Le document aborde l'évolution des modalités d'authentification dans le cadre de la dématérialisation des données de santé, soulignant l'importance d'un référentiel de sécurité adaptatif. La création et l'utilisation de la carte de professionnel de santé (CPS) et d'autres dispositifs équivalents sont discutées, en mettant l'accent sur la nécessité d'une identification fiable des professionnels de santé. Enfin, le document détaille des exemples d'authentification, notamment à travers la messagerie sécurisée de santé (MSS), et les évolutions réglementaires correspondantes.

1. CPS et dispositifs équivalents
Evolution des modalités
d’authentification
Jeanne BOSSI, Secrétaire Générale
21 novembre 2013

2. I- Préambule
-
La définition d’un référentiel de sécurité est un des leviers
majeurs de la dématérialisation des données de santé
(référentiel juridique/référentiel technique).
-
La dématérialisation des données de santé s’accompagne d’une
évolution des pratiques professionnelles : coordination des soins,
parcours de soins.
-
Le référentiel de sécurité doit s’adapter aux nouveaux modes de
pratique et d’exercice médical : mobilité, pluridisciplinarité …
-
L’authentification des acteurs de la esanté doit rester un élément
essentiel de la sécurité (patients et professionnels).
CPS et dispositifs équivalents
21 novembre 2013 2

3. II- La CPS, les textes et leur articulation
-
Initialement, la CPS est créée pour permettre la transmission
électronique de documents dont la feuille de soins (article L161-33 du code
de la sécurité sociale).
-
Elle devient ensuite le moyen obligatoire de l’accès aux données de
santé à caractère personnel et de leur transmission par voie électronique
(articles L1110-4 et R1110-3 du code de la santé publique).
-
Mais elle n’est plus juridiquement le seul depuis la loi «HPST» du 21
juillet 2009 :
- dispositif équivalent agréé par l’ASIP Santé (article L1110-4)
- référentiels de sécurité et d’interopérabilité nécessaires à
la détention et au traitement de données de santé à
caractère personnel (article L1111-8 alinéa 4).
Articulation délicate entre la loi, le décret non mis à jour et
21 novembre 2013
3
l’évolution des pratiques.

4. III- Les principes de l’authentification des
professionnels
-
La tenue d’un annuaire alimenté par des identités certifiées en amont par des
autorités d’enregistrement (ordres professionnels) et mis à jour est l’élément
fondateur de toute politique d’identification.
-
Pour les professions de santé, ce principe est prévu par la loi et mis en œuvre
depuis 2009 avec le RPPS (numéro RPPS). C’est un élément préalable et
essentiel à la mise en œuvre de fonctions de sécurité tant au niveau national que
local : produits de certification (IGC).
-
Cette IGC permet l’émission de certificats électroniques délivrés à des personnes
physiques et à des personnes morales, qui constituent des pièces d’identité
électroniques matérialisables par différents supports dont la CPS.
-
Les travaux actuels de la PGSSI sur l’authentification des acteurs de santé
distinguent ainsi l’authentification publique associée à un identifiant de portée
nationale et l’authentification privée associée à un identifiant de portée nationale
ou locale.
CPS et dispositifs équivalents
21 novembre 2013
4

5. IV- Adaptation des dispositifs aux usages
Illustration avec la MSS
-
La mise en service de la MSS marque une étape importante dans la
reconnaissance de dispositifs équivalents à la CPS.
-
La CNIL dans sa délibération du 25 avril 2013 « … prend acte de ce que les
professionnels de santé, utilisateurs finaux, accèderont à la MSS à l’aide de leur
carte de professionnel de santé (CPS) ou par un identifiant et un mot de passe
personnel, couplé à un mot de passe à usage unique(OTP) …. . La
Commission estime que ces mesures, qui apparaissent conformes aux
dispositions de l’article L. 1110-4 du code de la santé publique, sont de
nature à garantir une authentification fiable des émetteurs et destinataires
des messages. »
-
Le CAH a également reconnu dans son avis du 26 avril 2013 la possibilité pour le
professionnel de santé d’utiliser un « moyen alternatif d’authentification forte ».
CPS et dispositifs équivalents
21 novembre 2013
5

6. IV- Adaptation des dispositifs aux usages
Illustration avec la MSS
Authentification directe
avec carte CPS
Accès depuis poste
« banalisé »
Authentification directe
avec OTP (SMS ou
mail)
Accès en mobilité
depuis smartphone
« privé »
Authentification directe
Push OTP
CPS et dispositifs équivalents
Carte CPS + Poste configuré CPS +
Lecteur de carte + Code Pin
@ ou
Poste + Code d’accès / mot de passe +
Media de réception de l’OTP + OTP
Smartphone « privé » + Code d’accès /
mot de passe
et
Authentification indirecte
Opérateur ES ou tiers
Certificat personne
morale
sur proxy d’ES ou
tiers
poste du domaine + Code d’accès /
mot de passe + connexion sécurisée
3 octobre 2013
6
Enr. annuaire
domaine privé
Accès depuis poste
« banalisé » au sein
d’un domaine privé
Enrôlement depuis annuaire national
Création BAL ou accès
poste « spécialisé »