FAQ de l'offre : Ségur du numérique en santé

L’API LPS DUI est une interface de messagerie basée sur le standard SMTP imposée à tous les opérateurs de MSSanté.

Tout éditeur de client/brique de messagerie MSSanté pourra s’interfacer à n’importe quel opérateur MSSanté du moment que l’éditeur présente l’API LPS/DUI.

Cependant, l’utilisation d’interfaces propriétaires est toujours autorisée.
 

Un opérateur MSSanté est une personne physique ou morale qui développe et fournit un service de Messageries Sécurisées de Santé au profit d’utilisateurs finaux.

L’opérateur professionnels fournit un service MSSanté à des professionnels habilités. Les opérateurs professionnels sont notamment un établissement de santé ou plus largement toute structure de soins, un groupement de coopération sanitaire, un industriel etc...

Les éditeurs de logiciel MSSanté correspondent aux éditeurs de clients de messagerie MSSanté qui développent des logiciels en capacité d’envoyer ou de recevoir des courriels, en se connectant à un Opérateur MSSanté, pour le compte d’un professionnel habilité.

Le terme « Connecteur MSSanté » correspond à l’ensemble des équipements qui concourent à l’interconnexion à l’espace de confiance MSSanté. Les opérateurs de messagerie sont tenus d’utiliser une solution technique de « Connecteur MSSanté » afin de pouvoir se raccorder techniquement à l’espace de confiance MSSanté. Un Connecteur MSSanté d’un opérateur communique uniquement avec un autre Connecteur MSSanté d’un autre opérateur.
 

Il est possible d'envoyer tout type de format de documents, structurés ou non. Il est donc possible d'envoyer des comptes rendus médicaux au format PDF, par exemple.

Le CR au format PDF permet une prise de connaissance facile par le professionnel quel que soit le contexte d’accès au message : logiciel métier, webmail, application mobile.

Le CR en format structuré (IHE_XDM.Zip) contient les mêmes informations que le format PDF, mais il ne peut être consulté que depuis un logiciel métier compatible. Le contenu de l’archive zip ne peut être consultée autrement.

Le format structuré permet une meilleure intégration des données dans les différents logiciels métier.

Pour plus d'informations, se référer au Guide de Normalisation des échanges, disponible au lien suivant : https://mssante.fr/is/doc-technique.
 

L’arrêté du 18 mars 2024 prévoyait la réalisation d’un exercice de crise en 2023 ou 2024 par tous les établissements du candidat (au sens FINESS PMSI). Désormais, pour valider l’"objectif D1.O3 – Se préparer au risque cyber de l’appel à financement", cet exercice de crise cyber doit être réalisé entre le 1er janvier 2023 et la date de dépôt de la déclaration d’atteinte des objectifs par l’établissement sur le guichet dédié (nouvelle date limite de dépôt au 30 juin 2025).

Pour que cet exercice rentre dans le périmètre des dépenses éligibles, il doit être réalisé entre le 22 mars 2024 et le dépôt de déclaration d’atteinte des objectifs, au plus tard le 30 juin 2025.

Dans le cas où l'établissement de santé a réalisé 2 ou 3 exercices, il choisit celui qu'il veut déclarer. La part de l'exercice financée par l'ARS ne peut pas faire l'objet d'un financement du Domaine (double financement).

L’exercice doit avoir été réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) : au niveau des EJ pour les établissements publics et au niveau des Entité Géographiques (EG) pour les établissements privés lucratifs et non lucratifs. Il est toutefois possible qu’un exercice réalisé au niveau d'un GHT impliquant plusieurs EJ puisse valider cet objectif, à condition que les directions des EJ concernées aient été impliquées dans cet exercice et que le SI de ces EJ soit unique. Le même principe s’applique pour la réalisation d’un exercice au niveau d’un EJ : les directions des EG concernées doivent avoir été impliquées dans cet exercice et le SI de ces EG doit être unique.

Il est attendu une première réalisation concrète au bout de 18 mois après le dépôt d’atteinte des objectifs avec des premières actions de convergence mises en œuvre.

Quelques exemples de 1ères réalisations concrètes (jalon à 18 mois après le dépôt d’atteinte des objectifs) : mise en place d'une infrastructure commune pour deux domaines AD, migration de certains services ou utilisateurs vers une nouvelle infrastructure AD commune, création d'une stratégie de gestion des identités et des accès unifiés pour les domaines concernés.

La méthodologie de calcul est explicitée dans le guide des prérequis et des objectifs publié sur le portail esante.gouv.fr de l'Agence Numérique en Santé.

Elle s'appuie notamment sur la Note d’information n° DGOS/PF2/2019/207 du 26 septembre 2019 relative à la définition et au suivi des ressources et des charges des systèmes d’information hospitaliers. Cette note s'applique également aux établissements privés.​

​Dans les 1.7% du budget numérique des établissements de santé, la rémunération des personnels (annexe c) n'est pas prise en compte. Afin de pouvoir comparer le budget déclaré par les candidats dans l’objectif 5 à ces 1.7%, les salaires ne sont pas à intégrer au calcul du budget dédié au numérique dans l’objectif D1-O5.​

​Dans la même logique, le montant des subventions CaRE doit être traité de la même façon que les autres subventions (et donc a priori pas déduite du montant du budget calculé).​

Pour que l'établissement de santé puisse déclarer dans l'état financier les frais associés à un exercice, il est impératif que celui-ci ait été réalisé entre la date de publication de l'arrêté (22/03/2024) et le dépôt de déclaration d’atteinte des objectifs, au plus tard le 30 juin 2025.

Dans le cas où l'établissement a reçu un financement pour un exercice réalisé en 2023, il est possible de déclarer l'exercice de 2024 ou 2025 pour valider l'objectif.

Les exercices de crise sont effectivement à inscrire dans une démarche annuelle (cf. instruction cyber établissements de santé publiée au Bulletin Officiel du 17 février 2025) : https://sante.gouv.fr/fichiers/bo/2025/2025.3.sante.pdf#page=5).

Concernant le Domaine "Annuaires techniques et exposition sur internet" et l'objectif D1.O3, un premier exercice de crise cyber doit être réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) entre le 1er janvier 2023 et la date de dépôt de la déclaration d’atteinte des objectifs par l’établissement sur le guichet dédié. ​

L'établissement est libre de choisir et de contractualiser avec un industriel qui propose une solution respectant le cahier des charges "Audit exposition sur internet".