Dernière mise à jour le 06/12/2023

70 résultats

Est-il obligatoire d'établir un engagement de sécurisation des modalités d'identification électronique ?

Sujet : Engagement de sécurisation Référentiel :

Oui, chaque structure de santé responsable d'au moins un service numérique en santé sujet à des exigences du référentiel d'identification électronique doit établir annuellement cet engagement. Il permet de garantir que la direction de la structure est informée du niveau de conformité atteint vis à vis du référentiel, et qu'elle approuve le plan d'action associé. La production de l'engagement reste obligatoire même si la structure n'utilise que des moyens d'identification électronique mis à disposition par l'ANS (carte CPS, e-CPS).

Qui doit signer un engagement de sécurisation des modalités d'identification électronique ?

Sujet : Engagement de sécurisation Référentiel : Identification électronique des structures de santé (ASPM) / Identification électronique des usagers/patients
L'engagement de sécurisation des modalités d'identification électronique doit être signé par un responsable légal du fournisseur des services numériques en santé concernés, ou, à défaut, par un délégataire dûment habilité.

Quels sont les protocoles d'identification électronique utilisables pour identifier et authentifier un établissement de santé ?

Sujet : Modalités d'identification électronique Référentiel : Identification électronique des structures de santé (ASPM)
L'identification électronique d'une personne morale doit se baser sur des certificats d'authentification ou de signature (émis par l'IGC Santé pour les services partagés). Les certificats de signature peuvent être mis en œuvre pour signer des jetons générés selon différents protocoles : SAML2, WS-Security X.509 Certificate Token Profile, JWT, OAuth2, et en respectant les profils IHE XUA (ex: jeton VIHF), IHE IUA... Il revient au responsable du service numérique de définir le protocole adapté à son contexte.

Comment obtenir un certificat IGC Santé pour une organisation ou un serveur ?

Sujet : Modalités d'identification électronique Référentiel : Identification électronique des structures de santé (ASPM)
L'offre de l'IGC Santé est décrite sur le site de l'ANS : https://industriels.esante.gouv.fr/produits-et-services/igc-sante-certificats-personnes-morales-et-serveurs Les certificats logiciels IGC Santé peuvent être fournis aux professionnels éligibles.

Une analyse d'impact sur la protection des données personnelles (AIPD) a déjà été réalisée dans mon établissement, est-ce nécessaire de réaliser une analyse de risques distincte pour l'identification électronique ?

Sujet : Analyse de risques Référentiel : Identification électronique des structures de santé (ASPM)
Chaque entité est responsable de la réalisation de l'analyse de risques nécessaire au choix et à la spécification des modalités d'identification électronique sur ses services numériques. L'analyse de risque menée dans le cadre d'une AIPD peut se révéler insuffisante si elle ne prend pas en compte les exigences du référentiel d'identification électronique et/ou d'autres problématiques telles que la disponibilité des accès ou l'ergonomie pour les utilisateurs.

Quel est l'identifiant sectoriel de référence pour un établissement de santé ?

Sujet : Modalités d'identification électronique Référentiel : Identification électronique des structures de santé (ASPM)
L'identifiant sectoriel de référence pour un établissement de santé (personne morale) est l'identifiant FINESS juridique ou géographique. A défaut, le numéro SIREN ou SIRET doit être utilisé.

Les délais d'application des différentes exigences du référentiel sont trop proches pour être entièrement tenus, que faire ?

Sujet : Calendrier du référentiel Référentiel : Identification électronique des structures de santé (ASPM) / Identification électronique des usagers/patients
Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement. Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement. Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.

Le référentiel est dit "opposable", qu'est-ce que cela signifie ?

Sujet : Juridique Référentiel : Identification électronique des structures de santé (ASPM) / Identification électronique des usagers/patients
Le référentiel d'identification électronique est rendu opposable par arrêté des ministres chargés de la santé, de l’action sociale et de la défense, conformément au code de la santé publique, Art. L. 1470-1. à Art. L. 1470-6 (arrêté du 28 mars 2022). Le respect du référentiel d'identification électronique engage dès lors la responsabilité des responsables de traitement assujettis à ce référentiel. En particulier, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut diligenter des audits et sanctionner les établissements pour un défaut d'application du référentiel d'identification électronique.

Le certificat https du site internet de mon établissement est-il concerné par le référentiel d'identification électronique ?

Sujet : Périmètre du référentiel Référentiel : Identification électronique des structures de santé (ASPM)
L'accès sécurisé à un site internet est vérifié par les navigateurs en appliquant les règles établies par le CA/Browser Forum. Le référentiel d'identification électronique des services numériques en santé ne s'applique donc pas à ces certificats. Les accès à un service numérique en santé réalisés par une personne morale (structure ou serveur) doivent être sécurisés avec un certificat distinct, répondant aux exigences du volet dédié aux acteurs de santé personnes morales du référentiel d'identification électronique.

Comment le référentiel d'identification électronique se positionne-t-il par rapport au référentiel INS ?

Sujet : Périmètre du référentiel Référentiel : Identification électronique des structures de santé (ASPM) / Identification électronique des usagers/patients
L'Identité Nationale de Santé (INS) est composée d'un matricule INS (NIR ou NIA) et de cinq traits d'identité d'une personne physique qui permettent d'identifier un usager de façon univoque. Elle est utilisée pour le référencement de données de santé décrit dans le référentiel INS sur https://esante.gouv.fr/offres-services/referentiel-ins. Le référentiel d'identification électronique régit les moyens d'identification électronique autorisés pour l'accès aux services numériques en santé par leurs utilisateurs. L'identifiant privilégié d'un usager d'un service numérique est son matricule INS.