Date de signature : | 04/04/2022 | Statut du texte : | En vigueur |
Date de publication : | 13/04/2022 | Emetteur : | Ministère des solidarités et de la santé |
Consolidée le : | Source : | JO du 13 avril 2022 | |
Date d'entrée en vigueur : | 14/04/2022 |
Arrêté du 4 avril 2022 relatif à des moyens d’identification électronique immatériels mis à disposition des professionnels, personnes physiques des secteurs sanitaire, social et médicosocial pour l’utilisation des services numériques en santé
NOR : SSAD2208266A
Le ministre des solidarités et de la santé,
Arrête :
CHAPITRE 1er
DISPOSITIONS RELATIVES À L’APPLICATION MOBILE DÉNOMMÉE « E-CPS »
Art. 1er. – Le ministre chargé de la santé confie au groupement d’intérêt public mentionné à l’article L. 1111-24 du code de la santé publique, dénommé « Agence du numérique en santé », la mission de mettre gratuitement à disposition des professionnels personnes physiques intervenant dans les secteurs sanitaire, social et médico-social, un moyen d’identification électronique immatériel dénommé « e-CPS ».
La e-CPS est une application mobile à télécharger sur un terminal compatible.
Ce moyen d’identification électronique est destiné à permettre aux professionnels mentionnés au premier alinéa et intervenant dans le système de santé de s’identifier électroniquement auprès des services numériques en santé mentionnés à l’article L. 1470-1 du code de la santé publique.
L’Agence du numérique en santé met à disposition sur son site internet une documentation permettant de guider les professionnels dans leurs démarches de téléchargement, d’activation et d’utilisation de la « e-CPS ».
Art. 2. – L’obtention d’une e-CPS est soumise à deux conditions :
a) L’enregistrement préalable du professionnel dans le répertoire sectoriel de référence des personnes physiques mentionné à l’article L. 1470-4 du code de la santé publique ;
b) La détention par le professionnel d’un terminal compatible.
Art. 3. – Les catégories de données à caractère personnel traitées par l’Agence du numérique en santé aux fins de gestion de la e-CPS sont les suivantes :
a) Les données d’identification du professionnel ;
b) Les coordonnées téléphoniques et électroniques du professionnel. Ces données sont issues du répertoire sectoriel de référence des personnes physiques mentionné à l’article L. 1470-4 du code de la santé publique.
Art. 4. – Pour pouvoir être utilisée, la e-CPS doit préalablement être activée, selon une des deux modalités suivantes :
a) Soit par l’utilisation du moyen d’identification électronique mentionné à l’article L. 161-33 du code de la sécurité sociale ;
b) Soit par la saisie, par le professionnel de deux codes de validation ou tout autre secret qui lui sont préalablement adressés respectivement aux coordonnées téléphoniques et électroniques enregistrées dans le répertoire sectoriel de référence des personnes physiques.
Après activation de la e-CPS, le professionnel choisit un code personnel qui est associé à sa e-CPS.
La même procédure s’applique en cas de renouvellement d’une e-CPS, à l’approche de son expiration ou à la suite d’une désactivation.
Lors d’une identification électronique auprès d’un service numérique en santé, le professionnel saisit l’identifiant qui lui a été attribué lors de son enregistrement au répertoire sectoriel de référence des personnes physiques, puis saisit son code personnel ou un facteur d’authentification dynamique.
CHAPITRE 2
DISPOSITIONS RELATIVES AU TÉLÉSERVICE DÉNOMMÉ « PRO SANTÉ CONNECT »
Art. 5. – Un téléservice dénommé « Pro Santé Connect » est mis à disposition des professionnels des secteurs sanitaire, social ou médico-social, afin de simplifier et de fiabiliser les modalités d’identification électronique pour l’utilisation des services numériques en santé mentionnés à l’article L. 1470-1 du code de la santé publique.
