PGSSIS- Engagement de sécurisation de l’identification électronique

Arrêté du 28 mars 2022 portant approbation du référentiel relatif à l’identification électronique des acteurs des secteurs sanitaire, médico-social et social, personnes physiques et morales, et à l’identification électronique des usagers des services numériques en santé
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
Comment se connecter à un service numérique en santé ? Quelles sont les modalités d’identification électronique et d’authentification des usagers, des acteurs des secteurs sanitaire, (médico-social et social personnes morales et personnes physiques) pour accéder à des services numériques de santé ? L’identification et l’authentification : un enjeu de sécurité, d’imputabilité et de traçabilité des actions.
L’ordonnance n°2021-581 du 12 mai 2021 relative à l’identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l’assurance maladie a introduit le titre VII « Services numériques en santé » (art L 1470-1 à 1470-6) dans le CSP, a modifié les articles L 161-15-4 et suivants du code de la sécurité sociale et a ajouté l’article L 312-10 du code de l’action sociale et des familles.

Afin de garantir l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel, les services numériques en santé destinés à être utilisés par les personnes morales et physiques mentionnées aux 1° et 2° de l’article L. 1470-1 doivent être conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public mentionné à l’article L. 1111-24, pour le traitement de ces données, leur conservation sur support informatique et leur transmission par voie électronique (art L 1470-5 CSP).
Le référentiel relatif à l’identification électronique des acteurs sanitaires, pris en application des articles L 1470-2 et L 1470-5 du code de la santé publique (CSP) définit le niveau minimum de garantie attendu concernant les modalités d’identification électronique des utilisateurs des services numériques en santé. Le référentiel est décomposé en 3 volets

