FAQ de l'offre : Ségur du numérique en santé

Dans le cadre du processus d'homologation SEGUR vague 2 associé aux solutions DPI et RIS, un des scénarios de test à dérouler implique l'utilisation du simulateur serveur appel contextuel.

Historiquement, le service "302" exposé par cet outil de test présentait une anomalie, corrigée depuis le 15/10/2025. Ce dysfonctionnement correspondait à l'envoi de réponses HTTP 302 ne mentionnant pas de header "Location".

Une nouvelle version du simulateur, actuellement déployée au sein de la plateforme dédiée au référencement, corrige ce défaut. 

Le référentiel PSC se divise en deux grandes catégories d’espace :

1. L’Espace Communautaire (Communauté PSC) : Cet espace regroupe l’ensemble des fournisseurs de services qui utilisent Pro Santé Connect pour l’authentification des utilisateurs. Les exigences du référentiel Communauté PSC couvrent les aspects liés à l’authentification, à la gestion des utilisateurs, et à la sécurité des échanges d'informations.
2. L’Espace de Confiance (Extension Espace de Confiance PSC) : Ce périmètre étend les exigences du référentiel à ceux qui partagent des données sensibles au sein de l’écosystème de santé via les API Pro Santé Connectées. L’Espace de Confiance garantit des niveaux supplémentaires de sécurité et de conformité pour les services qui traitent des données à caractère personnel dans un cadre de confiance mutuelle.

Pour rejoindre l'Espace de confiance consultez la documentation de référence

Concernant l'authentification du fournisseur de service à Pro Santé Connect, l'accès s'effectue via le Client ID / Client Secret ou en MTLS pour l'Espace Communautaire et obligatoirement en MTLS pour l'Espace de Confiance.

Pour en savoir plus sur l'Espace Communautaire et l'Espace de Confiance, cliquer sur le lien suivant : lien

Le contenu des traces fonctionnelles attendues est défini par l’exigence SC.MSS/CONF.18.
L’objectif est de permettre un suivi des actions significatives réalisées sur les boîtes aux lettres MSSanté, sans conserver l’intégralité des échanges IMAP/SMTP ni le contenu des messages.

Ainsi, pour chaque boîte aux lettres, il est attendu a minima que les traces permettent de connaître :

• l’identifiant de l’auteur de l’action, dûment authentifié ;
• l’horodatage local du poste au moment de l’action ;
• le type d’action réalisée (consultation, envoi, suppression, etc.) ;
• la demande effectuée sur le serveur de messagerie MSSanté ;
• la réponse fournie par le serveur (y compris en cas d’échec).

Le contenu des messages ne doit en aucun cas être tracé. Le choix du niveau de détail des traces et des traitements suivis est laissé à l’appréciation de l’éditeur, dans la mesure où ces traces visent avant tout à le protéger, notamment en cas de requête judiciaire ou d’incident de sécurité. Il est toutefois attendu a minima que les actions d’envoi et de suppression de messages soient tracées.

Concernant la durée de conservation :

• Comme indiqué au §5 du référentiel #2 MSSanté, une durée de conservation de 6 mois est recommandée pour ces traces fonctionnelles.
• Le responsable de traitement (LPS) reste libre de définir la durée exacte de conservation, en fonction de son analyse de risques et de son cadre réglementaire.
• Les traces doivent être soumises aux mêmes mesures de sécurité et de confidentialité que les données MSSanté auxquelles elles se rattachent (mesures organisationnelles, techniques, etc.).

Une fois l'éligibilité d'une solution logicielle validée, 

• un éditeur peut modifier la liste de ses composants additionnels,
• dans la mesure ou le dépôt de preuve n'a pas été initié.

Nous confirmons que l'exigence SC.DMP/CONF.11 est absente du REM.

L'exigence SC.DMP/CONF.21 remplace l'exigence SC.DMP/CONF.11 sur les dispositifs RIS et DRIMbox.

Une action de mise à jour du document DSR est en cours.

Vous trouverez ci-dessous les liens vers les REM :

• RIS : REM – RIS – Vague 2 – version du 27/02/2025 (xlsx)
• DRIMbox : REM – DRIMbox – Vague 2 – version du 27/02/2025 (xlsx)

Oui, vous pouvez engager une démarche d'homologation DMP au CNDA dès lors que vous disposez déjà des prérequis de maturité technique dans l'Espace de Confiance (EDC) Pro Santé Connect (PSC).

Oui, MOTCO 2 est un outil de test accessible via ce lien.

L'environnement reste accessible même après le référencement de votre solution et peut être utilisé en tant que "bac-à-sable" pour vos tests.

Non, l'environnement est isolé techniquement et ne permet pas ce type de test.

Oui la date d'expiration de la carte et la version des cartes CPx n'ont pas d'impact pour la réalisation des tests.

Non, la version n’a pas d’importance. Les tests peuvent être réalisés indifféremment avec une CPS v3 ou v4.