FAQ de l'offre : Conformité (labels, référencements et certifications)

Pour rappel, les exigences ETH.13 et ETH.14 sont les suivantes : "S’il existe un lien d’intérêt entre la société éditrice du système et des acteurs de l’écosystème de la santé, le système doit garantir, d’une part, la bonne compréhension de ce lien par le professionnel de santé utilisateur et, d’autre part, l’information et la bonne compréhension du patient." 

Le lien d’intérêt désigne l’ensemble des relations ou intérêts, directs ou indirects, actuels ou passés, qu’une société peut entretenir avec un tiers, dès lors que ces relations sont en lien avec l’objet de son activité. Dans le cadre d’un système de téléconsultation, cela concerne notamment les partenariats entretenus avec des établissements de santé, mutuelles, laboratoires, entreprises technologiques, prestataires techniques, éditeurs de logiciels ou tout autre acteur économique. L’objectif de ces exigences est d’assurer une transparence totale sur les partenariats et liens d'intérêt susceptibles d’influencer l’usage du système ou les décisions de prise en charge, afin de prévenir tout risque de conflit d’intérêts et de maintenir la confiance des professionnels de santé et des patients. 

Pour répondre à ces exigences, il est attendu de la société éditrice qu’elle mette à disposition des documents clairs, accessibles et explicites décrivant l’ensemble des liens d’intérêt existants, en précisant la nature des relations, qu’elles soient contractuelles, financières, techniques ou stratégiques, sans ambiguïté. Ces informations doivent permettre au professionnel de santé de comprendre précisément le cadre de ces relations et au patient d’être correctement informé de leur existence et de leur nature. Elles doivent figurer dans des documents officiels tels que les Conditions Générales d’Utilisation, la politique de confidentialité ou tout autre support contractuel mis à disposition des utilisateurs, et être tenues à jour.

Pour rappel l’exigence ETH.26 est la suivante : "Si les données recueillies avant, pendant, après la téléconsultation sont partagées avec d'autres acteurs, notamment des sous-traitants, ALORS le Système DOIT garantir la bonne compréhension par le patient de l’existence de ce partage et de sa finalité." 

Pour répondre à l’exigence ETH.26, l’information relative au partage des données du patient doit être formulée de manière claire, explicite et accessible. Le patient doit comprendre que ses données peuvent être partagées, avec quels acteurs ou sous-traitants, et dans quel objectif précis (hébergement, maintenance technique, analyse statistique, etc.). 

Les destinataires des données doivent être clairement identifiés, au moyen d’une liste transparente et facilement accessible, intégrée notamment dans la politique de confidentialité, les Conditions Générales d’Utilisation ou tout autre document porté à la connaissance du patient. 

En complément, le système doit prévoir un mécanisme de reconnaissance explicite attestant que le patient a pris connaissance de cette information et la comprend (case à cocher, formulaire de consentement, ou dispositif équivalent), afin d’en garantir la traçabilité et de permettre au patient d’exercer pleinement ses droits en matière de protection des données.

Pour rappel, l'exigence EPRESC.01 est que : "Le système DOIT gérer la ePrescription conformément à la spécification ePrescription unifiée (Package Ordonnance numérique [ORD1])." 

La preuve attendue est la fourniture de l'autorisation d'accès au téléservice ePrescription unifiée. L'ENS doit, pour cela, contacter le CNDA au plus vite afin d'obtenir la contractualisation à l'homologations Ordonnance numérique.

Consultez la page d’accompagnement à la contractualisation

Il est important de sélectionner le type d'établissement "société de téléconsultation".

Les preuves permettant une illustration non opérationnelle (maquette, capture d'un prototype, schéma…) ne sont pas acceptées dans le cadre de la certification de conformité au référentiel d’interopérabilité, de sécurité et d’éthique des SI de téléconsultation. Seules les preuves démontrant la conformité de la version de l'environnement de recette de la solution sont recevables. 

