CONVENTION RELATIVE AUX CONDITIONS D’UTILISATION DU LABEL SI COMMUN MDPH

Version 1.0

CONVENTION RELATIVE AUX CONDITIONS D’UTILISATION DU LABEL SI COMMUN MDPH

1

Convention relative à l’utilisation du label SI Commun MDPH – Version 1.0 – Décembre 2017

Date 29/12/2017

Convention relative aux conditions d’utilisation du label SI Commun MDPH

Version 1.0 du 29 décembre 2017

Entre :

L’Agence française de la santé numérique

Groupement d’intérêt public prévu à l’article L.1111-24 du code de santé publique Ayant son siège au 0 xxx Xxxxxxx Xxxxxx, 00000 XXXXX

Représenté par Monsieur Xxxxxx Xxxxxxx en sa qualité de Directeur Ci-après dénommée « ASIP Santé »

D’une part,

[A compléter par le candidat]

Et la société

Représentée par (civilité, nom, prénom) : , dûment habilité en sa qualité de .

Identification de la société :
Adresse (siège social) :
Code postal :	Commune :	Pays :
N° de téléphone :
Adresse e-mail :
Immatriculation au RCS ou n° de SIRET :
Lieu de l’immatriculation :
N° d’immatriculation

Ci-après dénommé « le Candidat » ou « le Bénéficiaire »,

D’autre part,

Dénommées collectivement « les Parties »

Motif de la convention :

Première demande de labellisation

□

Demande de renouvellement de labellisation :

□

Préambule

L’ASIP Santé a trois missions principales : créer les conditions du développement et de la régulation de la e-santé ; assister les pouvoirs publics dans la conduite de projets de systèmes d’information d’intérêt national ; permettre aux différents acteurs de santé de bénéficier de l’innovation et des mutations numériques.

La loi n°2015-1776 du 28 décembre 2015 relative à l’adaptation de la société au vieillissement (dite

« loi ASV ») confie à la CNSA1 la mission de concevoir et mettre en œuvre un système d’information commun aux MDPH2. La CNSA peut définir à cet effet des normes permettant de garantir l’interopérabilité entre ses systèmes d’information et ceux des départements ainsi que des MDPH, et en lien avec l’ASIP Santé, labelliser les systèmes d’information conformes à ces normes.

Fin 2015, après concertation avec l’ADF3 et l’ADMDPH4, la CNSA et le ministère chargé de la santé ont retenu un scénario d’harmonisation des systèmes d’information existants dans un objectif d’interopérabilité et d’amélioration continue de l’existant. Cette harmonisation s’appuie sur les systèmes d’information actuellement déployés. Elle vise à faire évoluer les systèmes d’informations existants des MDPH en s’appuyant sur un « tronc commun », cadre métier de référence, harmonisant les processus métier, activités, concepts et nomenclatures. Le tronc commun permet de détailler les étapes métiers qui structurent chaque processus à l’œuvre au sein des MDPH, en identifiant également les activités à mener et les règles de gestion rendues obligatoires ainsi qu’un ensemble de bonnes pratiques. La première version du tronc commun a été conçue en 2016 avec la participation de 40 MDPH et mise en concertation durant l’été 2016.

Le tronc commun a été traduit dans un référentiel fonctionnel qui constitue un ensemble d’exigences fonctionnelles vérifiables, à satisfaire par les maîtres d’œuvre ayant développé des solutions logicielles à destination des MDPH. Ce référentiel a été conçu avec la participation de 11 MDPH et conseils départementaux (CD), ainsi que des industriels du secteur dans le cadre de groupes de travail mixtes ; il a ensuite été soumis à concertation à l’ensemble de l’écosystème des MDPH.

Publié fin septembre 2017, le référentiel fonctionnel s’adresse aux responsables des structures MDPH ainsi qu’aux maitres d’œuvre de solutions logicielles désireux de faire évoluer leur offre pour couvrir au mieux les besoins en systèmes d’information des MDPH.

Afin de faciliter pour les porteurs de projet l’identification de solutions logicielles correspondant aux besoins exprimés et de stabiliser ces mêmes besoins pour les implémenter dans les solutions du marché, il a été décidé de mettre en place un label dénommé label « SI Commun MDPH ».

Cette labellisation a pour objectif d’offrir à ses Bénéficiaires une crédibilité sur le marché des solutions logicielles auprès des organismes acheteurs et des utilisateurs au sein des MDPH.

La labellisation est ouverte à toutes les personnes morales propriétaires d’une solution logicielle destinée aux MDPH. Ces personnes morales peuvent librement s’engager dans le processus de labellisation conduit par l’ASIP Santé et décrit dans le règlement du label « SI Commun MDPH ».

1 CNSA : Caisse Nationale de Solidarité pour l’Autonomie

2 MDPH : Maison Départementale de Personnes Handicapées

3 ADF : Assemblée des Départements de France

4 ADMDPH : Association des Directeurs de MDPH

ARTICLE 1 : Objet

La présente convention a pour objet de reconnaître au profit du Bénéficiaire le droit d’utiliser le label « SI Commun MDPH » pour la solution logicielle décrite à l’article 2 et de fixer les conditions de son utilisation.

Les conditions d’attribution de ce label sont fixées dans le règlement du label « SI Commun MDPH ».