Il permet à ces professionnels de s’identifier électroniquement pour l’utilisation des services numériques en santé grâce aux deux moyens d’identification électronique suivants :
EXI PSC XX | L'ensemble des exigences du référentiel est identifiable par un encadré gris |
Documentation juridique | Article L. 1470-3 du code de la santé publique :
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043497483?init=true&page=1&query=Article+L.1470-3+&searchField=ALL&tab_selection=all Règlement eIDAS : https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-reglement-eidas/ |
Plateforme API.Gouv |
https://api.gouv.fr/les-api/api-pro-sante-connect |
Référentiels PGSSI-S sur l'identification électronique |
https://esante.gouv.fr/offres-services/pgssi-s/espace-de-publication |
Référentiel d'interopérabilité |
https://esante.gouv.fr/services/referentiels/ci-sis/espace-publication/couche-transport |
MOS/NOS |
https://esante.gouv.fr/services/referentiels/ci-sis/espace-publication/couche-transport |
Plateforme IGC Santé |
https://pfc.eservices.esante.gouv.fr/ |
Documentation technique de PSC |
https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/documentation-technique |
Conditions Générales d'Utilisation de PSC |
https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/conditions-generale-d-utilisation-pro-sante-connect |
Charte graphique de PSC |
https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/charte-graphique-pro-sante-connect |
Services raccordés à PSC |
https://esante.gouv.fr/securite/e-cps/services-raccordes-a-pro-sante-connect |
OpenID |
https://openid.net/connect/ |
Implémentations OIDC |
https://openid.net/developers/certified/ |
Client-Initiated Backchannel Authentication |
https://openid.net/specs/openid-client-initiated-backchannel-authentication-core-1_0.html |
EXIGENCE | Applicable aux FS | Applicable aux FD |
---|---|---|
EXI PSC 01 | Oui | Oui |
EXI PSC 02 | Oui | Oui |
EXI PSC 03 | Oui | Non |
EXI PSC 04 | Oui | Oui |
EXI PSC 05 | Oui | Oui |
EXI PSC 06 | Oui | Oui |
EXI PSC 07 | Oui | Oui |
EXI PSC 08 | Oui | Oui |
EXI PSC 09 | Oui | Oui |
EXI PSC 10 | Oui | Oui |
EXI PSC 11 | Oui | Non |
EXI PSC 12 | Oui | Oui |
EXI PSC 13 | Oui | Oui |
EXI PSC 14 | Oui | Oui |
EXI PSC 15 | Oui | Oui |
EXI PSC 16 | Oui | Oui |
EXI PSC 17 | Oui | Oui |
EXI PSC 18 | Oui | Non |
EXI PSC 19 | Oui | Non |
EXI PSC 20 | Oui | Non |
EXI PSC 21 | Oui | Oui |
EXI PSC 22 | Oui | Oui |
EXI PSC 23 | Oui | Oui |
EXI PSC 24 | Oui | Oui |
EXI PSC 25 | Oui | Oui |
EXI PSC 26 | Oui | Oui |
EXI PSC 27 | Oui | Oui |
EXI PSC 28 | Oui | Non |
EXI PSC 29 | Oui | Non |
EXI PSC 30 | Oui | Non |
EXI PSC 31 | Oui | Non |
EXI PSC 32 | Oui | Non |
EXI PSC 33 | Oui | Oui |
RECO PSC 01 | Oui | Oui |
RECO PSC 02 | Oui | Oui |
RECO PSC 03 | Oui | Non |
RECO PSC 04 | Oui | Non |
RECO PSC 05 | Oui | Oui |
RECO PSC 06 | Oui | Non |
EXI PSC 01 | Le Fournisseur de Service DOIT être une personne morale (entreprise, association, groupement d'intérêt économique, etc.) de droit privé ou public, immatriculée dans l'Union Européenne |
EXI PSC 02 | Le Fournisseur de Service DOIT s'engager à ne pas prononcer des propos ou proposer des contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœurs |
EXI PSC 03 | Le service DOIT être proposé en langue française |
EXI PSC 04 | Le service DOIT proposer à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, des fonctionnalités qui nécessitent leur identification électronique |
