FAQ de l'offre : Conformité (labels, référencements et certifications)

L'exigence IEPS.08 "SI le Système propose son propre dispositif d'authentification ET SI il autorise une identification électronique à un seul facteur succédant à une identification électronique à deux facteurs, ALORS le Système DOIT imposer un délai maximal paramétrable entre ces deux identifications électroniques et vérifier que le simple facteur utilisé fait partie du dispositif d'authentification à deux facteurs utilisé initialement." est considérée "Non Applicable" dans le cas où votre système propose exclusivement l'authentification à deux facteurs (2FA). Une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve. Cette déclaration doit préciser que le système ne permet à aucun moment l’utilisation d’un seul facteur d’authentification après une authentification à deux facteurs.

L'expression fait référence aux cas où le système intègre un mécanisme d'authentification interne propre à la plateforme permettant aux utilisateurs professionnels de santé de s’identifier (exemple : identification par login / mot de passe). Dans ce cas, les exigences IEPS 05, IEPS 06 et IEPS 08 sont applicables. 

Si l’éditeur ne gère pas lui-même l’authentification et utilise uniquement un service externe ou une fédération d’identité (exemples : Pro Santé Connect, FranceConnect…), alors le système ne met pas en œuvre son "propre dispositif d’authentification". Dans ce cas, les exigences IEPS.05, IEPS.06 et IEPS.08 sont "Non Applicables". Une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve.

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL en suivant ce lien : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante