Arrêté du 4 avril 2022 relatif aux moyens d'identification électronique des personnes morales intervenant dans les secteurs sanitaire, social et médico-social pour l'utilisation des services numériques en santé
NOR : SSAD2210341A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2022/4/4/SSAD2210341A/jo/texte
Le ministre des solidarités et de la santé,
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
- Vu la directive 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, et notamment la notification n° 2021/552/F en date du 17 août 2021 ;
- Vu le code de commerce, notamment ses articles R. 123-220 et suivants ;
- Vu le code de la santé publique, notamment ses articles L. 1111-24, L. 1470-3 et L. 1470-4 ;
- Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
- Vu l'ordonnance n° 2021-581 du 12 mai 2021 relative à l'identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l'assurance maladie ;
- Vu l'arrêté du 8 avril 2021 portant approbation d'un avenant modifiant la convention constitutive du groupement d'intérêt public « Agence du numérique en santé » et portant création de collèges,
Arrête :
Article 1
En application de l'article L. 1470-3 du code de la santé publique, le groupement d'intérêt public mentionné à l'article L. 1111-24 du code de la santé publique, ci-après dénommé « Agence du numérique en santé », est chargé de mettre à disposition des professionnels, personnes morales, intervenant dans les secteurs sanitaire, social et médico-social, des moyens dématérialisés d'identification électronique permettant l'utilisation des services numériques en santé mentionnés à l'article L. 1470-1 du code de la santé publique.
Ces moyens d'identification électronique prennent la forme de certificats logiciels.
Deux catégories de certificats sont mis à disposition des utilisateurs des services numériques en santé :
1° Des certificats de type « organisation », qui servent à identifier une personne morale ;
2° Des certificats de type « serveur », qui sont utilisés pour identifier un serveur en particulier, placé sous la responsabilité d'une personne morale.
Ces certificats sont émis par l'autorité de certification de l'Agence du numérique en santé dénommée « Infrastructure de gestion de clés en santé ».
Article 2
I. - Les certificats logiciels sont délivrés aux personnes morales après une procédure d'enrôlement qui consiste à vérifier leur enregistrement préalable dans le répertoire sectoriel de référence des personnes morales mentionné à l'article L. 1470-4 du code de la santé publique ou, à défaut, dans le répertoire national mentionné au premier alinéa de l'article R. 123-220 du code de commerce.
Chaque certificat émis est référencé par un numéro de série unique. Il contient, outre l'identité du porteur, sa clé publique et précise le type d'usage auquel il est destiné.
L'autorité de certification garantit l'association entre la clé publique et l'identité de la personne morale.
La vérification de la non-expiration, de l'absence de révocation et le bon usage du certificat est à la charge du service numérique en santé.
II. - Les certificats mentionnés au I comportent l'identifiant de la personne morale, issu de l'enregistrement au répertoire sectoriel de référence des personnes morales mentionné à l'article L. 1470-4 du code de la santé publique ou, à défaut, au répertoire national mentionné au premier alinéa de l'article R. 123-220 du code de commerce.
Ces certificats donnent droit à deux types d'usage :
1° Un usage d'« authentification », qui permet l'identification électronique de la personne morale ;
2° Un usage de « signature », qui permet la signature de jetons d'identification électronique.
III. - Les caractéristiques détaillées et la durée de validité des certificats mentionnés au I sont précisées dans les politiques de certification relatives aux certificats d'authentification de type « serveur » et aux certificats d'authentification et ou de signature de type « organisation », éditées par l'Agence du numérique en santé.
Ces politiques de certification peuvent être consultées sur le site internet de l'Agence du numérique en santé à l'adresse suivante : http://igc-sante.esante.gouv.fr/PC/#pcr.
Article 3
Toute demande de certificat doit être précédée de la désignation, par la personne morale à l'origine de la demande, d'un administrateur technique qui sera chargé de la phase technique de la commande et de la récupération du certificat.
La demande s'effectue en ligne sur le site de l'Agence du numérique en santé, à l'adresse suivante : https://pfc.eservices.esante.gouv.fr/.
La personne morale qui s'est vue délivrer un certificat garantit que des mesures de protection techniques et organisationnelles sont mises en œuvre pour assurer la sécurité des clés privées associées aux certificats émis par l'Agence du numérique en santé.
Les certificats logiciels peuvent être révoqués notamment en cas de perte ou vol, de cessation d'activité du demandeur ou de changement d'une donnée contenue dans le certificat. Toute révocation est définitive.
La révocation d'un certificat logiciel s'effectue selon les modalités suivantes :
- soit sur demande du propriétaire du certificat, du représentant légal de la structure ou d'un mandataire désigné ;
- soit sur demande d'une autorité judiciaire ou de tutelle ;
- soit d'office par l'Agence du numérique en santé, en cas de non-respect des conditions d'utilisation des produits de certification.
L'intégralité des causes et modalités de révocation des certificats sont précisées dans les « Politiques de Certification » de l'Agence du numérique en santé mentionnées à l'article 2.
Article 4
La déléguée ministérielle au numérique en santé est chargée de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait le 4 avril 2022.
Pour le ministre et par délégation :
La déléguée ministérielle au numérique en santé,
L. Létourneau
Source Légifrance