Quelles sont les modalités d'identification électronique d'un professionnel de santé sur le DMP lorsque cette accès est réalisé via une identification électronique indirecte, par exemple par l'intermédiaire du DPI ?

Modalités d'identification électronique Identification électronique des professionnels de santé (ASPP)
Le référentiel indique que c'est le responsable du service numérique cible, ici le DMP, qui fixe son besoin en terme d'identification électronique du professionnel de santé agissant par l'intermédiaire d'une application appelante, ici le DPI. En l'occurrence, des règles d'accès au DMP sont en cours d'élaboration ou sont déjà publiées afin de préciser les différents modalités applicables selon les cas d'utilisation.

Quelles sont les obligations depuis le 1/06/2022 ?

Calendrier du référentiel Identification électronique des professionnels de santé (ASPP) Identification électronique des structures de santé (ASPM) Identification électronique des usagers/patients
Chaque structure doit tout d'abord vérifier si elle est concernée par le référentiel en identifiant l'ensemble des services numériques en santé dont elle est responsable, et en étudiant le périmètre application pour chaque catégorie d'utilisateurs de ces services.
En synthèse, les premières obligations depuis le 1/06/2022 sont :
- Volet ASPP : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs sauf pour un accès en interne) ;
- Volet ASPM : utiliser des certificats électroniques de l'IGC Santé pour l'identification électronique auprès d'une autre personne morale ;
- Volet Usagers : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs).
Toutes les structures concernées par le référentiel doivent de plus préparer un engagement de sécurisation de l'identification électronique (intégrant un plan de mise en conformité) pour le 31/05/2023 au plus tard.

Est-il possible d'avoir un compte commun pour plusieurs utilisateurs d'un service numérique traitant des données de santé à caractère personnel ?

Modalités d'identification électronique Identification électronique des professionnels de santé (ASPP)
Non, les accès doivent être nominatifs, autant pour contrôler les habilitations dynamiquement que pour garantir l'imputabilité des actions réalisées.

Quels types de structures sont soumises au référentiel d'identification électronique ?

Périmètre du référentiel Identification électronique des professionnels de santé (ASPP) Identification électronique des structures de santé (ASPM) Identification électronique des usagers/patients
Les structures concernées sont toutes celles responsables de services numériques visés par le référentiel ou délivrant des moyens d'identification électronique pour accéder à ce type de service, que ces services soient à destination de professionnels de santé (personnes physiques ou morales) ou d'usagers.
Parmi ces structures se trouvent :
- des établissements de santé ;
- des établissements exerçant du secteur médico-social ;
- des centres de santé ;
- des maisons de santé ;
- des services de médecine du travail ;
- des professions libérales en santé ;
- des ambulanciers ;
- ...
Les éditeurs de logiciel ne sont pas concernées à moins qu'elles proposent des services en mode SaaS aux professionnels de santé.

Quel est l'identifiant sectoriel de référence pour un professionnel de santé ?

Modalités d'identification électronique Identification électronique des professionnels de santé (ASPP)
L'identifiant sectoriel de référence pour un professionnel de santé (personne physique) est l'identifiant RPPS dans la majorité des cas, et l'identifiant ADELI pour les professions qui n'ont pas encore été basculées dans le RPPS.
Lorsque la profession d'une personne physique n'entre pas dans la périmètre des répertoires RPPS et ADELI, un identifiant privé doit lui être attribué. Ceci est le cas par exemple pour :
- des préparateurs en pharmacie
- des personnes en laboratoires d'analyse : préleveurs, techniciens, ...

Quels sont les professionnels de santé à prendre en compte pour le volet ASPP du référentiel d'identification électronique ?

Périmètre du référentiel Identification électronique des professionnels de santé (ASPP)
Les professionnels de santé personnes physiques concernés sont ceux exerçant une profession incluse dans le répertoire RPPS (et RPPS+), ainsi que celles présentes dans le répertoire ADELI, y compris les personnels en formation et les personnels de secrétariat. De manière générale tous les professionnels accédant aux services numériques de santé.
Les équipes techniques d'installation et d'exploitation des systèmes d'information ne sont pas visés par le référentiel d'identification électronique. Leurs accès doivent bien sûr être sécurisés, mais cela peut se faire par des moyens d'authentification (typiquement à deux facteurs) autres que ceux préconisé par le référentiel pour les professionnels en santé.

A quels types d'utilisateurs de services numériques s'applique le référentiel d'identification électronique ?

Périmètre du référentiel Identification électronique des professionnels de santé (ASPP) Identification électronique des structures de santé (ASPM) Identification électronique des usagers/patients
Le référentiel d'identification électronique adresse les catégories d'utilisateurs suivantes :
- les professionnels de santé personne physique : ceci inclut, sans s'y limiter, toutes les professions incluses dans le répertoire RPPS (et RPPS+), ainsi que celles présentes dans le répertoire ADELI, y compris les personnels en formation et les personnels de secrétariat. De manière générale tous les professionnels accédant aux services numériques de santé.
- les professionnels de santé personne morale, désignées comme structures de santé dans la PGSSI-S : le référentiel s'applique aux connexions réalisées sur un SI par des serveurs ou des services applicatifs s'identifiant en tant que personne morale ou service numérique d'une personne morale.
- les usagers : ceci inclut les patients, les assurés ou leurs responsables légaux, les aidants, etc.
Le référentiel est décomposé en trois volets, chacun adressant l'une de ces catégories d'utilisateurs.

Le référentiel d'identification électronique change-t-il quelque chose dans le processus de commande ou de délivrance des cartes CPS ?

Modalités d'identification électronique Identification électronique des professionnels de santé (ASPP)
Non, les processus relatifs à l'enregistrement des professionnels de santé, à la commande et à la délivrance de carte CPS ne sont pas impactés par le référentiel d'identification électronique.

Quels sont les services numériques en santé inclus dans le périmètre d'application du volet ASPP du référentiel d'identification électronique ?

Périmètre du référentiel Identification électronique des professionnels de santé (ASPP)
Ces services numériques sont désignés comme étant les services numériques "sensibles" définis dans le volet du référentiel consacré aux acteurs de santé personnes physiques. Ceci comprend les services partagés ou intégrant des services partagés, des services accessibles à distance, des services intégrant des traitements de données ou des accès de grande échelle.
Ce périmètre inclut en particulier :
- le DPI, accédant ou non au DMP ;
- la gestion administrative des patients (GAP) ;
- les services de biologie médicale ;
- les services de prise de rendez-vous ;
- les services de télémédecine ;
- les logiciels d'aide à la prescription (LAP) ;
- les logiciel de suivi de patients ;
- ...

Le référentiel d'identification électronique implique-t-il de faire coexister plusieurs moyens d'authentification, par exemple du fait de l'absence de certains professionnels du RPPS ?

Modalités d'identification électronique Identification électronique des professionnels de santé (ASPP)
Le répertoire RPPS est en phase d'extension (RPPS+) pour devenir le répertoire de référence de l'ensemble des professionnels de santé. Cependant certaines catégories de personnel d'une structure resteront inéligibles au RPPS, et nécessiteront alors le déploiement de moyens d'identification électronique alternatifs pour accéder à des services numériques en santé.