FAQ de l'offre : Conformité (labels, référencements et certifications)

Pour toutes les candidatures enregistrées sur la plateforme Convergence, le point de contact est le référent de votre candidature. Cette personne est disponible pour toute question relative à votre dossier. 

En amont de votre candidature, vous pouvez contacter l'équipe de conformité ANS via le formulaire de contact du Portail Industriels : 

On entend par "correspondant" tout professionnel de santé avec lequel un utilisateur de la solution est susceptible d’interagir. L’utilisateur de la solution se distingue du correspondant par le fait d’avoir un accès à la solution (via une authentification PS avec un MIE, PSC, etc…), contrairement au correspondant.

Pour qu'une solution soit intégralement conforme au référentiel ANN, la création de fiche correspondant doit être effectuée dans l'application à chaque fois qu'un PS est mentionné par un utilisateur, dans un dossier patient ou ailleurs, ou consulté via l'envoi de documents ou d'informations.

Les informations obligatoires du correspondant et la fréquence de rafraichissement de ces informations sont les mêmes que pour l'utilisateur.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

Non, il est simplement nécessaire de fournir un lien permanent vers le test "CI-SIS-CR-CDA-N1-Create_doc-Sc1" pour un type de document géré par la solution.

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé.

En cas de rachat d’un hébergeur ou d’un sous-traitant ultérieur (achat d’un datacenter actuellement détenu par un fonds de pension canadien par un fonds de pension US etc.) que faire ?

La table de correspondance avec SecNumCloud fournie en annexe du référentiel est uniquement fournie à titre indicatif. Elle n’est pas à compléter. 

Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties. 

L’Hébergeur doit renseigner la liste des réglementations extra communautaires auxquelles il est soumis (FISA, Cloud Act, etc.) dans la documentation à fournir à son client.

S’agissant de la transparence (tableau des garanties publiques) il doit indiquer s'il est soumis ou pas un risque d'accès tel qu’évoqué dans la question et citer le pays concerné.

Le rôle de l’organisme certificateur est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer. En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.