EXI PSC 05 | Le Fournisseur de Service DOIT respecter la loi du 6 janvier 1978, dite Informatique et Libertés , ainsi que le Règlement Général sur la Protection des Données (RGPD) en particulier en ce qui concerne l'information des utilisateurs |
EXI PSC 06 | Le service DOIT, lorsqu'il traite de données de santé, assurer leur confidentialité et leur intégrité, tout en assurant leur hébergement par un hébergeur agréé ou certifié HDS |
EXI PSC 07 | Le Fournisseur de Service DOIT prévenir l'ANS dans le cas où le service ne serait plus conforme à une des exigences du présent Référentiel et/ou en cas de changement dans les informations qui ont été déclarées lors de la candidature au raccordement à Pro Santé Connect |
EXI PSC 08 | Le Fournisseur de Service DOIT être client OpenID Connect |
RECO PSC 01 | Le Fournisseur de Service DEVRAIT utiliser une implémentation parmi celles qui sont certifiées par la fondation OpenID Connect |
EXI PSC 09 | Le Fournisseur de Service DOIT respecter les flux standards OpenID |
EXI PSC 10 | Le Fournisseur de Service DOIT utiliser les flux OpenID définis par Pro Santé Connect |
EXI PSC 11 | Le Fournisseur de Service DOIT rafraîchir périodiquement les informations d'authentification auprès de Pro Santé Connect uniquement lorsque l'utilisateur utilise activement son service |
EXI PSC 12 | Le Fournisseur de Service DOIT avoir testé avec succès son service avec les endpoints de Pro Santé Connect Bac à Sable, préalablement à toute connexion à la production |
EXI PSC 13 | Le Fournisseur de Service DOIT donner accès à l'ANS à son service de test |
EXI PSC 14 | Le Fournisseur de Service DOIT contacter les endpoints de Pro Santé Connect Production |
2.8. Paramétrage des requêtes
EXI PSC 15 | Le Fournisseur de Service DOIT paramétrer ses requêtes de token (token ID, token d'accès, token UserInfo) suivant le standard OpenID |
EXI PSC 16 | Le Fournisseur de Service DOIT utiliser le paramètre acr_values lors de la demande d'authentification avec la valeur eidas1 |
EXI PSC 17 | Le Fournisseur de Service DOIT paramétrer ses requêtes d'autorisation avec les scopes “openid” et “scope_all” |
EXI PSC 18 | Le Fournisseur de Service DOIT utiliser le champ SubjectNameID pour récupérer l'identifiant unique de l'identité, et référencer cet identifiant dans sa traçabilité interne |
ECO PSC 02 | Le Fournisseur de Service PEUT mettre en place un contrôle d'accès sur des attributs de l'identification électronique (profession, secteur d'activité, etc.) issus du jeton Pro Santé Connect |
A toutes fins utiles, il est fréquent que des services utilisent la profession ou le rôle professionnel (nomenclatures NOS - TRE_G15, TRE_R94, TRE_R95, TRE_R291) ou d'autres éléments de la nomenclature MOS (6)/NOS utilisée par l'ANS et véhiculée dans le scope_all.
Pour gérer les cas de mésusages éventuels, il est fortement recommandé que le service mette en œuvre un mécanisme de blocage des utilisateurs indélicats.
RECO PSC 05 | Le Fournisseur de Service PEUT mettre en place un mécanisme de blocage des utilisateurs indélicats |
2.10. Gestion et fusion des comptes avec d'autres systèmes d'authentification électronique
Un FS dispose généralement de systèmes d'identification électroniques préexistants et/ou complémentaires à PSC. Il peut les maintenir s'ils sont conformes aux référentiels sur l'identification électroniques. La fusion des comptes doit alors être effectuée.
