Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Pour être conforme à l'exigence ETH.08, il est suffisant que le système offre la possibilité au patient de sélectionner le type de lieu où il se situe lors de la téléconsultation. Cela peut inclure des options comme le domicile, une officine, un EPHAD, ou tout autre lieu approprié. L'exigence ne nécessite pas que le patient fournisse son adresse exacte. L'objectif principal de cette exigence est de garantir que le système permette d'identifier le lieu général de la consultation pour des raisons de traçabilité et de sécurité, sans imposer la saisie d'une adresse précise. 

Par contre, l’exigence ETHT.02 impose que le patient puisse saisir l'adresse précise du lieu de la téléconsultation : « Le Système DOIT afficher une interface de saisie du lieu où se situe le patient (adresse, code postal, géolocalisation, ...)… ».

L'exigence ETH.07.1 « Le Système DOIT permettre au patient lors de la téléconsultation d'accéder aux informations suivantes : la civilité, le titre, le nom, le prénom, la spécialité, le niveau de formation du professionnel de santé à la téléconsultation (formation interne de la société de téléconsultation, formation réalisée par une société savante, formation du Développement Professionnel Continu, formation par une organisation de Formation Médicale Continue, ...) et s'il a un exercice médical en présentiel, l'adresse de son cabinet. » impose que les informations du professionnel médical soient mises à disposition du patient. Si le professionnel médical exerce également en présentiel, l'adresse de son lieu d’exercice doit être accessible au patient. Il est accepté de ne renseigner que la ville ou le code postal du lieu d'exercice.

L’exigence ETH.03 « Le Système DOIT permettre au professionnel de santé d'évaluer la capacité du patient à consentir à l'acte de téléconsultation. ».

Ainsi, le professionnel médical doit s’assurer que le patient dispose d’une capacité de discernement lui permettant d’apprécier que le patient est en capacité de consentir à la téléconsultation. La case à cocher ne suffit pas.

L’exigence ETH.04 « Le Système DOIT permettre au patient de confirmer son libre choix au recours à la téléconsultation. Le recueil de cette information est tracé. ».

Il est rappelé dans les éléments de preuve qu'il faut démontrer que le patient a pu exprimer que la téléconsultation à laquelle il a recours était le résultat de son choix et qu'elle ne lui avait pas été imposée par d'autres personnes ou par des éléments de contexte particuliers (RDV en présentiel plus tardif, RDV avec son professionnel de santé plus tardif, RDV avec un autre professionnel de santé que d'habitude en présentiel, c'est quelqu'un de sa famille qui a pris le RDV, etc.).

Une case à cocher, par exemple, permettrait très facilement de répondre à ce point. Concernant le libre choix de télécharger l'application, il est tout à fait possible de tomber dans les cas qui sont cités dans les éléments de preuves, à savoir qu’un tiers a pu imposer à au patient d'utiliser telle ou telle application.

L’exigence ETH.01 « Le Système DOIT être intuitif, c’est-à-dire simple d’usage pour tous les publics, facilement compréhensible et ne demandant aucune formation particulière » signifie que le SI de TLC doit être aussi intuitif, simple d’usage et facilement compréhensible pour choisir une TLC sans frais supplémentaires que pour choisir une TLC avec frais pour services optionnels. Les parcours patient doivent être dans les deux cas de simplicité comparable, sans favoriser l'accès aux TLC avec frais optionnels.

Pour évaluer cela, on pourrait comparer les navigations conduisant à un RDV de TLC AVEC et SANS frais optionnels pour le même motif de TLC et aux mêmes horaires, en vérifiant que le nombre de clics nécessaires pour un utilisateur sans formation préalable est identique. Lorsqu'une TLC inclut des frais optionnels, le patient doit en être informé avant la présentation du devis. Il ne doit pas découvrir ces frais non remboursables au dernier moment. Le patient doit pouvoir à tout moment choisir une TLC SANS frais optionnels.

En résumé, il est nécessaire d’évaluer sur un panel représentatif des utilisateurs de la plateforme de TLC que les usagers sont bien en capacité d’une part de prendre facilement un RDV de TLC et d’autre part de choisir au moment de la navigation une TLC SANS frais supplémentaires ou AVEC des frais liés aux services optionnels. Le manque de transparence peut engendrer un manque de confiance. Découvrir le devis au dernier moment peut conduire à un renoncement à la TLC et accentuer les inégalités d'accès aux soins.

