des traces et des traitements suivis est laissé à l’appréciation de l’éditeur, dans la mesure où ces traces visent avant tout à le protéger, notamment en cas de requête judiciaire ou d’incident de sécurité. Il est toutefois attendu a minima que les actions d’envoi et de suppression de messages soient tracées.

Concernant la durée de conservation :

• Comme indiqué au §5 du référentiel #2 MSSanté, une durée de conservation de 6 mois est recommandée pour ces traces fonctionnelles.
• Le responsable de traitement (LPS) reste libre de définir la durée exacte de conservation, en fonction de son analyse de risques et de son cadre réglementaire.
• Les traces doivent être soumises aux mêmes mesures de sécurité et de confidentialité que les données MSSanté auxquelles elles se rattachent (mesures organisationnelles, techniques, etc.).

Une fois l'éligibilité d'une solution logicielle validée, 

• un éditeur peut modifier la liste de ses composants additionnels,
• dans la mesure ou le dépôt de preuve n'a pas été initié.

Le CIBA est prévu dans la vague 2 du Ségur en tant que profil optionnel. En cas de client lourd, l'éditeur doit proposer les deux solutions (code flow et CIBA) => SC.PSC.01 et SC.PSC.13. Le profil est obligatoire lorsque l’éditeur a choisi d’implémenter dans sa solution logicielle l’authentification ProSanté Connect par le protocole CIBA (§3.1 du DSR DPI).

Oui, cela est désormais possible. Il faut toutefois disposer des droits de consultation dans Convergence pour accéder au produit. Attention, les tests ne doivent pas être générés simultanément par plusieurs acteurs.

Précisions : il est nécessaire de posséder une carte de test par produit inscris dans MOTCO2.