RECO PSC 03 | Le Fournisseur de Service PEUT utiliser d'autres systèmes d'identification électronique que Pro Santé Connect, notamment pour permettre à des utilisateurs professionnels non encore enregistrés au RPPS d'accéder au service, et/ou de palier à des indisponibilités de Pro Santé Connect ou de connexion réseau |
EXI PSC 19 | Le Fournisseur de Service DOIT alors fusionner ses comptes autour de l'identifiant pivot RPPS, afin de permettre à ses utilisateurs de ne garder qu'un seul compte dans l'outil, quel que soit leur modalité de connexion |
RECO PSC 04 | Pour les cas où la gestion du compte utilisateur ne disposaient pas auparavant du numéro RPPS enregistré, le Fournisseur de Service PEUT demander à l'utilisateur final de se connecter avec Pro Santé Connect et une des autres modalités de connexion disponibles successivement afin d'effectuer l'appariement autour de l'identifiant pivot RPPS |
EXI PSC 20 | Le Fournisseur de Service DOIT offrir à l'utilisateur la possibilité de se déconnecter, quel que soit le moyen de connexion utilisé au préalable. S'il s'agit de Pro Santé Connect, le Fournisseur de Service doit déconnecter l'utilisateur à la fois du service et de Pro Santé Connect |
Par ailleurs, PSC ne gère pas la déconnexion de l'usager au service PSC à la fermeture du navigateur tant qu'une session est active.
De son côté, le FS peut avoir un mécanisme pour détecter cette fermeture du navigateur. Dans ce cas, il ne doit pas propager cette déconnexion à PSC au cas où l'utilisateur utiliserait d'autres services, par exemple dans d'autres navigateurs, sur cette même session.
RECO PSC 06 | Le Fournisseur de Service PEUT déconnecter l'utilisateur du service à la fermeture du navigateur ou du client lourd, sans clôturer la session propre à Pro Santé Connect |
Déconnexion automatique de l'utilisateur du service et de PSC
PSC dispose d'un mécanisme de déconnexion automatique de la session PSC au bout d'une certaine durée sans rafraîchissement de la part du ou des FS de cette session (8).
Par ailleurs, le FS doit avoir un mécanisme similaire, sans néanmoins propager cette déconnexion à PSC au cas où l'utilisateur utiliserait d'autres services, par exemple dans d'autres onglets, sur cette même session.
EXI PSC 32 | Le Fournisseur de Service DOIT déconnecter l'utilisateur automatiquement de son service après une période d'inactivité, sans clôturer la session propre à Pro Santé Connect |
2.12. Sécurité
Après approbation d'une demande de raccordement par PSC, un client ID et un Secret sont fournis au FS afin qu'il puisse communiquer avec PSC.
EXI PSC 21 | Le Fournisseur de Service DOIT utiliser les informations de raccordement : client ID et Secret fournis par Pro Santé Connect |
Pour des questions de sécurité, le client ID et le Secret ne doivent jamais être localisé sur l'appareil de l'utilisateur final.
EXI PSC 22 | Le Fournisseur de Service DOIT conserver le client ID et le Secret au niveau d'un serveur |
Quel que soit la solution implémentée par l'industriel, PSC ne sera en contact qu'avec un seul serveur, jamais avec un client local.
EXI PSC 23 | Le Fournisseur de Service DOIT proposer un unique point de contact à Pro Santé Connect |
Les paramètres de sécurité de la protection des flux entre le FS et PSC suivent les préconisations de l'ANSSI : TLS1.2 au minimum, et nécessite l'obtention d'un certificat de AUTH_CLI de l'offre ORG de l'IGC-Santé (9). Un certificat de l'IGC-Santé peut être obtenu en utilisant la Plateforme IGC-Santé (https://pfc.eservices.esante.gouv.fr/).
EXI PSC 24 | Le Fournisseur de Service DOIT communiquer avec Pro Santé Connect via une connexion sécurisée au minimum via TLS 1.2 par un certificat AUTH_CLI de l'offre ORG de l'IGC-Santé |
Dans la suite du document un ‘client lourd' est défini comme une application native ne s'appuyant pas sur un navigateur internet de l'appareil de l'utilisateur. A titre d'exemple, les applications installées sur l'appareil de l'utilisateur ou les applications mobiles déployées par les magasins logiciels des systèmes d'exploitation sont considérés dans le cadre de référentiel PSC comme des clients lourds.