• IEU 2 : "Le Système DOIT n'autoriser la modification des attributs d'identité d'un Usager qu'avec des informations obtenues par une vérification d'identité aussi fiable que lors de l'enregistrement initial." 
• IEU 7 : "Le Système DOIT supporter le matricule INS comme identifiant d'un Usager." 
• IEU 8 : "Le Système DOIT rechercher le matricule INS de l'Usager lorsque l'identification électronique ne fournit qu'un identifiant privé, par appel du téléservice ou par intégration de l'identité INS en provenance de son domaine d'identification." 

Dans le cas d'une candidature pour un DMN pour lequel l'implémentation de l'Identité Nationale de Santé est non applicable, la conformité aux exigences IEU 2, IEU 7 et IEU 8 n'est pas obligatoire. Ces trois exigences sont donc "Non applicables". En cas de non applicabilité, une déclaration sur l'honneur justifiée devra être fournie à la place de la preuve attendue.

"IEPS 8 - Le Système DOIT garantir l'unicité des identifiants de ses utilisateurs"

Scénario - vérification de l'unicité des identifiants utilisateur : 

1. Création d'un compte utilisateur ; 
2. Création d'un second compte utilisateur avec les mêmes traits d'identité utilisateur afin de déclencher une alerte de risque de doublon ; 
3. Afficher à l'utilisateur, l'alerte de risque de doublon »

Il est accepté de fournir une preuve plus adaptée à votre cas d’usage dès lors qu’elle prouve bien que l’unicité des identifiants utilisateurs est garantie.

A titre d’exemple :

Votre solution propose un numéro d’identification spécifique à votre solution.
Vous êtes conforme à l’exigence si l’attribution de ce numéro d’identification est unique à chaque compte.

Non, l'exigence PGSSI-S IEU 2 n'est pas applicable lorsque la solution est esclave de l'identité.

Il doit être possible de voir la création ou le résultat de la création d’un patient dans la solution avec son identifiant privé et ses 5 attributs. Il doit être possible aussi de visualiser que ce patient est associé à son INS, même si peut être les étapes du scénario de conformité sont faites en même temps.

Il faudrait donc, s’il n’est pas possible de visualiser la création d’un patient via la GAP, avoir le flux de création permettant de créer le patient et celui pour associer l’INS dans la solution (si différent), puis d’avoir une copie écran d’un compte usager associé à son matricule INS.

NB : Attention à ne pas confondre  la création de l'identité (au niveau de la GAP) et la création du compte dans le DMN. Si la solution ne permet pas l'accès à la GAP, cela signifie qu'il ne peut récupérer l'identité.

Comme noté à la page 14 du référentiel 1.2.2 : « Le Référentiel d’Interopérabilité et de Sécurité des Dispositifs Médicaux Numériques (DMN) exige une méthode d’authentification des usagers à 2 facteurs. Le Système doit donc implémenter cette méthode d’authentification (exigence IEU 9.1). » Le développement de la double authentification est donc obligatoire pour un DMN s'il y a un accès patient, et c’est une exigence qui sera vérifiée par l’ANS.

Par contre, il est également indiqué : « Pour tenir compte du cas où l’activation de l’authentification des usagers à 2 facteurs diminue l’usage de la solution et entraîne une perte de chance pour l’usager, le fabricant du DMN peut sous sa responsabilité ne pas activer systématiquement l’authentification à deux facteurs. ». Cela signifie que l’activation du double facteur peut ne pas être systématique pour l’ensemble des patients. Ce point est de la responsabilité de l'entreprise du numérique en santé développant le DMN.

Enfin, il est précisé dans le scénario IEU 9.1 : « L'accès du patient à une interface de déclaration simple dans le cadre d'un parcours de télésurveillance n'est pas soumis à ce scenario de conformité et ne nécessite pas d'authentification à deux facteurs systématique. » . Cela signifie que dans le cadre d’une déclaration simple, c’est-à-dire dans le cas où un patient accède à un simple formulaire de saisie de données (hors du DMN),  il n’est pas soumis au développement du double facteur.