Je suis par exemple un hébergeur américain, je suis obligé de mettre ma soumission au FISA, au Cloud Act, etc. ?

L’hébergeur doit renseigner la liste des réglementations extra communautaires auxquelles il est soumis (FISA, Cloud Act, etc.) dans la documentation à fournir à son client. S’agissant de la transparence (tableau des garanties publiques), il doit indiquer s'il est soumis ou pas un risque d'accès tel qu’évoqué dans la question et citer le pays concerné.

Sous-traitant ultérieur : jusqu’à quel niveau de sous-traitance aller ?

Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties.

Y a-t-il une liste officielle des pays qui sont considérés comme à risque ?

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé. Le lien, indiqué dans le référentiel, est rappelé ici : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Qui s’assure de la véracité du tableau des garanties ? Est-ce l’organisme certificateur (OC)

Le rôle de l’organisme certificateur (OC) est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer. En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.

Sur quelle plateforme dois-je jouer les tests d'interopérabilité ?

La plateforme interop.esante.gouv.fr permet de visualiser les preuves en avance de phase, mais pour le référencement vous devez utiliser la plateforme interopsegur.esante.gouv.fr .

Dans le cas où on n'est pas référentiel d'identité, il faut faire un travail d'interfaçage spécifique pour chaque centre de santé/GAM ou cabinet/LGC pour récupérer les INS qualifiés, est-ce bien cela ? Le DMN est-il responsable si cet interfaçage ne fonct

Les RI/GAM actuellement déployées dans le cadre du Ségur doivent proposer une interface interopérable (sous la forme de message HL7 ADT, format IHE PAM – National extension France). La version minimale de HL7 est la 2.3.1 sans le segment PID, version préconisée avec le PID v2.5.1 ) avec les autres logiciels. Le DMN est responsable de s’interfacer au moins avec ces interfaces.

Est-ce que l'accès aux données se fait via une API sécurisé ?

Pour IHE PAM, les données sont transmises par des messages HL7 V2. Il n’y a donc pas d’accès aux données via une API sécurisée. Différents protocoles de transport des messages sont aussi mis à disposition par HL7. Le protocole le plus répandu (adopté par un certain nombre de profils IHE) est basé sur les couches socket TCP-IP et s’appelle MLLP (‘Minimal Lower Layer Protocol’). Ce protocole est fréquemment encapsulé par IHE dans des tunnels sécurisés par une authentification forte (X509) des deux extrémités.