ARTICLE 2 : Documents contractuels

Les documents contractuels qui constituent la convention (ci-après la « Convention ») sont les suivants :

− la présente convention relative aux conditions d’utilisation du label « SI Commun MDPH » ;

− annexe 1 : Plan Assurance Sécurité de la vérification de conformité du label « SI Commun MDPH » ;

− annexe 2 : Licence d’utilisation de la solution labellisée ;

− le Règlement du label « SI Commun MDPH » ;

− la version en vigueur du Référentiel fonctionnel du label « SI Commun MDPH ».

ARTICLE 3 : Périmètre de la labellisation

La labellisation délivrée par l’ASIP Santé au Bénéficiaire porte sur : [fiche d’identification ci-dessous à renseigner par le candidat]

Désignation commerciale de la solution logicielle soumise à la labellisation

Dans le cas d’une solution logicielle, constituée de plusieurs composants applicatifs intégrés, la liste des composants applicatifs doit être précisée

N° de version de la solution logicielle

(Il doit présenter les caractéristiques suivantes :

- il doit être accessible simplement à l’utilisateur dans l’IHM du logiciel ;

- la chronologie des versions doit être clairement exprimée au travers du numéro de version ;

- il doit évoluer dès qu’un élément de code source est modifié - y compris un simple patch)

ARTICLE 4 : Obligations liées à la labellisation

Le Bénéficiaire s’engage à respecter les règles et obligations définies par la présente Convention. Le non-respect de ces règles peut conduire au retrait de la labellisation dans les conditions définies à l’article 9 « Résiliation de la Convention ».

Article 4.1 : Mise à disposition de la version labellisée

Le Bénéficiaire s’engage à mettre à la disposition de ses clients, selon les conditions commerciales fixées par ses soins, la solution labellisée, à compter de la date d’entrée en vigueur de la présente Convention.

Article 4.2 : Engagements du Bénéficiaire

Article 4.2.1 : Engagements généraux

Le Bénéficiaire s’est engagé lors du dépôt de son dossier de candidature à ce que les informations communiquées par ses soins dans le dossier de candidature soient sincères et fidèles à la couverture fonctionnelle réelle de sa solution logicielle à date de dépôt du dossier et valent en conséquence engagement de conformité de sa part sur cette couverture fonctionnelle.

Toute modification apportée aux pièces du dossier de candidature et aux informations qui s’y trouvent doit être portée à la connaissance de l’ASIP Santé dès sa survenue. L’ASIP Santé peut diligenter des contrôles concernant cette modification dans les conditions prévues à l’article 5.

Les fonctionnalités présentées à la labellisation doivent être comprises dans l’offre au client dans leur intégralité et non de façon optionnelle.

Le Bénéficiaire s’engage également à :

− garantir la non régression des fonctionnalités existantes de sa solution, en particulier les interfaces avec des systèmes tiers (par exemple des outils tels que la GED5) ou encore des interfaces d’échange avec le département ;

− mettre à disposition de l’ASIP Santé et de la CNSA la version labellisée de sa solution, dans les conditions prévues en annexe à la présente convention ;

− dans l’hypothèse prévue à l’article 2.2.2. du règlement du label (solution labellisée sur un périmètre plus restreint que celui du référentiel fonctionnel, en raison de l’absence de publication de certaines spécifications) à mettre sa solution en conformité avec le périmètre du référentiel fonctionnel après la publication des spécifications correspondantes, dans les conditions prévues à l’article 2.2.2 du règlement du label.

Article 4.2.3 : Engagements liés au contrat client

Le Bénéficiaire de la labellisation s’engage à ce que le(s) contrat(s) conclu(s) avec ses clients portant sur la solution labellisée contienne(nt) les dispositions suivantes :

5 GED : Gestion électronique de documents

− une information sur les visites complémentaires et audits, qui peuvent avoir lieu sur un site client, avec son accord, dans les conditions prévues par le règlement du label ;

− les modalités de fonctionnement du support téléphonique (hot line), notamment en termes de disponibilité, délais de réponse, etc. ;

− les modalités de maintenance, de dépannage et d’information en cas de défaillance de la solution (panne, arrêt de service, etc.) ;

− pour les solutions fournies en mode Saas (Software as a service), un plan de reprise d’activité ;

− une offre de formation à l’utilisation de la solution, modulaire, détaillée et explicite en termes de cibles, contenu et coût : formation de base, formations avancées sur les modalités complexes ou spécifiques à une profession ;

− fourniture d’un manuel à destination des utilisateurs ou a minima une brochure décrivant les fonctionnalités de la solution ;

− fourniture d’un plan de versioning annuel ou pluriannuel portant sur les évolutions du SI, permettant aux clients d’anticiper les démarches qu’ils auront à réaliser le cas échéant ;

− les conditions de réversibilité des données, notamment le format du fichier d’export et les données incluses dans le fichier, ainsi que les conditions de reprise des données de la solution précédente ou lors de la cession du contrat. Le Bénéficiaire doit s’engager à fournir à son client toute information utile concernant ses expériences de reprise des données.

Dans l’hypothèse prévue à l’article 2.2.2 du règlement de labellisation où le Bénéficiaire serait labellisé sur un périmètre fonctionnel plus restreint que le périmètre du référentiel fonctionnel, le Bénéficiaire s’engage à informer clairement ses clients sur le périmètre effectif de son label et des fonctionnalités de sa solution.

