FAQ de l'offre : Ségur du numérique en santé

La solution doit obtenir l’agrément du CNDA conformément à l'addendum 8 du cahier des charges SESAM-Vitale [APCV1] ​

Toutes les solutions référencées ou candidates au référencement sont affichées sur les sites Industriels et esante avec des données complémentaires : DSR, vague, profils, composants additionnels, etc. Veillez à respecter les jalons indiqués lors du webinaire et sur la page https://industriels.esante.gouv.fr/segur-numerique-sante/vague-1 relative à votre couloir pour pouvoir être référencés avant fin 2024 et permettre à vos clients de percevoir le forfait structure 2024. 

Les éditeurs devront déposer leurs preuves sur le guichet Vague 2 dès qu’il sera ouvert et ils pourront bénéficier du financement SONS Va1+Va2 en cas de référencement, dans les limites d'exclusion précisées dans l'AF Vague 2 ("Eligibilité d’un Client à la Prestation Ségur Vague 1 + Vague 2"). S’ils sont référencés Vague 1, ils ne devront pas redéposer les preuves Vague 1, mais uniquement celles du périmètre Vague 2.

Vous devrez déposer vos preuves produites à partir de la "version candidate" pour chaque exigence du référentiel MDV sans financement.

Si vous étiez en cours de référencement précédemment, alors vous devez candidater et déposer l'ensemble des preuves demandées, produites à partir de la version présentée en Référencement ("version candidate" de la Convention de Référencement)

Oui. Si vous étiez en cours de référencement lors des précédents guichets de référencement MDV sur Wiin.io, notez qu'il n'y a pas de reprise de données entre Wiin.io et Convergence.

Après certification, le CNDA remet à l’éditeur :

• L'attestation de conformité ;
• La lettre de référencement.

L’éditeur utilise ensuite l’attestation de conformité comme preuve de certification auprès de l’ANS.

Vous trouverez ci-dessous un exemple d'attestation de conformité :

Image

L'export des données doit être réalisé sous un format standard, structuré et/ou non structuré, au choix de l’éditeur (ex : HL7 CDA, HL7 FHIR, PDF, DOC, DOCX, XML, etc.), avec une documentation détaillant la procédure à réaliser. La profondeur de l’historique doit être paramétrable dans la procédure. Le format des fichiers mis à disposition doit être lisible, exhaustif, exploitable, et documenté par l’éditeur.

Nous vous invitons à vous référer au DSR de votre couloir au chapitre 3.2.

L’exigence SC.MSS/va1.15 telle que définie historiquement dans le référentiel client de messagerie MSSanté est erronée depuis sa publication. Elle décrit un mécanisme d’accusé de réception non conforme aux normes RFC. Cette anomalie est présente dans les référentiels de la vague 1 et reprise dans certains REM de la vague 2. Sur le terrain, les éditeurs ont majoritairement implémenté les accusés de réception conformément à la norme RFC.

L’exigence SC.MSS/va1.15 évolue pour s'aligner sur le mécanisme DSN normalisé afin de garantir la bonne émission et réception des accusés de réception par les solutions MSSanté.

La nouvelle version de l'exigences est la suivante : 
Le système DOIT permettre de demander un accusé de réception de type DSN lors de l'émission d'un courrier. Lors de l'envoi du message, le paramètre NOTIFY doit être positionné avec les valeurs SUCCESS,FAILURE,DELAY dans la commande SMTP "RCPT TO:"
Le mécanisme DSN est décrit dans la RFC 3461.
Exemple : RCPT TO: <adresse email> NOTIFY=SUCCESS,FAILURE,DELAY

Les nouveaux scénarios et preuves sont également mis à jour : 

Scénario - Accusé de réception par l'opérateur destinataire
Etapes :

1. Préparer un courriel.
2. Choisir l'option qui permet d'avoir un accusé de réception de type DSN.
3. Envoyer le message.

Preuves : 

• Preuve 1 : Produire des copies d’écran : du courriel envoyé afin de valider la preuve.
• Preuve 2 : Produire des copies d’écran : de l’accusé de réception reçu suite à l’envoi du courriel émis.

Conformément aux indications formulées au sein du référentiel Espace de Confiance ProSantéConnect ainsi que du volet CI-SIS relatif aux API ProSantéConnect, une connexion mTLS est exigée entre le proxy e-santé et l'environnement ProSantéConnect. En complément, cette connexion mTLS doit être mise en œuvre dans le cadre d'une authentification OAuth 2.0 et conformément au référentiel RFC 8705. 

En conséquence, il n'est pas nécessaire de mettre en oeuvre l'utilisation d'un "client_secret". Cette indication s'applique également dans le cadre des interactions entre le proxy e-santé et les APIs ProSantéConnect (API PSC DMP notamment). 

Il est important de noter que la ou les clés privées associées au(x) certificat(s) client mis en œuvre dans le cadre de la connexion mTLS mentionnée ci-dessus doivent être archivées au sein d'un keystore sécurisé implémenté directement sur le proxy e-santé.