Un dépôt de candidature (exclusivement) par voie électronique est-il envisageable ?
Le mode de dépôt du dossier de candidature pour la labellisation SI Commun MDPH répond aux exigences que l’Agence du Numérique en Santé met en place dans le cadre de toute démarche de qualification opérée par l’agence (homologation, certification, agrément, labellisation) pour des projets e-santé d’envergure nationale. A ce jour, aucune modification de ce processus n’est prévue. Le dossier doit être envoyé par voie postale et par email, comme précisé dans la Convention.
Comment renseigner le tableau de l’article 3 de la Convention en ce qui concerne les composants d’ingénierie (paramétrage procédures, paramétrage produits, éditions, modules de traitement) intégrés à la solution ?
Le maître d’œuvre doit expliciter les modalités de gestion et de maintenance de ces composants d’ingénierie. Il doit indiquer dans la Convention le nom commercial avec le numéro de version globale et la liste des composants techniques distincts qui composent la solution, et leurs modalités de gestion et de maintenance associées, pour respecter le référentiel.
Les décisions délivrées par les organismes partenaires en charge des flux d’échange, attendues dans le dossier de candidature (article 3.2 - Etape 1 du Règlement), sont-elles obligatoires ?
La fourniture de ces décisions délivrées par les partenaires n’est pas obligatoire pour que la candidature soit prise en compte. Néanmoins, dès que le maître d’œuvre obtient ce type de document, il est invité à les fournir à l’Agence du Numérique en Santé. Ces décisions peuvent en effet constituer un élément d’appréciation favorable, si elles sont obtenues.
Quel est le calendrier type de labellisation ?
La trajectoire type de labellisation d'une solution ainsi qu’un calendrier type sont disponibles sur le Sharepoint de la CNSA.
Quelles sont les dispositions à prendre pour assurer la confidentialité des données usagers lors des vérifications de conformité en environnement de test et sur site client ?
Ces dispositions sont énoncées dans le "Plan Assurance Sécurité", en annexe 1 de la Convention. Les vérifications, quel que soit le lieu où elles se déroulent, doivent être réalisées dans un environnement de test ne comportant aucune donnée de santé à caractère personnel (création de patients fictifs ou anonymisation de données de production). Les vérifications sur site client (en environnement de production) doivent être réalisés dans la mesure du possible avec des patients fictifs.
Quel est l’impact de la mise en place du RGPD sur les règles de sécurité concernant les postes de travail utilisés en cas de prise de main à distance énoncées à l’annexe 1 de la Convention ?
Ces règles de sécurité restent inchangées avec le RGPD, qui prévoit principalement des objectifs en termes de sécurité plutôt que le détail des mesures de sécurité corollaires. Ce plan d’assurance sécurité est compatible avec le RGPD.
Dans le cas d’une prise en main à distance sur un environnement mis à disposition par le maitre d’œuvre, l’Agence du Numérique en Santé pourra le cas échéant accepter des conditions générales d’utilisation de l’outil de prise en main à distance proposé par le maitre d’œuvre, si celles-ci sont compatibles avec nos procédures.
Quelle version du référentiel fonctionnel fait référence pour la labellisation ?
C’est la dernière version du référentiel fonctionnel publiée sur le site de la CNSA qui est applicable au titre de la labellisation. À ce jour, il s’agit de la version 1.1 du référentiel fonctionnel publiée le 30/09/2017 et mise à jour en mai 2018 en concertation avec l’ensemble des maitres d’œuvre.
Où peut-on trouver les scénarios de tests utilisés pour la labellisation ?
Les scénarios de tests dédiés à la vérification préliminaire et les scénarios de tests pour la vérification complète de conformité sont téléchargeables sur le site esante.gouv.fr
Tous les scénarios de vérification doivent-ils être déroulés dans le cadre de la vérification de conformité ?
L’ensemble des scénarios « scénarios pour la vérification de conformité de la solution présentée à l’intégralité des fonctionnalités du référentiel fonctionnel » doivent être déroulés lors de la visite de vérification de conformité, à l’exception des scénarios 6 et 7 (notés « scénario recommandé »). La finalité de ces 2 scénarios est de tester la « dérogation aux pièces de la recevabilité » portée par des exigences du référentiel fonctionnel qui étaient initialement obligatoires (« DOIT »), puis sont devenues non obligatoires (« DEVRAIT »).
A noter : Certains pas de tests, au sein des scénarios « obligatoires » ont un caractère facultatif car ils testent des exigences non obligatoires (« DEVRAIT »). Dans un souci d’optimisation de la durée de la visite de conformité, il est proposé de ne pas dérouler ces pas de tests lors de l’exécution des scénarios.
A noter : Le « scénario pour la vérification préliminaire de conformité de la solution » doit, de son côté, être déroulé lors de la visite préliminaire.
Quelles sont les modalités d’exécution des scénarios 10 et 11 ?
Les scénarios 10 et 11 ont pour objet de vérifier respectivement le respect des nomenclatures « Outil de soutien à l’évaluation » et « Droits et Prestations ». Compte tenu du volume et de la complexité de ces nomenclatures, la durée d’exécution de ces scénarios est potentiellement élevée. Afin de limiter le temps investi par le maître d’œuvre et par l’auditeur pendant la visite de conformité, les modalités suivantes sont mises en œuvre :
- Lors de la visite de conformité, une vérification limitée est réalisée chez le maître d’œuvre au travers de l’IHM de la solution candidate, sur la base d’un échantillon défini par l’auditeur ;
- Une vérification complète est réalisée a posteriori (à l'issue de la visite), sur la base d’extractions de l’ensemble des données objets des tests de ces 2 scénarios, issues de la solution candidate et fournies par le maître d’œuvre.
Les données extraites lors de la visite de conformité seront, dans la mesure du possible, enregistrées et fournies à l’auditeur dans un format tableur (Excel par ex.).
Il est demandé au maître d’œuvre de fournir un exemplaire de ces extractions à l’Agence du Numérique en Santé, dès que possible en amont de la vérification préliminaire, afin que l’équipe de labellisation puisse préparer l’outillage nécessaire à l’analyse des données.