13-Partenariat Public Privé dans le domaine de santé.pdf
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
1. CPS et dispositifs équivalents
Evolution des modalités
d’authentification
Jeanne BOSSI, Secrétaire Générale
21 novembre 2013
2. I- Préambule
-
La définition d’un référentiel de sécurité est un des leviers
majeurs de la dématérialisation des données de santé
(référentiel juridique/référentiel technique).
-
La dématérialisation des données de santé s’accompagne d’une
évolution des pratiques professionnelles : coordination des soins,
parcours de soins.
-
Le référentiel de sécurité doit s’adapter aux nouveaux modes de
pratique et d’exercice médical : mobilité, pluridisciplinarité …
-
L’authentification des acteurs de la esanté doit rester un élément
essentiel de la sécurité (patients et professionnels).
CPS et dispositifs équivalents
21 novembre 2013 2
3. II- La CPS, les textes et leur articulation
-
Initialement, la CPS est créée pour permettre la transmission
électronique de documents dont la feuille de soins (article L161-33 du code
de la sécurité sociale).
-
Elle devient ensuite le moyen obligatoire de l’accès aux données de
santé à caractère personnel et de leur transmission par voie électronique
(articles L1110-4 et R1110-3 du code de la santé publique).
-
Mais elle n’est plus juridiquement le seul depuis la loi «HPST» du 21
juillet 2009 :
- dispositif équivalent agréé par l’ASIP Santé (article L1110-4)
- référentiels de sécurité et d’interopérabilité nécessaires à
la détention et au traitement de données de santé à
caractère personnel (article L1111-8 alinéa 4).
Articulation délicate entre la loi, le décret non mis à jour et
21 novembre 2013
3
l’évolution des pratiques.
4. III- Les principes de l’authentification des
professionnels
-
La tenue d’un annuaire alimenté par des identités certifiées en amont par des
autorités d’enregistrement (ordres professionnels) et mis à jour est l’élément
fondateur de toute politique d’identification.
-
Pour les professions de santé, ce principe est prévu par la loi et mis en œuvre
depuis 2009 avec le RPPS (numéro RPPS). C’est un élément préalable et
essentiel à la mise en œuvre de fonctions de sécurité tant au niveau national que
local : produits de certification (IGC).
-
Cette IGC permet l’émission de certificats électroniques délivrés à des personnes
physiques et à des personnes morales, qui constituent des pièces d’identité
électroniques matérialisables par différents supports dont la CPS.
-
Les travaux actuels de la PGSSI sur l’authentification des acteurs de santé
distinguent ainsi l’authentification publique associée à un identifiant de portée
nationale et l’authentification privée associée à un identifiant de portée nationale
ou locale.
CPS et dispositifs équivalents
21 novembre 2013
4
5. IV- Adaptation des dispositifs aux usages
Illustration avec la MSS
-
La mise en service de la MSS marque une étape importante dans la
reconnaissance de dispositifs équivalents à la CPS.
-
La CNIL dans sa délibération du 25 avril 2013 « … prend acte de ce que les
professionnels de santé, utilisateurs finaux, accèderont à la MSS à l’aide de leur
carte de professionnel de santé (CPS) ou par un identifiant et un mot de passe
personnel, couplé à un mot de passe à usage unique(OTP) …. . La
Commission estime que ces mesures, qui apparaissent conformes aux
dispositions de l’article L. 1110-4 du code de la santé publique, sont de
nature à garantir une authentification fiable des émetteurs et destinataires
des messages. »
-
Le CAH a également reconnu dans son avis du 26 avril 2013 la possibilité pour le
professionnel de santé d’utiliser un « moyen alternatif d’authentification forte ».
CPS et dispositifs équivalents
21 novembre 2013
5
6. IV- Adaptation des dispositifs aux usages
Illustration avec la MSS
Authentification directe
avec carte CPS
Accès depuis poste
« banalisé »
Authentification directe
avec OTP (SMS ou
mail)
Accès en mobilité
depuis smartphone
« privé »
Authentification directe
Push OTP
CPS et dispositifs équivalents
Carte CPS + Poste configuré CPS +
Lecteur de carte + Code Pin
@ ou
Poste + Code d’accès / mot de passe +
Media de réception de l’OTP + OTP
Smartphone « privé » + Code d’accès /
mot de passe
et
Authentification indirecte
Opérateur ES ou tiers
Certificat personne
morale
sur proxy d’ES ou
tiers
poste du domaine + Code d’accès /
mot de passe + connexion sécurisée
3 octobre 2013
6
Enr. annuaire
domaine privé
Accès depuis poste
« banalisé » au sein
d’un domaine privé
Enrôlement depuis annuaire national
Création BAL ou accès
poste « spécialisé »