Article 4.3 : Modification de la solution

Article 4.3.1 : Evolutions, modifications et montées de version de la solution

Le Bénéficiaire s’engage à ce que la version labellisée de la solution soit accessible à tout moment, à documenter et à gérer de façon transparente une politique de gestion et de suivi des versions (versioning).

Sans préjudice des dispositions de l’article 11, toute évolution ou modification substantielle de la solution, ainsi que toute montée de version de la solution doivent être notifiées à l’ASIP Santé dans les meilleurs délais, par courriel à l’adresse xxxxxxxxxxxxx.xxxx@xxxxx.xxxx.xx et par lettre recommandée avec avis de réception. La notification doit inclure :

− un document présentant les évolutions ou modifications ;

− s’il est impacté par les évolutions ou modifications, le tableau mis à jour de l’article 3 de la présente convention ;

− tout document fourni au titre du dossier de candidature initial qui se verrait impacté par les évolutions ou modifications.

En cas de montée de version entraînant une modification substantielle de la solution et impactant la couverture des exigences du référentiel fonctionnel, l’ASIP Santé demande au Bénéficiaire de déposer un nouveau dossier de candidature concernant cette version et/ou de recommencer une ou plusieurs étapes de l’instruction.

Article 4.3.2 : Arrêt de commercialisation

Le Bénéficiaire de la labellisation s’engage à informer l’ASIP Santé avec un délai de préavis suffisant, ou le cas échéant, dès que le Bénéficiaire en a connaissance, de toute suspension ou arrêt de commercialisation des solutions labellisées ou de procédure collective ou cessation d’activité totale ou partielle à son endroit, impactant ou susceptible d’impacter la commercialisation de la solution.

Tout arrêt de commercialisation de la solution donne lieu au retrait du label, dans les conditions prévues à l’article 9.

Article 4.3.3 Modifications du périmètre de couverture fonctionnel

Toute mise à jour du périmètre de couverture fonctionnelle par la solution prévue dans le cadre de la procédure de labellisation et constatée par les services de l’ASIP Santé (levée des réserves, mise en conformité de la solution visée à l’article 2.2.2 du règlement du label, etc.) fait l’objet d’un courrier par cette-dernière.

ARTICLE 5 : Visites complémentaires sur site et audits

Pour les besoins de l’instruction du dossier de candidature, l’ASIP Santé, appuyée le cas échéant d’experts de la CNSA, réalise des visites de conformité dans les locaux du candidat, dans les conditions prévues par le règlement du label. Après la signature de la Convention, l’ASIP Santé, appuyée le cas échéant d’experts de la CNSA, peut réaliser une visite complémentaire sur site client. L’ASIP Santé, appuyée le cas échéant d’experts de la CNSA, peut en sus réaliser des audits pendant toute la durée de la Convention, en cas de non-conformité présumée ou avérée ou dans le cadre du programme périodique de contrôle.

Le Bénéficiaire s’engage à accepter toute visite de conformité telle que prévue par le règlement du label et toute visite complémentaire de conformité ou audit réalisé par l’ASIP Santé et par la CNSA selon les modalités décrites au présent article.

Le Bénéficiaire comprend que tout manquement aux présentes, constaté lors d’une visite complémentaire de conformité ou d’un audit, peut donner lieu au retrait du label, dans les conditions prévues à l’article 9.

Article 5.1 : Visite complémentaire sur un site client

L’ASIP Santé, appuyée le cas échéant d’experts de la CNSA, peut réaliser une visite complémentaire sur un site client où la solution est déployée ou utilisée, le site étant proposé par le Bénéficiaire dès le déploiement de la solution.

Ces visites permettent de constater la conformité de la solution labellisée au référentiel fonctionnel, en service régulier sur un site client.

Les visites complémentaires donnent lieu à un rapport, qui peut inclure des recommandations. Un constat de non-conformité au référentiel fonctionnel, de tout ou partie de la solution ou de l’une de ses fonctionnalités, peut donner lieu au déclenchement d’un audit dans les conditions prévues à l’article 5.2.

Article 5.2 : Audit

L’ASIP Santé et la CNSA peuvent constater ou être informée de l’existence d’une non-conformité de la solution au référentiel fonctionnel, présumée ou avérée, par exemple par un utilisateur. L’ASIP Santé peut alors organiser un audit de vérification, qui consiste à apprécier de façon ciblée le caractère opérationnel d’une ou plusieurs fonctionnalités en rapport avec le dysfonctionnement.

Ce type d’audit peut également être organisé dans le cadre d’un programme périodique de contrôle établi par l’ASIP Santé. Dans ce cas, l’audit de vérification porte sur les fonctionnalités identifiées dans le programme périodique de contrôle.

L’audit de vérification conduit par l’ASIP Santé, appuyée le cas échéant d’experts de la CNSA, peut être réalisé selon les modalités suivantes :

− sur un environnement de démonstration mis à disposition par le Bénéficiaire. Dans ce dernier cas, il est ensuite procédé à la vérification du caractère opérationnel de(s) la fonctionnalité(s) ;

− à titre exceptionnel, sur un système en production sur un site utilisateur.

