FAQ de l'offre : Conformité (labels, référencements et certifications)

L'exigence IEPS.08 "SI le Système propose son propre dispositif d'authentification ET SI il autorise une identification électronique à un seul facteur succédant à une identification électronique à deux facteurs, ALORS le Système DOIT imposer un délai maximal paramétrable entre ces deux identifications électroniques et vérifier que le simple facteur utilisé fait partie du dispositif d'authentification à deux facteurs utilisé initialement." est considérée "Non Applicable" dans le cas où votre système propose exclusivement l'authentification à deux facteurs (2FA). Une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve. Cette déclaration doit préciser que le système ne permet à aucun moment l’utilisation d’un seul facteur d’authentification après une authentification à deux facteurs.

L'expression fait référence aux cas où le système intègre un mécanisme d'authentification interne propre à la plateforme permettant aux utilisateurs professionnels de santé de s’identifier (exemple : identification par login / mot de passe). Dans ce cas, les exigences IEPS 05, IEPS 06 et IEPS 08 sont applicables. 

Si l’éditeur ne gère pas lui-même l’authentification et utilise uniquement un service externe ou une fédération d’identité (exemples : Pro Santé Connect, FranceConnect…), alors le système ne met pas en œuvre son "propre dispositif d’authentification". Dans ce cas, les exigences IEPS.05, IEPS.06 et IEPS.08 sont "Non Applicables". Une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve.

Tous les exploitants de dispositifs médicaux numériques (DMN) qui souhaitent réaliser une demande d’inscription à la LATM (Liste des Activités de Télésurveillance Médicale) ou la LPPR (Liste des Produits et Prestations Remboursables) pour une prise en charge ou un remboursement par l’Assurance Maladie sont concernés par la certification. Des dispositifs de remboursement temporaires sont disponibles, avec la prise en charge anticipée ou bien la prise en charge transitoire.

Nous vous invitons à consulter le périmètre d'application du référentiel sur notre page dédiée : 

Dans le cas contraire, il n'est pas nécessaire de candidater à la certification. Il est néanmoins exigé à minima de se tenir conforme aux référentiels INS et PGSSI-S de la doctrine du numérique en Santé.

Pour plus d'informations, consultez notre page dédiée à la Doctrine du numérique en santé.

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

Oui, le référencement des DMN est aussi ouvert aux exploitants étrangers (à condition qu'ils soient bien concernés par le périmètre d'application et qu'ils soient en mesure de répondre aux exigences du référentiel). Si une entreprise étrangère ne possède pas de SIREN, elle doit fournir le n° de TVA intracommunautaire.

Dans le cas général, la certification de conformité au référentiel d'interopérabilité et de sécurité des DMN est établie pour les logiciels pères. Un certificat de conformité est attribué, non pas au distributeur qui utilise le DMN en marque blanche, mais bien à l'ENS qui le développe.

Pour plus de précisions, nous vous invitons à nous fournir de plus amples informations via le formulaire du portail industriels.

Les DMN déjà remboursés et inscrits sur la LPPR sont soumis à la certification de conformité au référentiel d'interopérabilité et de sécurité des dispositifs médicaux numériques pour le 1er janvier 2024. 

Un composant additionnel est par exemple une plateforme d'intermédiation qui permettrait la gestion des téléservices de l’Assurance Maladie : INSi, DMP, Messagerie sécurisée de santé, et développée par un sous-traitant. Un composant additionnel doit être déclaré lors de la candidature s'il permet à l'exploitant du DMN de répondre à certaines exigences du référentiel. Les modules de type téléconsultation ou prise de rendez-vous peuvent être précisés s'ils permettent de répondre aux exigences du référentiel.