FAQ de l'offre : Ségur du numérique en santé

Le CIBA est prévu dans la vague 2 du Ségur en tant que profil optionnel. En cas de client lourd, l'éditeur doit proposer les deux solutions (code flow et CIBA) en lien avec les exigences SC.PSC.01 et SC.PSC.13. Le profil est obligatoire lorsque l’éditeur a choisi d’implémenter dans sa solution logicielle l’authentification ProSanté Connect par le protocole CIBA (§3.1 du DSR DPI).

Cette phase a pour finalité d'échanger sur le rapport du test d'intrusion, notamment si des manquements aux règles de sécurité sont détectées. L'auditeur devra communiquer les résultats du test d'intrusion à l'éditeur en clarifiant les points suivants :

• Les détails techniques des vulnérabilités identifiées ;
• L'impact potentiel des non-conformités aux règles de sécurité et le niveau de risque associé ;
• Les solutions concrètes permettant de corriger les potentielles failles ;
• La définition des prochaines étapes (définition d’une date permettant d’évaluer de nouveau les vulnérabilités recensées).

La phase de test implique la réalisation de tests en boîte grise, où l'auditeur dispose d'informations préalables, ainsi que la réalisation de compléments en boîte noire, où l'auditeur agit sans informations préalables dans le but de repérer les failles et d'obtenir une évaluation exhaustive de la sécurité de l'application. Cette phase dure en moyenne 3 à 4 jours.

La clause de revoyure permet d'avoir un engagement de la part de l'auditeur pour tester de nouveau les exigences non validées lors du test d'intrusion et d'effectuer un contre-audit afin de vérifier si les mesures de sécurité nécessaires ont été mises en œuvre.

La phase de rapport consiste à la fourniture par l'auditeur du rapport du test d’intrusion en remplissant et en signant électroniquement le formulaire correspondant. Ce document regroupe l’ensemble des résultats du test d’intrusion ainsi que le référencement de l’application.  

En effet l'appel contextuel à la DRIMbox Consommatrice est fait à partir d'un RIS ou DPI qui doit implémenter l'appel à travers une exigence.

De plus actuellement nous n'autorisons pas le lancement de l'appel Contextuel pour ouvrir la DRIMbox Consommatrice tant qu'il n'y a pas une information et un consentement du patient, pour cette raison, la DRIMbox Consommatrice n'est jamais lancée dans le cas d'une demande de suppression d'habilitation, en conséquence la transaction TD0.3 (Action : Suppression) n'est pas utilisée.

Après échanges avec l’Assurance Maladie, un accord a été donné pour que la DRIMbox Consommatrice ne gère pas la suppression de l’habilitation sur la transaction TD0.3, compte tenu des exigences applicables au RIS et au DPI, qui interdisent tout appel à la DRIMbox lorsque le consentement du patient n’est pas recueilli.

En revanche, le RIS et le DPI doivent prendre en charge l’ensemble des actions (Ajout et Suppression) de la transaction TD0.3 dans le cadre de leur compatibilité DMP.

L’habilitation FranceConnect+ en production est bien ouverte pour les services, avec la possibilité de déclarer l’établissement comme responsable de traitement.

Il est recommandé à l'éditeur de se faire reconnaitre rapidement via le support partenaires FranceConnect pour obtenir une certification éditeur de la solution, cela va permettre ensuite d'accélérer la phase de déploiement et éviter de repasser systématiquement un processus de qualification à chaque déploiement de la solution.

FranceConnect+ est le cadre de référence cible, il est demandé dans le cadre du référencement de passer des scénarios en utilisant le Bac à Sable France Connect+.

Concernant la phase de déploiement, l'éditeur aura le choix de proposer FranceConnect+ ou FranceConnect avec double facteur ou le service d'authentification via l'application Carte Vitale quand il sera disponible, conformément aux éléments rédigés dans la Spécification projet de la visionneuse intégrée aux DRIMbox, il est à noter qu'à ce jour c'est FranceConnect avec double facteur qui est utilisé comme service d'authentification régalien pour Mon espace Santé.

Sur le site Partenaires FranceConnect, le parcours est décrit. Il convient de retenir qu’il existe plusieurs phases structurantes qui doivent être prises en charge par le client.

Parmi celles-ci, la phase de demande d’habilitation est particulièrement importante : elle nécessite de renseigner précisément le cadre juridique ainsi que la répartition des rôles des personnes impliquées, notamment le responsable du traitement des données et le DPO de la structure.

Concernant le responsable technique, il s’agira vraisemblablement de l’éditeur.

Pour conclure, cette phase est essentielle et requiert une forte interaction entre l’éditeur et son client afin d’assurer la complétude du formulaire déclaratif.

Cette exigence a pu donner lieu à des interprétations différentes quant à son périmètre d’application, notamment en ce qui concerne le moment d’affichage et le niveau auquel la confirmation « j’ai compris » doit être demandée.

Cette confirmation est destinée à l’utilisateur (professionnel de santé) et doit être affichée à la première connexion, puis de manière périodique selon une fréquence paramétrable (par exemple tous les 180 jours). Elle n’a pas vocation à être affichée au niveau du patient ou du dossier patient.

• Quel est l’objectif de l’exigence ?

L’exigence SC.DMP/CONF.21 impose que le système informe chaque professionnel de santé (PS) que son RPPS est utilisé pour la traçabilité nationale et pour le contrôle d’accès au DMP/MES. L’objectif est d’assurer la transparence et de sensibiliser les utilisateurs au bon usage du DMP.

• Quelle information doit obligatoirement être affichée ?

Deux textes doivent apparaître :

• Texte d’information générale :
  « Le logiciel peut effectuer des requêtes de recherche de document au nom de l'utilisateur sur les DMP/MES et permet d'en consulter, sur action manuelle, les documents d'intérêt. Ces interactions sont tracées avec l'identifiant national de l'utilisateur et le patient est notifié de ces interactions. »
• Texte du bouton « j’ai compris » :
  « Toute consultation de ma part d'un DMP/MES pour lequel le patient (ou son représentant légal) n'a pas donné son consentement m'expose à des poursuites. »
   
• À quelle fréquence cette information doit-elle être affichée ?

À la première connexion de l’utilisateur après la mise à jour Ségur, puis à intervalle régulier paramétrable (valeur par défaut : 180 jours).

• Cette demande concerne-t-elle chaque patient ?

Non. Le clic « j’ai compris » ne doit pas être demandé pour chaque patient. La validation est réalisée une seule fois par utilisateur, à la fréquence programmée.

• Obligations pour l’éditeur

• Afficher le texte obligatoire sans modification
• Garantir une fréquence paramétrable (défaut : 180 jours)
• Affichage une seule fois par utilisateur, pas par patient