Dans les deux cas, l’audit pourra avoir lieu sur site ou par téléconférence et prise de main à distance. Au plan formel, la procédure suivie pour l’audit est la même que la procédure de visite de conformité décrite dans le règlement du label « SI Commun MDPH ».

Article 5.3 : Confidentialité des données dans le cadre des visites complémentaires et audits

Les personnes en charge du contrôle pour le compte de l’ASIP Santé ne peuvent accéder à des données de santé à caractère personnel qu’en présence et sous le contrôle d’un professionnel de santé exerçant sur le site utilisateur.

L’accord préalable du représentant légal de la structure utilisatrice de la solution est sollicité par l’ASIP Santé. Il est formalisé par retour du Plan d’Assurance Sécurité daté et signé par ce dernier. Ce Plan d’Assurance Sécurité est annexé à la présente Convention. Il fixe des règles spécifiques, afin de veiller au respect de la confidentialité des données et de limiter à des cas exceptionnels l’accès aux données de santé conservées dans le système en production audité.

ARTICLE 6 : Propriété intellectuelle et communication

Article 6.1 : Logo associé au label

Le label « SI Commun MDPH » est associé à un logo, reproduit ci-après :

Exemples de variantes couleurs du logo : quadri, niveaux de gris, sur fond blanc

L’utilisation de tout autre signe, marque, logo de quelque nature que ce soit est interdit, sauf accord écrit de l’ASIP Santé et de la CNSA.

Article 6.2 : Droit d’utilisation du logo

A compter de la signature de la présente Convention par l’ASIP Santé, le Bénéficiaire pourra communiquer sur la labellisation de sa solution et utiliser le(s) logo(s) dans les conditions prévues au présent article.

Le droit d’utilisation des logos octroyé au Bénéficiaire comprend le droit non-exclusif, gratuit, personnel et non transférable de reproduire le(s) logo(s) pour les finalités, supports et durée prévus aux présentes, sur tout le territoire français.

Le Bénéficiaire n’est pas autorisé à modifier ou adapter le(s) logo(s) de quelque façon que ce soit. Les dispositions des présentes n’emportent aucun transfert des droits de propriété sur le(s) logo(s).

Article 6.3 : Finalité d’utilisation

Le label ainsi que le logo associé ont pour objet de communiquer et de contribuer à l’information des maisons départementales des personnes handicapées et conseils départementaux, sur les fonctionnalités des solutions logicielles destinées à ces structures. Ils ne peuvent être utilisés qu’à cette fin.

Toute communication autour de la labellisation devra obligatoirement renvoyer le lecteur aux pages relatives au label sur les sites internet de l’ASIP Santé et de la CNSA (par exemple, pour les communications sur support électronique, en insérant l’adresse URL desdites pages), afin de permettre au lecteur de prendre connaissance de sa finalité et des conditions à respecter dans le cadre du label.

Le Bénéficiaire s’engage à ce que toute communication sur son label et/ou contenant le logo s’effectue de façon claire, loyale et transparente sur le périmètre effectif du label et des fonctionnalités de la solution, notamment dans l’hypothèse prévue à l’article 2.2.2 du règlement de labellisation.

Article 6.4 : Durée du droit d’utilisation

Le logo ne peut être utilisé que pendant la durée de la présente Convention et exclusivement pour les finalités et le périmètre de celle-ci.

Le Bénéficiaire ne peut pas utiliser le logo pendant l’instruction de son dossier de candidature. Le Bénéficiaire est autorisé à communiquer sur la labellisation ou à utiliser le logo uniquement à compter de la signature de la présente Convention par l’ASIP Santé.

Article 6.5 : Supports d’utilisation

Le Bénéficiaire est autorisé à apposer le logo sur sa documentation institutionnelle, commerciale et technique (brochures publicitaires, commerciales, documents techniques, sans restriction de support – papier, CD-ROM, internet, intranet, support magnétique etc.).

Article 6.6 : Utilisations non autorisées

Le Bénéficiaire s’engage à ne pas utiliser le logo en violation des présentes dispositions, ainsi qu’à des fins ou dans des conditions illicites, contraires à l’ordre public ou aux bonnes mœurs, susceptibles de porter atteinte aux droits ainsi qu’à l’image de l’ASIP Santé, de la CNSA ou de tout tiers.

Le Bénéficiaire s’interdit de déposer, enregistrer, utiliser ou exploiter, dans quelque territoire que ce soit, de marque ou signe identique ou similaire au logo, susceptible de leur porter atteinte ou de créer une confusion avec ceux-ci.

L’ASIP Santé se réserve le droit de prendre toute mesure destinée à contrôler le respect des dispositions des présentes.

Article 6.7 : Défense de la marque

Le Bénéficiaire a la charge de veiller au bon usage de la labellisation et du logo, sans que l’ASIP Santé et la CNSA ne puissent être tenues responsables d’une utilisation non conforme ou frauduleuse.

Le Bénéficiaire s’oblige à signaler dans les plus brefs délais à l’ASIP Santé et à la CNSA toute atteinte aux droits sur le(s) Logo(s) dont il aurait connaissance, notamment tout acte de détournement, contrefaçon, concurrence déloyale ou parasitisme.

Article 6.8 : Responsabilité

Le Bénéficiaire est seul responsable de son utilisation du logo et des conséquences directes ou indirectes qui pourraient en résulter.