Nous vous rappelons l’obligation de déployer la version de la solution ayant reçu la certification de conformité du jalon en cours auprès des utilisateurs. L’utilisation d’une version non certifiée est susceptible d’entraîner des non-conformités et des risques pouvant impacter la sécurité et la qualité des services. Il est donc essentiel de veiller à l’implémentation et au maintien strict de la version validée afin de garantir la conformité aux exigences applicables.

L'exigence IEPS.08 "SI le Système propose son propre dispositif d'authentification ET SI il autorise une identification électronique à un seul facteur succédant à une identification électronique à deux facteurs, ALORS le Système DOIT imposer un délai maximal paramétrable entre ces deux identifications électroniques et vérifier que le simple facteur utilisé fait partie du dispositif d'authentification à deux facteurs utilisé initialement." est considérée "Non Applicable" dans le cas où votre système propose exclusivement l'authentification à deux facteurs (2FA). Une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve. Cette déclaration doit préciser que le système ne permet à aucun moment l’utilisation d’un seul facteur d’authentification après une authentification à deux facteurs.

L'expression fait référence aux cas où le système intègre un mécanisme d'authentification interne propre à la plateforme permettant aux utilisateurs professionnels de santé de s’identifier (exemple : identification par login / mot de passe). Dans ce cas, les exigences IEPS 05, IEPS 06 et IEPS 08 sont applicables. 

Si l’éditeur ne gère pas lui-même l’authentification et utilise uniquement un service externe ou une fédération d’identité (exemples : Pro Santé Connect, FranceConnect…), alors le système ne met pas en œuvre son "propre dispositif d’authentification". Dans ce cas, les exigences IEPS.05, IEPS.06 et IEPS.08 sont "Non Applicables". Une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve.

Non, vous n'êtes pas éligible à la certification de conformité au référentiel d'interopérabilité, de sécurité et d'éthique des SI de téléconsultation. Il est néanmoins exigé à minima de se tenir conforme aux référentiels INS et PGSSI-S de la doctrine du numérique en Santé. 

Pour plus d'informations, consultez notre page dédiée à la Doctrine du numérique en santé.

L'ensemble des preuves à soumettre pour démontrer la conformité à la section MSS doit impérativement provenir de la solution candidate elle-même. Exception faite des preuves MSS.02, MSS.17 & MSS.27 : les lignes de codes peuvent être reprises de l'éditeur de la solution tierce. Les identifiants des traces et des logs (…) produits lors de la validation de la conformité au référentiel socle MSSanté #2 doivent être ceux de la solution candidate au référencement TLC.

L’exigence MSS.02 est la suivante : "Le client de messageries MSSanté du Système DOIT vérifier que le certificat présenté par l’opérateur MSSanté n’est pas expiré, "conformément au référentiel socle MSSanté #2 (Clients de Messageries Sécurisées de Santé) [MSS1]." 

Pour répondre à l’exigence MSS.02, le candidat peut transmettre l’identifiant d’exécution du cas de test réalisé dans le cadre de l’exigence MSS.10.

L’exigence ETH.33 « Le Système DOIT intégrer dans son cycle de vie une démarche globale de développement durable. » concerne la société de TLC au sens large alors que l’exigence ETH.34 « Le Système DOIT mettre en œuvre des pratiques d'écoconception afin de réduire l’impact environnemental du service. » concerne le logiciel.

Au sujet de la démarche globale, il est attendu de prouver l’engagement de la société dans sa préoccupation au sujet de l’impact environnemental du numérique de la TLC. Vous devez démontrer une démarche d’évaluation, par exemple avoir un écolabel par un organisme indépendant, faire une autoévaluation, fournir un rapport annuel RSE avec description des activités, transmettre le pourcentage de salariés formés à l’écoconception. 

L’écoconception concerne la façon de coder le SI. 

Dans les deux cas, l’objectif est de réduire votre impact environnemental.