Vous pouvez effectuer votre recherche en saisissant un mot-clé ou en activant les filtres proposés.
🔎N'oubliez pas de sélectionner une offre avant de pouvoir filtrer votre recherche par produit.
299 questions / réponses
299 questions / réponses
Cette exigence a pu donner lieu à des interprétations différentes quant à son périmètre d’application, notamment en ce qui concerne le moment d’affichage et le niveau auquel la confirmation « j’ai compris » doit être demandée.
Cette confirmation est destinée à l’utilisateur (professionnel de santé) et doit être affichée à la première connexion, puis de manière périodique selon une fréquence paramétrable (par exemple tous les 180 jours). Elle n’a pas vocation à être affichée au niveau du patient ou du dossier patient.
- Quel est l’objectif de l’exigence ?
L’exigence SC.DMP/CONF.21 impose que le système informe chaque professionnel de santé (PS) que son RPPS est utilisé pour la traçabilité nationale et pour le contrôle d’accès au DMP/MES. L’objectif est d’assurer la transparence et de sensibiliser les utilisateurs au bon usage du DMP.
- Quelle information doit obligatoirement être affichée ?
Deux textes doivent apparaître :
- Texte d’information générale :
« Le logiciel peut effectuer des requêtes de recherche de document au nom de l'utilisateur sur les DMP/MES et permet d'en consulter, sur action manuelle, les documents d'intérêt. Ces interactions sont tracées avec l'identifiant national de l'utilisateur et le patient est notifié de ces interactions. » - Texte du bouton « j’ai compris » :
« Toute consultation de ma part d'un DMP/MES pour lequel le patient (ou son représentant légal) n'a pas donné son consentement m'expose à des poursuites. »
- À quelle fréquence cette information doit-elle être affichée ?
À la première connexion de l’utilisateur après la mise à jour Ségur, puis à intervalle régulier paramétrable (valeur par défaut : 180 jours).
- Cette demande concerne-t-elle chaque patient ?
Non. Le clic « j’ai compris » ne doit pas être demandé pour chaque patient. La validation est réalisée une seule fois par utilisateur, à la fréquence programmée.
- Obligations pour l’éditeur
• Afficher le texte obligatoire sans modification
• Garantir une fréquence paramétrable (défaut : 180 jours)
• Affichage une seule fois par utilisateur, pas par patient
Cette réponse vous a-t-elle été utile ?
La dernière version de ce document est disponible sur la page dédiée du dispositif concerné ainsi que via son lien de téléchargement direct :
La date de la version publiée est par ailleurs indiquée sur le lien de téléchargement du document.
Pour votre information, voici un historique des versions publiées :
| Date | Notes de mises à jour |
|---|---|
| 27/02/2025 | Version initiale |
| 10/12/2025 | Exigence concernée : SSI/IAM.92
Preuve concernée : DB.SO.165.01.01
Exigence concernée : DB.CO.131
Exigence concernée : SC.SSI/IE.39
Exigence concernée : DB.SO.141
Exigences concernées : DB.SO.34, DB.SO.106 et DB.VI-SO.116
Preuve concernée : PSC.08.01.01
Scénario concerné : INS/va1.72.01
Scénario concerné : INS/va1.36.01
Autres :
|
Cette réponse vous a-t-elle été utile ?
Les liens sont disponibles pour téléchargement sur Convergence dans les éditos associés aux scénarios IA.83.01 et IAM.80.01
Cette réponse vous a-t-elle été utile ?
Les preuves sont analysées une fois que l'ensemble du chapitre est complet et soumis.
Cette réponse vous a-t-elle été utile ?
Cette exigence est présente dans le REM DPI avec le "profil CIBA". Il convient de bien sélectionner ce profil au niveau de votre formulaire d'éligibilité pour la voir dans l'espace de preuves.
Cette réponse vous a-t-elle été utile ?
L’exigence SSI/IE.31 porte sur la vérification des coordonnées utilisées pour l'authentification lors de la création du compte ou la modification d'une coordonnée, que ce soit par un administrateur pour un tiers ou par l'utilisateur de son propre chef.
A noter que dans le cas où un administrateur crée ou modifie un compte pour un tiers, cette mécanique de vérification des coordonnées mail et téléphone pour cet utilisateur tiers permet aussi de s’assurer que la personne concernée est consentante et qu'il n'y a pas eu d'erreur dans la saisie des coordonnées, ce qui est d'autant plus probable dans ce cas.
Cette réponse vous a-t-elle été utile ?