Le Bénéficiaire s’engage à ce que les sociétés titulaires d’un droit de distribution sur la solution labellisée soient obligées contractuellement à respecter les obligations prévues par le présent article. En cas de mise en jeu de la responsabilité de l’ASIP Santé par un tiers, du fait de l’utilisation non conforme du logo par le Bénéficiaire, ce-dernier s’engage à en supporter tous les frais et condamnations résultant le cas échéant d’une telle action.

Article 6.9 : Fin du droit d’utilisation

La résiliation de la présente Convention ainsi que le retrait de la labellisation, pour quelque motif que ce soit, entrainent immédiatement la résiliation de plein droit de la licence d’utilisation du logo.

Tout manquement aux règles d’utilisation du logo, non réparé dans un délai de trente (30) jours calendaires à compter de l’envoi d’un courrier recommandé avec avis de réception notifiant le manquement en cause, peut entrainer le retrait du label, la résiliation de plein droit de la licence d’utilisation du logo et la résiliation de la présente Convention, sans préjudice de toute autre poursuite susceptible d’être engagée par l’ASIP Santé.

La résiliation pour quelque motif que ce soit de la licence d’utilisation du logo emporte l’obligation pour le Bénéficiaire de cesser immédiatement toute utilisation de la marque et, notamment d’en retirer toute reproduction de tous les supports du Bénéficiaire.

Article 6.10 : Modalités de publicité de l’attribution du label

La liste des solutions labellisées est consultable sur le site Internet de l’ASIP Santé (xxxx://xxxxxx.xxxx.xx).

La publication porte, pour chaque labellisation, sur :

− le nom du Bénéficiaire ;

− le nom de la solution ;

− la version de la solution ayant fait l’objet de la labellisation ;

− la version du référentiel fonctionnel du label applicable ;

− la date de vérification de conformité, le cas échéant ;

− toute précision sur la conformité de tout ou partie de la solution au référentiel fonctionnel, notamment toute réserve apportée à la décision de labellisation.

ARTICLE 7 : Confidentialité

L’ASIP Santé s’engage à conserver comme strictement confidentielles et à ne pas divulguer, révéler ou exploiter, directement ou indirectement, les informations qu’elle a pu recueillir sur tout ou partie de la solution logicielle du Bénéficiaire. Elle s’engage à reporter cette obligation de confidentialité auprès de la CNSA et de tout prestataire de son choix éventuellement appelé à intervenir dans le processus d’attribution ou de maintien de la labellisation.

L’ASIP Santé s’engage à ne pas communiquer sur la qualité intrinsèque de la solution.

Les présentes dispositions s’appliquent en particulier aux résultats obtenus par la solution logicielle tout au long du processus de labellisation, au terme des audits prévus et effectués par l’ASIP Santé pendant la durée de la labellisation. Elles s’appliquent également à toutes les informations techniques, méthodes, savoir-faire, procédés et documents de quelque nature qu’ils soient, communiqués par le candidat et par le Bénéficiaire à l’ASIP Santé.

Réciproquement, le Bénéficiaire s’engage à conserver confidentielles les informations portées à sa connaissance dans le cadre de l’exécution de la présente Convention.

Les Parties conviennent que la présente clause demeurera en vigueur pendant la durée de la présente Convention et pendant une durée de deux (2) ans à compter du terme de la Convention, pour quelque motif que ce soit.

Il est expressément convenu que les Parties ne sauraient être tenues pour responsables de la divulgation d’une information si celle-ci relève du domaine public ou si elle a été obtenue licitement à partir d’autres sources.

ARTICLE 8 : Modification – Durée et entrée en vigueur

La présente Convention est conclue pour une durée d’un (1) an, et se renouvellera par tacite reconduction pour des périodes d’un (1) an sauf résiliation par l’une des deux parties dans les conditions prévues à l’article 9 des présentes. Elle entre en vigueur à compter de sa signature par la dernière des deux parties.

Toute modification de la présente Convention, y compris de tout document contractuel listé à l’article 2, donne lieu à la rédaction d’un avenant daté et signé des deux parties sauf lorsqu’elle concerne une évolution du contenu du label et notamment, du référentiel fonctionnel. Dans ce cas, cette évolution fait l’objet d’une information aux Bénéficiaires et donne lieu à la signature d’un avenant à la convention. Un délai d’application pourra être prévu, de six (6) à douze (12) mois selon la portée de l’évolution.

ARTICLE 9 : Résiliation de la convention

Article 9.1 : Résiliation à l’initiative du Bénéficiaire

Le Bénéficiaire peut à tout moment résilier la Convention par lettre recommandée avec accusé de réception, sous réserve du respect d’un préavis de six (6) mois.

Article 9.2 : Résiliation à l’initiative de l’ASIP Santé

Article 9.2.1 : Cas général

Le non-respect d’une ou plusieurs des obligations énoncées par la présente Convention (par exemple, absence de levée des réserves suite à une labellisation avec réserve(s), absence de mise en conformité de la solution labellisée suite à la publication des spécifications faisant partie du référentiel fonctionnel, mésusage du logo, refus de se soumettre à un contrôle, etc.) peut entraîner sa résiliation et par là même, le retrait du droit d’utiliser le label.