Chacun des volets a pour objectif de définir les modalités d’identification électronique des personnes morales, des personnes physiques dans le secteur sanitaire, médico-social et les différents identifiants et moyens d’identification électronique utilisables pour ces personnes morales, personnes physiques et usager en fonction du cadre d’usage.
Pour chaque volet il prévoit :
- L’identification électronique
- Les moyens d’identification électronique
- Une feuille de route
- Des engagements de la part du fournisseur de service numérique de santé
1- Les exigences sur l’identité électronique (IE)
L’« identification électronique », vocable provenant du Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23/07/2014 (« règlement eIDAS ») désigne le processus utilisé par une personne physique ou morale pour s’identifier et s’authentifier auprès d’un système d’information (SI) ;
L’identification électronique sur un service numérique de santé traitant des données de santé à caractère personnel est autorisée avec un moyen d’identification électronique certifié conforme au niveau de garantie substantiel ou élevé. Le référentiel décrit des paliers successifs à atteindre, entre le 1er juin 2022 et le 31 décembre 2025. Le respect des exigences correspondantes est obligatoire pour les acteurs concernés.
1.1- Acteurs de santé Personnes physiques
Lors d’une demande d’identification électronique d’un acteur personne physique intervenant en santé, l’usage de l’identifiant national du secteur de la santé est à privilégier lorsqu’il existe.
Les identifiants nationaux à utiliser pour l’identification des acteurs personnes physiques intervenant en santé sont :
– Soit l’identifiant RPPS, à utiliser en priorité s’il existe pour la personne à identifier ;
– Soit l’identifiant ADELI, toléré de façon transitoire jusqu’à son remplacement définitif par l’identifiant RPPS pour les professions encore enregistrées dans ADELI
L’usage d’un identifiant issu d’un répertoire sectoriel de référence est fortement recommandé et à privilégier dans tous les cas d’usage d’identification électronique.
Une identification électronique reposant uniquement sur un identifiant privé est toutefois admissible pour le cas de services numériques non sensibles ou lorsque la personne physique n’est pas éligible à l’enregistrement dans un répertoire sectoriel de référence.
Un service numérique sensible obtenant uniquement un identifiant privé après une identification électronique doit :
– Rechercher l’identifiant national du professionnel dès lors que celui-ci est potentiellement éligible à l’enregistrement dans un répertoire sectoriel de référence ;
– Vérifier l’exactitude de cet identifiant national au minimum tous les 2 ans s’il conserve et réutilise par la suite son association avec l’identifiant privé. Cette vérification peut être réalisée par une recherche directe dans le répertoire sectoriel de référence ou par l’intermédiaire d’un autre répertoire lui-même synchronisé avec le répertoire de référence à la fréquence requise.
1.2- Acteurs de santé personnes morales
Identifiants nationaux
Les identifiants nationaux à utiliser pour l’identification des personnes morales acteurs de santé sont :
– Le numéro FINESS juridique (FINESS EJ) ou géographique (FINESS ET)
Le répertoire FINESS (Fichier national des établissements sanitaires et sociaux) recense l’ensemble des structures et équipements des domaines sanitaire, médico-social, social et de formation aux professions de ces secteurs actuellement soumis à autorisation préalable en application des dispositions du code de la santé publique ou du code de l’action sociale et des familles, et a vocation à être élargi à toutes les structures du secteur
– Le numéro SIREN ou SIRET
Le répertoire SIRENE enregistre toutes les entreprises et leurs établissements, quelle que soit leur forme juridique et quel que soit leur secteur d’activité. Les entreprises étrangères qui ont une représentation ou une activité en France y sont également répertoriées.
Processus d’identification électronique par certificat
La personne morale doit s’enrôler auprès du fournisseur d’identité qui crée une identité électronique et lui délivre un certificat comme moyen d’identification électronique (certificat x509). La PM pourra s’identifier et s’authentifier auprès du fournisseur de service numérique de santé via son certificat électronique. Le fournisseur SNS contrôle la validité auprès du fournisseur d’identité qui gère les statuts de révocation des certificats, il peut obtenir des attributs complémentaires via le Répertoire sectoriel de référence sur la base de l’identifiant présent dans le certificat. Une fois l’identification électronique vérifiée, le fournisseur de service octroie à la personne morale les accès correspondant à ses habilitations
1.3- Usagers
INS
L’article L1111-8-1 CSP consacre le numéro d’inscription au RNIPP (NIR) comme identifiant national de santé (INS) des personnes pour leur prise en charge à des fins sanitaires et médico-sociales.
Deux notions doivent être distinguées :
– Le matricule INS : le NIR pour les personnes immatriculées, le NIA (numéro identifiant d’attente) pour les personnes en attente d’immatriculation.
– L’identité INS : association du matricule INS (comme identifiant) aux traits d’identité de la personne identifiée, constitue des « données d’identification personnelle » (i.e. une identité électronique) au sens du règlement eIDAS.
Le référencement des données de santé avec l’identité INS est obligatoire pour les acteurs de santé, ainsi que le respect de mesures d’identitovigilance.
