Les preuves de démonstration non opérationnelles (maquette, capture d'un prototype, schéma..) sont-elles acceptées pour la certification au référentiel d’interopérabilité et de sécurité des DMN ?

Les preuves permettant une illustration non opérationnelle (maquette, capture d'un prototype, schéma) ne sont pas acceptées dans le cadre de la certification de conformité au référentiel d’interopérabilité et de sécurité des DMN. Seules les preuves démontrant la conformité de la version de l'environnement de recette de la solution sont recevables. Nous vous rappelons l’obligation de déployer la version de la solution ayant reçu la certification de conformité auprès des utilisateurs. L’utilisation d’une version non certifiée est susceptible d’entraîner des non-conformités et des risques pouvant impacter la sécurité et la qualité des services. Il est donc essentiel de veiller à l’implémentation et au maintien strict de la version validée afin de garantir la conformité aux exigences applicables.

Les preuves de démonstration non opérationnelles (maquette, capture d'un prototype, schéma..) sont-elles acceptées pour la certification au référentiel d’interopérabilité, de sécurité et d’éthique des SI de téléconsultation ?

Les preuves permettant une illustration non opérationnelle (maquette, capture d'un prototype, schéma…) ne sont pas acceptées dans le cadre de la certification de conformité au référentiel d’interopérabilité, de sécurité et d’éthique des SI de téléconsultation. Seules les preuves démontrant la conformité de la version de l'environnement de recette de la solution sont recevables. Nous vous rappelons l’obligation de déployer la version de la solution ayant reçu la certification de conformité du jalon en cours auprès des utilisateurs. L’utilisation d’une version non certifiée est susceptible d’entraîner des non-conformités et des risques pouvant impacter la sécurité et la qualité des services. Il est donc essentiel de veiller à l’implémentation et au maintien strict de la version validée afin de garantir la conformité aux exigences applicables.

Sous-traitant ultérieur : jusqu’à quel niveau de sous-traitance aller ?

Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties.

Qui s’assure de la véracité du tableau des garanties ? Est-ce l’organisme certificateur (OC)

Le rôle de l’organisme certificateur (OC) est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer. En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.

Y a-t-il une liste officielle des pays qui sont considérés comme à risque ?

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé. Le lien, indiqué dans le référentiel, est rappelé ici : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde