FAQ de l'offre : Ségur du numérique en santé

La vague 2 du Ségur n'exige qu'une compatibilité générique avec le standard OIDC et le flux Authentication Code Flow. Les éditeurs sont libres de faire les choix de paramétrage qui leur conviennent du moment qu'ils s'inscrivent dans le cadre du standard. Le financement de connecteurs OIDC spécifiques à certains établissements n'est pas compris dans le Ségur. Il fera l'objet d'une contractualisation directement avec les établissements en ayant besoin.

Le référentiel d'identification électronique annule et remplace au 1er juin 2022 trois référentiels de la PGSSI-S :

• Le référentiel d’identification des acteurs sanitaires et médico-sociaux v1.0 ;
• Le référentiel d’authentification des acteurs de santé v2.0;
• Le référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé v2.0.

Les exigences découlent du référentiel d’identification électronique qui a été rendu opposable par arrêté ministériel conformément au code de la santé publique, Art. L. 1470-1. à Art. L. 1470-6 (arrêté du 28 mars 2022). Il fait partie de la Politique Générale de Sécurité des Systèmes d’Information en Santé (PGSSI-S).
Le respect du référentiel d'identification électronique engage dès lors la responsabilité des responsables de traitement assujettis à ce référentiel. En particulier, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut diligenter des audits et sanctionner les établissements pour un défaut d'application du référentiel d'identification électronique.

Les différents volets du référentiel d'identification électronique peuvent être récupérés sur le site de publication de la PGSSI-S par l'ANS.

Les preuves requises consistent en des captures d'écran ou des séquences vidéo illustrant les mesures de gestion des comptes d'utilisateurs, la connexion et la déconnexion au système.

La solution doit permettre de respecter les exigences en termes de complexité des mots de passe attendues dans les exigences et cela doit être paramétré ainsi dans la configuration par défaut.

En revanche, il n’est pas interdit qu’un paramétrage plus permissif soit possible (par exemple le produit n’est pas nécessairement commercialisé qu’en France). C’est alors de la responsabilité de l’établissement de santé si celui-ci fait volontairement baisser la complexité du mot de passe. L’éditeur ne saurait être tenu pour responsable dans ce cas.

Il sera demandé d'envoyer votre dossier de preuves en amont. Cet envoi sera suivi d’une visite sur site afin de vérifier certaines exigences. La procédure est semblable à celle du CNDA.

Pour rappel, l’établissement ou professionnel de santé ne peut bénéficier que d'une seule prestation Ségur financée par l'Etat par dispositif SONS. Si le PS/ES souhaite changer de solution logicielle après la signature du bon de commande, il doit s'accorder avec l'éditeur dont le bon de commande a été validé par l'ASP afin d'en demander l'annulation. Si cet éditeur avait perçu l'avance, il recevra un ordre de recouvrement de l'ASP pour la rembourser. A l'issue de l'annulation par l'ASP, un nouveau bon de commande pourra être traité. Dans tous les cas, cette nouvelle demande devra respecter la date de fin de dépôt des demandes d'avance.

La liste des éléments et mentions obligatoires à faire figurer dans la facture sont détaillés au chapitre 12 du document "SONS-Modeles_de_documents-BDC-MOM-VA.pdf" disponible en cliquant ici

Vous devez faire un groupement d'éditeurs pour répondre à tout le périmètre des exigences, il faut cocher "OUI".

A noter qu'un composant additionnel ne doit pas faire l’objet d’un coût supplémentaire pour le client. 

Oui, dans le cas où un éditeur commercialise plusieurs solutions logicielles couvrant des périmètres fonctionnels relatifs aux DSR, il peut solliciter des référencements pour chacune de ces solutions logicielles en déposant autant de candidatures que de solutions  logicelles à référencer.

Une solution logicielle est constituée d’un Composant principal, d’un Composant Proxy esanté, et éventuellement complété d’un ou plusieurs Composants additionnels intégrés dans une version majeure identifiée et référencée par l’ANS. Au sein du présent document, sauf mention spécifique, le terme Solution logicielle désigne donc l’ensemble constitué du Composant principal, du Composant Proxy e-santé, et du ou des éventuels Composants additionnels.