L’identité INS est accessible pour les acteurs de santé via le téléservice INSi opéré par l’Assurance Maladie, ainsi qu’au travers de l’appli carte Vitale (ApCV).
Le téléservice INSi permet de :
– Rechercher une identité INS à partir de traits d’identité relatifs à l’usager ou de sa carte Vitale ;
– Vérifier l’exactitude d’une identité INS vis-à-vis des données de référence.
Exigences d’identitovigilance : identité qualifiée et identité provisoire
Afin d’établir des règles homogènes concernant le partage des identités des usagers, un référentiel national d’identitovigilance a été construit en 2020, opposable en 2021 (arrêté du 27 mai 2021 portant approbation des modifications apportées au référentiel « Identifiant national de santé », publication au JO du 8 juin 2021).
Il distingue une identité :
- Validée, lorsqu’elle a fait l’objet d’une identification électronique de niveau eIDAS substantiel ou d’une vérification d’un titre d’identité officiel (carte nationale d’identité, passeport, titre de séjour…) ;
- Récupérée, lorsqu’elle a été récupérée ou vérifiée auprès du répertoire de référence par l’intermédiaire du téléservice INSi, ou d’un dispositif équivalent comme l’ApCV ;
- Qualifiée, lorsqu’elle est à la fois validée et récupérée. Ce statut permet, lors de l’échange ou du partage d’une donnée de santé, d’y associer l’identité INS afin que le destinataire puisse automatiquement associer la donnée de santé au bon patient lors de la réception.
Identité provisoire :
Une identité n’ayant été ni validée, ni récupérée est considérée comme une identité provisoire. Ce statut ne permet pas, lors de l’échange ou du partage d’une donnée de santé, d’y associer l’identité INS.
Processus d’identification électronique
L’usager doit obtenir au préalable un moyen d’identification électronique de niveau eIDAS substantiel auprès d’un fournisseur d’identité. Pour les services numériques en santé, ce moyen sera à terme soit l’ApCV, soit un MIE référencé sur FranceConnect au niveau substantiel.
L’usager initie une connexion vers le service numérique d’un fournisseur de service, qui lui demande de s’authentifier en utilisant un MIE de niveau substantiel. Cette authentification se fait à travers une interface du fournisseur d’identité qui exploite et vérifie le moyen d’identification électronique présenté par l’usager.
En application du référentiel RNIV, le service numérique en santé peut interroger le téléservice INSi pour rechercher ou vérifier l’identité INS de l’usager lorsque l’identité obtenue n’est pas qualifiée au sens du RNIV.
Le service numérique peut conserver ces informations afin de ne pas avoir à répéter cet appel à chaque identification électronique, mais doit les réactualiser conformément aux règles du référentiel INS [RINS]. Une fois l’identification électronique finalisée, le fournisseur de service octroie à l’usager les accès correspondant à ses habilitations
Lorsque le service numérique auquel s’est connecté la personne physique accède lui-même à un second service numérique, ce dernier peut demander l’identification voire l’authentification de cette même personne physique. Dans ce cas, il est possible de mettre en œuvre une identification électronique indirecte, selon des modalités décrites ci-dessous « identification électronique dédié aux personnes morales ».
2-Les exigences sur les MIE
Un moyen d’identification électronique (MIE) est un dispositif matériel et/ou immatériel contenant un identifiant personnel et utilisé pour s’authentifier sur un service numérique, en santé dans le présent document. Dans le règlement eIDAS, un moyen d’identification électronique est associé à un niveau de garantie faible, substantiel ou élevé selon le niveau de sécurité qu’il offre.
Le présent référentiel fixe des contraintes qui, dans le cadre de la PGSSI-S, garantissent un niveau de sécurité homogène et considéré comme minimal pour répondre aux exigences règlementaires en vigueur. Le fournisseur du service numérique de santé est libre d’implémenter des mesures de sécurité additionnelles qu’il jugerait nécessaires au regard de son analyse de risque.
2.1-Acteurs des secteurs sanitaire, médico-social : Personnes physiques
Analyse de risque et sensibilité des services numériques
Le fournisseur d’un service numérique de santé est responsable du choix des moyens d’identification électronique, qu’il autorise sur son service et des mesures de sécurité encadrant le processus d’identification et d’authentification. Pour sélectionner les MIE, il doit procéder à une analyse de risque concernant le service proposé, et prenant explicitement en compte la protection des données de santé à caractère personnel qui y sont traitées. L’analyse de risque doit couvrir l’ensemble des accès potentiels aux données, qu’ils soient fonctionnels ou techniques. Il est fortement recommandé de mener l’analyse de risque selon une méthodologie formalisée et éprouvée, telle que la méthode EBIOS RM, proposée par l’ANSSI.
Le référentiel fixe des contraintes applicables en premier lieu pour les services considérés comme les plus sensibles. Ces exigences, dans le cadre de la PGSSI-S, garantissent un niveau de sécurité homogène et considéré comme minimal pour répondre aux exigences règlementaires en vigueur.
Le fournisseur du service numérique de santé est libre d’implémenter des mesures de sécurité additionnelles qu’il jugerait nécessaires au regard de son analyse de risque.
Hors champ d’application
L’identification électronique sur des automates ou appareils médicaux connectés (analyses, imagerie…) est considérée hors périmètre du fait des contraintes spécifiques de ces matériels
Services numériques dits « sensibles »