La résiliation devient effective un mois après l’envoi par l’ASIP Santé d’une lettre recommandée avec avis de réception de mise en demeure de remédier au manquement constaté, restée infructueuse.

Pendant ce délai, le Bénéficiaire s’engage à tout mettre en œuvre pour faire cesser le manquement constaté.

Article 9.2.2 : Cas des visites et audits prévus à l’article 5

La résiliation de la Convention à l’initiative de l’ASIP Santé peut intervenir suite à une visite ou d’un audit (par exemple, en cas de non-conformité de la solution).

Article 9.2.3 : Cas de modification du label

En cas de modification du label (modification de la procédure de labellisation, du périmètre du label, du référentiel fonctionnel, etc.), l’ASIP Santé se réserve le droit de mettre fin à la Convention, sauf à ce que le Bénéficiaire s’engage à mettre en conformité sa solution avec les exigences du label modifié dans les délais prévus par l’ASIP Santé.

Elle en informera le Bénéficiaire par lettre recommandée avec avis de réception. Les Parties pourront se réunir pour déterminer des modalités de mise en conformité de la solution.

Article 9.3 : Conséquences de la résiliation

En cas de résiliation de la Convention, quel que soit le motif, le Bénéficiaire est tenu :

− de ne plus utiliser le label et le logo ;

− de procéder dans un délai de trente (30) jours calendaires au retrait de tous les documents sur lesquels est apposé le logo ou sur lesquels sont mentionnées des informations relatives à la labellisation attribuée par l’ASIP Santé ;

− de communiquer auprès des clients et utilisateurs des solutions logicielles impactées sur la nature et l’origine du retrait, sous un délai de trois (3) semaines à compter du retrait de la labellisation.

La résiliation de la Convention, pour quelque motif que ce soit, entraine automatiquement la résiliation de la licence accordée par le Bénéficiaire à l’ASIP Santé et à la CNSA, conformément à l’annexe 2 aux présentes.

La solution logicielle sera retirée de la liste des solutions labellisées par l’ASIP Santé.

Lorsque la solution a fait l’objet d’un retrait du label à l’initiative de l’ASIP Santé, le Bénéficiaire concerné peut soumettre un nouveau dossier de candidature.

ARTICLE 10 : Droits de propriété sur les éléments fournis

par l’ASIP Santé

La documentation mise à disposition des candidats et Bénéficiaires de la labellisation sont la propriété de l’ASIP Santé ou de la CNSA, dont elles autorisent l’usage et la reproduction aux seules fins de l’obtention et du maintien de la labellisation durant la période de validité de la présente Convention.

ARTICLE 11 : Cession

Le Bénéficiaire est tenu d’informer l’ASIP Santé en cas de cession de sa solution et/ou du présent contrat, ou en cas de changement de contrôle du Bénéficiaire au bénéfice d’une autre organisation et de communiquer les coordonnées de l’organisation concernée, à tout moment du déroulement du processus de labellisation ou de la durée de cette convention.

Elle donne lieu à un avenant à la présente Convention daté et signé des deux parties.

La cession de la solution labellisée et/ou de la présente Convention entraîne la cession des droits et obligations au titre de la présente Convention à l’organisation nouvellement propriétaire. La Convention s’applique de la même manière à l’organisation nouvellement propriétaire de la solution.

ARTICLE 12 : Règlement des différends

Les litiges éventuels seront portés devant le tribunal administratif du siège social de l’ASIP Santé s’ils ne peuvent être réglés à l’amiable.

Fait en deux exemplaires originaux,

A Paris, le [à renseigner par l’ASIP Santé]

L’ASIP Santé Monsieur Xxxxxx XXXXXXX Directeur La société [civilité], [prénom], [nom] [titre]
Cachet de la société

ANNEXES

− Annexe 1 : Plan Assurance Sécurité de la vérification de conformité du label « SI Commun MDPH »

− Annexe 2 : Licence d’utilisation de la solution labellisée

ANNEXE 1 : PLAN ASSURANCE SECURITE DE LA VERIFICATION DE CONFORMITE DU LABEL « SI COMMUN MDPH »

Dans le cadre de la vérification de conformité au label « SI Commun MDPH » des logiciels, l’ASIP Santé réalise deux types d’opérations :

− des visites de conformité des logiciels labellisés chez le Bénéficiaire ou tout autre endroit déterminé en accord avec lui, sur un système de démonstration fourni par le Bénéficiaire et ne comportant aucune données de santé à caractère personnel ;

− des audits de ces logiciels sur un système en production chez un client utilisateur de la solution auditée ; le système comporte dans ce cas des données à caractère personnel ; dans la mesure du possible, les tests sont réalisés sur un patient fictif ; il peut arriver que certaines vérifications nécessitent l’affichage de données de santé à caractère personnel. En aucun cas, l’auditeur ne réalise de copie d’écran ou ne note les informations de santé à caractère personnel présente à l’écran.

Dans les deux cas l’auditeur de l’ASIP Santé n’intervient à aucun moment sur le poste de travail et ne manipule pas lui-même le logiciel objet de la vérification.

Les visites de conformité complémentaires et les audits peuvent être réalisés au travers d’un outil de prise en main à distance d’un poste de travail. Dans ce second cas, seul l’affichage déporté du logiciel est utilisé.

Soucieuse de réaliser ces opérations dans les meilleures conditions de sécurité possibles, l’ASIP Santé met en œuvre le présent plan d’assurance sécurité.