PSC permet aux FS client lourds de se raccorder en flux de redirection web ou en flux CIBA.
L'utilisation de composants tels que les “webviews” (visualisation du navigateur web dans une application) n'est pas suffisamment sécurisée.
EXI PSC 25 | Le Fournisseur de Service de type client lourd DOIT utiliser une autre méthode que l'intégration native d'un composant navigateur à l'intérieur de son applicatif pour le déroulé de la cinématique de connexion Pro Santé Connect |
Le FS pourra ouvrir un navigateur extérieur et implémenter un mécanisme d'échange entre le serveur et son service client lourd.
EXI PSC 26 | Le Fournisseur de Service de type client lourd DOIT utiliser un navigateur extérieur à son application pour la cinématique "flux code d'autorisation” de Pro Santé Connect |
L'ANS se laisse le droit de faire évoluer les modalités techniques du service PSC, notamment vis à vis d'améliorations de sécurité liées aux préconisations de la PGSSI-S (10).
EXI PSC 33 | Le Fournisseur de Service DOIT se maintenir conforme aux préconisations sécuritaires du service Pro Santé Connect prononcées et signifiées par l'ANS auprès du responsable technique du Fournisseur de Service |
Par ailleurs, en cas d'incident de sécurité sur son service, en particulier si cet incident a un lien avec PSC, le FS doit le signaler à l'ANS.
EXI PSC 27 | Le Fournisseur de Service DOIT prévenir l'ANS sous 12h en cas de détection d'un incident de sécurité et/ou impliquant une violation de données à caractère personnel |
2.13. Identité visuelle
PSC peut être proposé aux côtés d'autres modalités d'identification électronique. Dans ce cas, il est obligatoire d'intégrer les boutons officiels de PSC au même niveau que les autres méthodes de connexions proposées par le service : dans une même zone graphique, l'ensemble des moyens d'authentification doit être visible et mis sur un pied d'égalité.
EXI PSC 28 | Le Fournisseur de Service DOIT intégrer l'identification électronique par Pro Santé Connect au même niveau que les autres modalités d'identification électronique proposées aux utilisateurs professionnels |
PSC propose des boutons officiels à destination des FS. Il n'est pas permis d'utiliser d'autres boutons que ceux proposés. Ce référentiel met à disposition cette charte graphique (https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/charte-graphique-pro-sante-connect).
EXI PSC 29 | Le Fournisseur de Service DOIT utiliser l'un des éléments graphiques fournis par Pro Santé Connect pour l'intégration Pro Santé Connect conformément à la charte graphique de l'ANS |
EXI PSC 30 | Le Fournisseur de Service DOIT respecter la charte graphique Pro Santé Connect |
EXI PSC 31 | Le Fournisseur de Service DOIT disposer de conditions générales d'utilisation et y insérer le paragraphe type sur Pro Santé Connect (Identification électronique par Pro Santé Connect) |
Identification électronique par Pro Santé Connect Pro Santé Connect est un téléservice mis en œuvre par l'Agence du Numérique en Santé (ANS) contribuant à simplifier l'identification électronique des professionnels intervenant en santé. L'utilisateur peut se connecter grâce à son application mobile e-CPS ou sa carte CPS, avec un lecteur de cartes et les composants nécessaires. |
3. Glossaire
ANS | Agence du Numérique en Santé |
API PSConnectée | Interface de Programmation d'Application référencée dans PSC |
CIBA | Client Initiated Backchannel Authentication |
CGU | Conditions Générales d'Utilisation |
Endpoint | Point d'entrée |
FD | Fournisseur de Données |
FS | Fournisseur de Service |
JSON | JavaScript Object Notation |
PGSSI-S | Politique Générale de Sécurité du Système d'Information de Santé |
PS | Professionnel de Santé |
PSC | Pro Santé Connect |
REST | REpresentational State Transfer |
RPPS | Répertoire Partagé des Professionnels de Santé |