Calendrier d’implémentation des moyens d’identification électronique pour les services sensibles
Avant de parvenir à la généralisation de l’identification électronique par un moyen d’identification électronique de niveau de garantie eIDAS substantiel, la sécurité des accès aux services numériques traitant de données de santé à caractère personnel doit être progressivement renforcée. Dans cet objectif, ce référentiel définit des moyens d’identification électronique dits « de transition » qui apportent un niveau de sécurité considéré comme minimal étant donné la nature des informations à protéger et l’état de l’art en la matière. Le fournisseur d’un service numérique de santé est responsable des mesures de sécurité mises en œuvre pour la protection des données de santé à caractère personnel. Le référentiel encourage l’adoption d’un MIE de niveau substantiel à brève échéance. Chaque fournisseur doit prendre en compte dans sa décision, via une analyse de risque, les spécificités de son service, le type et la volumétrie des données traitées.


Service non sensible
Pour les services qui ne sont pas considérés comme faisant partie des services « sensibles », les exigences de ce volet du référentiel d’identification électronique deviennent des recommandations
Feuille de route pour améliorer la fiabilité de l’IE et contribuer à sécuriser le contrôle d’accès.
Avant de parvenir à la généralisation de l’identification électronique par un moyen d’identification électronique de niveau de garantie eIDAS substantiel, la sécurité des accès aux services numériques traitant de DCP doit être progressivement renforcée. La démarche concerne l’ensemble des structures entrant dans le champ d’application de ce référentiel.

Il convient de traiter ces sujets dans le cadre une démarche globale de gestion des moyens d’identification électronique et de gestion des accès. Les choix de conception (informations traitées, processus de gestion, interfaces techniques…) doivent être réalisés en plaçant chaque brique dans une architecture globale cible.
2.2-MIE pour les acteurs des secteurs sanitaire, médico-social et social : personnes morales
L’identification électronique s’applique à l’ensemble des acteurs personnes morales intervenant en santé qui utilisent des services numériques en santé, y compris les sous-traitants et prestataires impliqués. Les moyens d’identification électronique autorisés pour l’authentification d’une personne morale dépendent du caractère partagé ou non du service :

Exigences relatives au certificat
Le fournisseur SNS doit vérifier la validité du certificat utilisé pour l’identification électronique d’une personne morale, et en particulier son statut de révocation en recourant aux listes de révocation (CRL) ; aux services en ligne (OCSP).
En cas de suspicion de compromission du certificat de l’un de ses clients, le fournisseur du service numérique doit en informer l’Autorité de Certification émettrice afin que celle-ci étudie la situation et procède le cas échéant à la révocation du certificat.
Le certificat utilisé par une personne morale pour son identification électronique sur un service numérique doit être dédié à cet usage (certificat d’identité différent du certificat de cachet électronique de document).

Recommandation
Document définition des modalités d’accès
Il est recommandé au Fournisseur de SNS acceptant l’identification électronique d’une PM avec un certificat hors IGC Santé de définir dans un document les modalités d’accès au service et de décrire les certificats autorisés. Le recours à des certificats autosignés n’est pas autorisé du fait des risques trop importants liés à leur utilisation.
La protection des données à caractère personnel, doit être traitée par le fournisseur du service et par le fournisseur des certificats.
Identification indirecte
L’identification électronique indirecte est une solution proposée pour répondre au besoin d’identification d’un utilisateur par un service numérique lorsque cet utilisateur, que l’on nomme ci-dessous utilisateur final, n’est pas connecté directement sur ce service mais uniquement à travers une application appelante.
Modalités d’identification électroniques applicables
Le principe de l’identification électronique indirecte est que :
– L’application appelante réalise l’identification électronique de son utilisateur conformément au référentiel en vigueur (volets [IE-ASPP], [IE-Usagers] et le présent document) ;
– Le service numérique en santé réalise l’identification électronique de l’application appelante (en tant que personne morale), en conformité avec le présent document ;
– L’application appelante transmet l’identité de son utilisateur au service numérique en santé.
IE indirecte d’un utilisateur sollicitant un service numérique via une application appelante doit respecter les règles suivantes :
– L’application appelante s’authentifie auprès SNS à l’aide d’un MIE conforme au référentiel, et s’identifie en tant que personne morale ;