CONTROLE DE L’INTERVENTION

Avant toute intervention sur un système en production, le professionnel en charge de gérer l’audit avec l’ASIP Santé est informé par courrier de la date et de l’heure de l’intervention, de la procédure mise en œuvre dans le cadre de cet audit et que l’acceptation de l’audit emporte l’acceptation de cette procédure.

Le Bénéficiaire, dans le cadre de la visite de conformité, ou le professionnel, dans le cadre des audits, sont responsables des manipulations effectuées sur le logiciel, l’auditeur de l’ASIP Santé n’intervenant à aucun moment sur le poste de travail au-delà du déport de l’affichage dans le cadre d’une intervention à distance.

SELECTION DES INTERVENANTS

Les auditeurs mandatés par l’ASIP Santé réalisant les visites de conformité et les audits sont des personnels disposant de fiches de poste décrivant leurs missions au regard du programme de labellisation.

Comme tous les personnels de l’ASIP Santé et auditeurs mandatés par l’ASIP Santé, ils s’engagent à respecter la politique de sécurité de l’information de l’agence ainsi que la charte d’utilisation des ressources informatiques. Ces documents abordent la thématique de responsabilité des acteurs vis-à- vis des informations qui leur sont confiées et qu’ils traitent. Ainsi, chaque acteur doit prendre en considération le niveau de sensibilité des informations qui lui sont confiées. Par ailleurs, la classification des ressources mise en œuvre par l’ASIP Santé oblige chaque propriétaire des informations traitées à en assurer la protection sur l’ensemble de son cycle de vie.

Dans le cadre des opérations de visite de conformité et d’audit, le contrat de travail des personnes chargées de ces opérations ou le cadre contractuel liant les auditeurs mandatés à l’ASIP santé comporte une clause de confidentialité et secret professionnel. Cette clause informe les opérateurs sur la sécurité de la prestation, les sensibilise et les engage en termes de confidentialité vis-à-vis leurs missions et sans limitation de durée.

Enfin, afin de maintenir le niveau de mobilisation des personnels de l’ASIP Santé sur la protection des données confidentielles, des sessions de sensibilisation à la sécurité sont régulièrement réalisées au sein de l’agence.

SECURISATION DES POSTES DE TRAVAIL UTILISES EN CAS DE PRISE EN MAIN A DISTANCE

Configuration des postes

Les utilisateurs ne sont pas autorisés à installer des logiciels ne faisant pas partie de la configuration par défaut. Le parc logiciel est contrôlé automatiquement. Le déploiement de logiciels supplémentaires nécessite une validation hiérarchique.

Les postes utilisés pour la visite de conformité ou l’audit à distance sont maintenus à jour en termes de logiciel et de système d’exploitation.

Ils sont tous équipés d’un logiciel anti-virus à jour.

Gestion des droits

Tout le personnel de l’ASIP Santé applique une politique de gestion des mots de passe conforme aux recommandations de la CNIL. La politique de gestion des mots de passe est appliquée à l’outil de prise en main à distance.

La fourniture de comptes administrateurs aux personnels nécessitant ces droits est réalisée avec validation du RSSI (Responsable Sécurité du Système d’Information) de l’ASIP Santé. La liste des comptes administrateurs est revue régulièrement.

Paramétrage des postes

Les postes utilisateurs sont paramétrés pour se mettre en veille automatiquement au bout de 60 minutes en verrouillant la session utilisateur.

Réseau

Le réseau de l’ASIP Santé est segmenté logiquement afin d’assurer le cloisonnement technique entre les différents environnements de l’Agence. Les postes du service opérant la prise en main à distance sont isolés des autres services.

Tous les flux réseaux de l’agence sont contrôlés par un firewall. Seuls les flux nécessaires à chaque service sont autorisés.

Traçabilité des connexions

Toutes les connexions réalisées par les intervenants sont tracées par l’outil de prise en main à distance.

Par ailleurs, tous les flux réseaux sont tracés par le firewall.

Sauvegarde et archivage

Toutes les données de traçabilité des connexions réalisées sont sauvegardées à des fins de gestion d’incident. Le Correspondant Informatique et Libertés (CIL) de l’ASIP Santé assure le suivi des délais de conservation des données en fonction de leur sensibilité et réalise la documentation nécessaire, ainsi que toute démarche auprès de la CNIL.

SECURISATION DES LOCAUX

Les opérations de visite de conformité ou d’audit par prise en main à distance du poste de travail du Bénéficiaire ou du professionnel de santé sont réalisées à partir des locaux de l’ASIP Santé. Le site de l’ASIP Santé est sécurisé par un contrôle d’accès par cartes à puce CPA. Seuls les personnels de l’ASIP Santé sont habilités à accéder aux locaux.

Les bureaux de l’ASIP Santé sont également fermés à clés et seuls les personnels de chaque bureau ainsi que les services de sécurité disposent de la clé permettant d’y accéder.

ORGANISATION DE LA SECURITE

Gestion des incidents

L’ASIP Santé dispose d’une organisation qui permet de gérer les incidents opérationnels ou de sécurité pouvant se produire sur ses activités. Les membres d’une cellule de crise sont désignés. Le fonctionnement de la cellule de crise est formalisé. Les processus de gestion des incidents sont formalisés. L’ASIP Santé dispose de médecins pouvant intervenir en cas d’incident concernant la divulgation de données de santé lors d’une vérification de conformité ou d’un audit.