La définition du périmètre des tests d’intrusion relève de la responsabilité de l’éditeur, en fonction des cas d’usage et de l’architecture de la solution. Le processus générique est le suivant :
- L'éditeur prend connaissance du périmètre du REM et candidate pour une solution dont il donne le nom et la version.
- L’éditeur a la responsabilité de présenter à l’auditeur le périmètre concerné par le test d’intrusion, en s’appuyant sur sa connaissance de la solution et en se portant garant de la justification apportée.
- L'auditeur doit mentionner dans le rapport de pentest le nom/version de l'application concernée.
- Le guichet conformité vérifie que le nom et la version de l’application concernée correspondent à ceux déclarés par l'éditeur, et que le rapport est conforme aux exigences.
Cette réponse vous a-t-elle été utile ?
Oui, il est possible de combiner certains critères, selon leur pertinence. Il n’est pas obligatoire de pouvoir interroger individuellement tous les critères listés dans l’exigence.
Cette réponse vous a-t-elle été utile ?
La spécification projet DRIMBox mentionne un ensemble de traces d'audit devant être collectées par les solutions DRIMBox lorsque celles-ci sont impliqués dans une action d'alimentation et/ou de consultation. Cependant, certains cas d'erreur peuvent empêcher ladite action d'aller à son terme et l'intégralité des champs relatifs à la trace d'audit associée peuvent ne pas être connus.
Par exemple, la section 4.5.12.3 de la spécification projet DRIMBox définit une trace d'audit à générer par la fonction source d'une solution DRIMBox lorsque celle-ci réceptionne et traite une requête WADO-RS ciblant la récupération d'images médicales. Cette trace d'audit comporte un champ "UserID" censé contenir l'identifiant RPPS du professionnel à l'origine de la demande d'accès aux images. Cette information ne peut être connue de la DRIMBox qu'après la phase d'introspection ProSantéConnect impliquant le jeton mentionné au sein de la requête WADO-RS. Or, si un cas d'erreur intervient avant la mise en oeuvre de l'introspection (échec de la connexion mTLS par exemple), l'identifiant RPPS ne peut être connu.
Dans ce cas de figure, et pour toutes les situations d'erreur qui empêcheraient la solution DRIMBox de connaître l'intégralité des informations à mentionner au sein d'une trace d'audit, une chaîne de caractère fixe, type "false", peut être renseignée. De cette manière, la trace d'audit exhaustive pourra tout de même être générée, tout en traduisant la situation d'erreur rencontrée.
Cette réponse vous a-t-elle été utile ?
Le contenu de l'exigence SC.DMP/CONF.14, rattachée au REM DRIM-M et donc applicable aux solutions DRIMBox candidates à l'homologation SEGUR vague 2, fait référence à une collecte de traces d'accès d'un utilisateur au DMP dans le contexte de la gestion du cycle de vie d'un document. Cette exigence est mentionnée au sein du REM DRIM-M car l'utilisateur en question peut être compris comme une personne physique ou bien une solution logicielle (DRIMBox dans notre cas).
Ainsi, en substance, l'exigence indique que la fonction source de la DRIMBox doit conserver une trace de ses propres accès au DMP pour les situations d'alimentation (mise à jour de document inclus). En complément, la fonction consommatrice de la DRIMBox doit également conserver une trace de ses accès au DMP pour les situations de consultation.
Cette même logique est applicable concernant la formulation du scénario proposé afin de valider l'exigence SC.DMP/CONF.14. Au sein de ce scénario, la mention "utilisateur" peut également être comprise comme "solution logicielle DRIMBox".
En revanche, il est important de noter qu'au sein du scénario de test associé à cette exigence, le déroulement des étapes n°2 à n°5 implique la mise en œuvre d'une entité tierce à la DRIMBox. Cette entité tierce jouera le rôle d'un système RIS placé en amont de la DRIMBox afin de transmettre à cette dernière les ordres de remplacement, suppression, masquage, invisibilisation, au travers de messages HL7v2 dédiés.
Cette réponse vous a-t-elle été utile ?
Retrouvez les informations dans votre espace dédié
-
Professionnel et structure libérale
-
Etablissement de santé
-
Structure médico-sociale
-
Entreprise du numérique en santé
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Besoin d’aller plus loin dans vos démarches ?
Centralisez vos démarches, suivez vos demandes et accédez à l’ensemble de vos services ANS depuis votre Espace Authentifié :
Vous souhaitez nous contacter ?
Notre équipe est à votre écoute pour vous assister dans vos démarches.