Dans tous les cas d’identification électronique indirecte, l’application appelante conserve en interne les éléments de preuve de l’identification électronique de son utilisateur (s’il existe).
L’application appelante sera ainsi en mesure de communiquer les preuves nécessaires sur demande du service numérique en santé, en cas de litige par exemple.
Le fournisseur d’un SNS doit décider, au regard de son analyse de risque, d’autoriser ou non l’identification électronique indirecte et, le cas échéant, de :
– définir les modalités autorisées pour identifier les utilisateurs pour lesquels sont effectuées les connexions ;
– restreindre si nécessaire les moyens d’identification électronique autorisés pour l’identification électronique des utilisateurs du service appelant (par exemple imposer un dispositif d’authentification à deux facteurs). Le fournisseur du service numérique sensible peut, dans ce cas, demander au fournisseur du service appelant de lui communiquer son engagement de sécurisation de l’identification électronique.
Le niveau de confiance accordé à l’appelant fait partie de l’évaluation du risque, ce qui peut amener à restreindre l’accès ou différencier les exigences pour certains types d’entités (aux GRADeS par exemple, etc.)
Les utilisateurs finaux (ceux de l’application appelante) doivent être clairement informés des accès réalisés en leur nom par identification indirecte.
Contrat entre les utilisateurs finaux et une application appelant un SNS

2.3-MIE pour Usagers des services numériques en santé
Les moyens d’identification électronique autorisés pour l’identification électronique des usagers sur les services numériques en santé doivent être limités :
- À des moyens d’identification électronique certifiés eIDAS de niveau de garantie substantiel ou élevé ;
- À l’application mobile carte Vitale (ApCV).
La carte Vitale dématérialisée (appli carte Vitale) sera proposée à tous les citoyens sous la forme d’une application « ApCV » pour appareil mobile.
L’ApCV devrait à terme obtenir le niveau eIDAS substantiel et devenir un moyen d’identification électronique de référence dans le secteur de la santé
- Les moyens d’identification électronique de transition, autorisés jusqu’au 31 décembre 2025 au plus tard, sous réserve que les risques résiduels associés à leur utilisation soient considérés comme acceptables par le responsable du service numérique


Un service numérique en santé, qui recourt à un moyen d’identification électronique certifié eIDAS et qui est soumis à l’obligation de référencement des données de santé avec l’INS selon le périmètre défini à l’article R1111-8-3 du Code de la santé publique, doit établir l’identité INS de l’usager et peut conserver l’association établie entre cette identité et celle donnée par le moyen d’identification électronique. Ce lien doit être vérifié régulièrement selon les règles du référentiel de l’INS. Le service numérique peut faire appel au téléservice INSi pour obtenir le matricule INS et qualifier ainsi l’identité de l’usager.
3- Engagement du fournisseur de SNS de sécurisation de l’IE
Le référentiel est juridiquement opposable.
Les fournisseurs de SNS doivent fournir un document d’engagement de sécurisation de l’identification électronique des utilisateurs de services numériques en santé prouvant que les mesures mises en œuvre sont pertinentes. L’engagement de sécurisation est celui prévu par le référentiel de la PGSSI-S sur l’identification électronique, disponible sur le site https://esante.gouv.fr/.
Il doit être réalisé par chaque fournisseur de service numérique en santé, pour chaque type d’utilisateurs pertinent :
- professionnels personnes physiques,
- professionnels personnes morales,
- usagers.
Il peut être mutualisé en tant que de besoin pour plusieurs services sous la responsabilité de la même personne morale et basés sur les mêmes modalités d’identification électronique.
Cette démarche permet en outre d’informer les tiers, utilisateurs et partenaires du service par exemple, des modalités d’identification électronique mises en place et de leur donner ainsi un élément d’appréciation du niveau de sécurité atteint.
Cet engagement pourra notamment être demandé par un autre fournisseur de service numérique en santé avec lequel serait établie une identification électronique indirecte.

Mise à jour
L’engagement pris concerne les mesures déployées à la signature du document. L’engagement de sécurisation de l’identification électronique doit être renouvelé à chaque modification des modalités d’identification électronique d’un service numérique en santé, et a minima annuellement. La description du plan d’action et la réévaluation des risques résiduels demandent une mise à jour annuelle.
Il doit être conservé dans une gestion documentaire et accessible facilement en cas de besoin (ex: audit, contrôle CNIL, etc.). Il peut également être un prérequis pour l’accès à certains services partagés en identification électronique indirecte. Seul le présent volet ‘partie A’ est exigible dans ce cas.