Continuité de service

La compétence nécessaire à la réalisation des visites de conformité et des audits est partagée par plusieurs acteurs afin de garantir la continuité d’activité en cas de défaillance humaine.

Conformité

L’ASIP Santé réalise régulièrement des audits de ses services afin de valider leur conformité vis-à-vis des politiques de l’agence. En cas de non-conformité, des plans de remédiation sont définis afin de suivre la mise en conformité des défaillances identifiées.

Les personnes concernées par les opérations de visite de conformité ou d’audit par prise en main à distance du poste de travail du Bénéficiaire ou du professionnel de santé peuvent diligenter les services compétents afin d’auditer les services d’intervention fournis par l’ASIP Santé.

ANNEXE 2 – LICENCE D’UTILISATION DE LA SOLUTION LABELLISEE

ARTICLE 1 - OBJET

La présente a pour objet de définir les modalités selon lesquelles le Bénéficiaire met à disposition de l’ASIP Santé et de la CNSA sa solution labellisée.

ARTICLE 0 - XXXXXXXXXX XXX XXXXXX D’UTILISATION

2.1 Pendant la durée de la convention de labellisation, le Bénéficiaire concède à titre gratuit à l’ASIP Santé et à la CNSA le droit personnel, non exclusif et incessible de reproduction et d'utilisation de la solution labellisée, pour tout le territoire français et pour les besoins de la labellisation, des droits et obligations prévues par la convention de labellisation, et du déploiement par la CNSA au niveau national.

A cette fin, l’ASIP Santé et la CNSA disposent du droit de reproduire de façon permanente ou provisoire tout ou partie de la solution labellisée et de l'afficher sur tout support.

2.2 Sauf ce qui est expressément prévu au 2.1 ci-dessus, aucune stipulation de la présente licence ne peut être interprétée comme conférant à l’ASIP Santé et à la CNSA un droit quel qu’il soit (droit d'auteur, brevet ou autre droit de propriété intellectuelle) du Bénéficiaire relatif à la solution labellisée ou à toute copie de celle-ci.

En particulier, l’ASIP Santé et la CNSA ne sont pas autorisées au titre de la présente licence à :

− vendre, louer, prêter, sous-licencier ou distribuer à des fins commerciales de quelque façon que ce soit tout ou partie de la solution labellisée ;

− modifier, adapter, traduire ou corriger la solution labellisée de quelque façon que ce soit ;

− supprimer ou modifier toute mention de copyright, de numéro de version, de marque ou autre mention de propriété figurant sur l’un quelconque des éléments constituant la solution labellisée.

ARTICLE 3 - GARANTIE DE JOUISSANCE PAISIBLE

Le Bénéficiaire garantit qu'il est titulaire de tous les droits de propriété intellectuelle lui permettant de conclure la présente licence et que celle-ci n'est pas susceptible de porter atteinte aux droits de tiers. Elle garantit de même que la solution logicielle n'est constitutive en tout ou en partie ni de contrefaçon, ni de concurrence déloyale.

Le Bénéficiaire garantit l’ASIP Santé et la CNSA contre toute action qui serait intentée à leur égard par un tiers sur le fondement d'une revendication de droits de propriété sur la solution logicielle.

ARTICLE 4 - DUREE ET RESILIATION

La présente licence est signée par le Bénéficiaire concomitamment à la signature de la convention de labellisation, lors du dépôt du dossier de candidature à la procédure de labellisation « SI Commun MDPH ».

Elle entre en vigueur au même moment que la convention de labellisation, lors de sa signature par l’ASIP Santé et par la CNSA, entre en vigueur à compter de sa signature par la dernière de ces deux parties.

La présente licence est conclue pour toute la durée de la convention de labellisation et prend fin automatiquement à l’issue de cette dernière, pour quelque raison que ce soit.

Dès la résiliation ou l’expiration de la présente licence, la concession des droits prévue au titre des présentes prend automatiquement fin et l’ASIP Santé et la CNSA doivent immédiatement cesser toute utilisation de la solution objet de la présente licence et restituer au Bénéficiaire ou détruire toute copie de la solution.

ARTICLE 5 - LOI APPLICABLE ET JURIDICTION COMPETENTE

La présente licence est régie par le droit français, sans préjudice de ses stipulations relatives aux conflits de lois.

Les parties conviennent de tenter de régler à l'amiable les différends ou litiges qui viendraient à se produire par suite ou à l'occasion de la licence. A défaut d'accord amiable dans un délai d’un (1) mois à compter de la survenance du différend et sauf situation relevant d'une procédure d'urgence, les différends et litiges peuvent être portés par la partie la plus diligente devant le Tribunal administratif de Paris.

La CNSA
[civilité], [prénom], [nom] [titre] L’ASIP Santé Monsieur Xxxxxx XXXXXXX Directeur La société [civilité], [prénom], [nom] [titre]
Cachet de la société

20

Convention relative à l’utilisation du label SI Commun MDPH – Version 1.0 – Décembre 2017

Convention relative aux conditions d’utilisation du label SI Commun MDPH

Version 1.0 Date 29/12/2017