FAQ de l'offre : Ségur du numérique en santé

Au référencement Ségur, une seule candidature sera attendue au niveau de votre dispositif dans le cas où vous êtes éditeur et opérateur de votre solution candidate.

Par ailleurs, en tant qu'éditeur et opérateur de la solution logicielle, vous devez déposer deux candidatures sur l'Espace de Confiance (EDC) Pro Santé Connect (PSC) accessible via Convergence.

Vous devez candidater au guichet éditeur pour obtenir l’habilitation des composants principaux et du Proxy e-Santé de la solution logicielle pour permettre son référencement. Puis, une fois ces habilitations obtenues, vous pouvez candidater au guichet Opérateur pour obtenir l’habilitation “Opérateur de Service Utilisateur” (composants principaux) et “Opérateur de Proxy e-Santé” (Proxy e-Santé). La réalisation de ces deux étapes est indispensable pour que les clients de la Solution Logicielle bénéficient du financement prévu par le Ségur.

Pour plus de précisions sur le parcours Espaces de Confiance Pro Santé Connect, vous pouvez vous référer au guide d'utilisation EDC PSC

Il est possible de modifier les identifiants déjà associés à une solution, bien que cela ne soit pas nécessaire (l’expiration de la carte CPS n’a aucun impact sur MOTCTO2.

En revanche, si vous souhaitez associer tout de même de nouveaux identifiants à une solution, il vous faudra modifier ceux existants (bouton modifier). Il faudra patienter 24h afin que les nouvelles BAL liées aux nouveaux identifiants soient créées. Les BAL créées avec les anciens identifiants seront supprimées par la suite.

Les deux modes, Communautaire et Confiance, permettent de se connecter via Pro Santé Connect pour utiliser MOTCO 2.

Dans le cadre du processus d'homologation SEGUR vague 2 associé aux solutions DPI et RIS, un des scénarios de test à dérouler implique l'utilisation du simulateur serveur appel contextuel.

Historiquement, le service "302" exposé par cet outil de test présentait une anomalie, corrigée depuis le 15/10/2025. Ce dysfonctionnement correspondait à l'envoi de réponses HTTP 302 ne mentionnant pas de header "Location".

Une nouvelle version du simulateur, actuellement déployée au sein de la plateforme dédiée au référencement, corrige ce défaut. 

Après certification, le CNDA remet à l’éditeur :

• L'attestation de conformité ;
• La lettre de référencement.

L’éditeur utilise ensuite l’attestation de conformité comme preuve de certification auprès de l’ANS.

Vous trouverez ci-dessous un exemple d'attestation de conformité :

Image

Le référentiel PSC se divise en deux grandes catégories d’espace :

1. L’Espace Communautaire (Communauté PSC) : Cet espace regroupe l’ensemble des fournisseurs de services qui utilisent Pro Santé Connect pour l’authentification des utilisateurs. Les exigences du référentiel Communauté PSC couvrent les aspects liés à l’authentification, à la gestion des utilisateurs, et à la sécurité des échanges d'informations.
2. L’Espace de Confiance (Extension Espace de Confiance PSC) : Ce périmètre étend les exigences du référentiel à ceux qui partagent des données sensibles au sein de l’écosystème de santé via les API Pro Santé Connectées. L’Espace de Confiance garantit des niveaux supplémentaires de sécurité et de conformité pour les services qui traitent des données à caractère personnel dans un cadre de confiance mutuelle.

Pour rejoindre l'Espace de confiance consultez la documentation de référence

Concernant l'authentification du fournisseur de service à Pro Santé Connect, l'accès s'effectue via le Client ID / Client Secret ou en MTLS pour l'Espace Communautaire et obligatoirement en MTLS pour l'Espace de Confiance.

Pour en savoir plus sur l'Espace Communautaire et l'Espace de Confiance, cliquer sur le lien suivant : lien

Le contenu des traces fonctionnelles attendues est défini par l’exigence SC.MSS/CONF.18.
L’objectif est de permettre un suivi des actions significatives réalisées sur les boîtes aux lettres MSSanté, sans conserver l’intégralité des échanges IMAP/SMTP ni le contenu des messages.

Ainsi, pour chaque boîte aux lettres, il est attendu a minima que les traces permettent de connaître :

• l’identifiant de l’auteur de l’action, dûment authentifié ;
• l’horodatage local du poste au moment de l’action ;
• le type d’action réalisée (consultation, envoi, suppression, etc.) ;
• la demande effectuée sur le serveur de messagerie MSSanté ;
• la réponse fournie par le serveur (y compris en cas d’échec).

Le contenu des messages ne doit en aucun cas être tracé. Le choix du niveau de détail des traces et des traitements suivis est laissé à l’appréciation de l’éditeur, dans la mesure où ces traces visent avant tout à le protéger, notamment en cas de requête judiciaire ou d’incident de sécurité. Il est toutefois attendu a minima que les actions d’envoi et de suppression de messages soient tracées.

Concernant la durée de conservation :

• Comme indiqué au §5 du référentiel #2 MSSanté, une durée de conservation de 6 mois est recommandée pour ces traces fonctionnelles.
• Le responsable de traitement (LPS) reste libre de définir la durée exacte de conservation, en fonction de son analyse de risques et de son cadre réglementaire.
• Les traces doivent être soumises aux mêmes mesures de sécurité et de confidentialité que les données MSSanté auxquelles elles se rattachent (mesures organisationnelles, techniques, etc.).

Une fois l'éligibilité d'une solution logicielle validée, 

• un éditeur peut modifier la liste de ses composants additionnels,
• dans la mesure ou le dépôt de preuve n'a pas été initié.

Le CIBA est prévu dans la vague 2 du Ségur en tant que profil optionnel. En cas de client lourd, l'éditeur doit proposer les deux solutions (code flow et CIBA) => SC.PSC.01 et SC.PSC.13. Le profil est obligatoire lorsque l’éditeur a choisi d’implémenter dans sa solution logicielle l’authentification ProSanté Connect par le protocole CIBA (§3.1 du DSR DPI).

Nous confirmons que l'exigence SC.DMP/CONF.11 est absente du REM.

L'exigence SC.DMP/CONF.21 remplace l'exigence SC.DMP/CONF.11 sur les dispositifs RIS et DRIMbox.

Une action de mise à jour du document DSR est en cours.

Vous trouverez ci-dessous les liens vers les REM :

• RIS : REM – RIS – Vague 2 – version du 27/02/2025 (xlsx)
• DRIMbox : REM – DRIMbox – Vague 2 – version du 27/02/2025 (xlsx)