Comment mettre en œuvre simplement la PGSSI-S pour les responsables de SI et les utilisateurs ? Quel calendrier pour le Référentiel d’identification électronique?

La PGSSI-S (ou Politique Générale de Sécurité des Systèmes d’Information de Santé) marque un tournant dans la sécurisation des accès aux services numériques de santé sensibles. Comme la RGPD a eu un impact significatif sur les utilisateurs, qui doivent, par exemple, accepter systématiquement la politique de cookies, la PGSSI-S change radicalement la manière dont les professionnels de santé accèdent aux données de santé. Tout l’enjeu consiste à rendre ce passage le plus « user-friendly » et « RSI-friendly » possible.

Ce qui nous intéresse plus particulièrement ici, est le référentiel d’identification électronique inclus dans la PGSSI-S. Il détaille des obligations très précises sur la manière dont les professionnels de santé doivent depuis le 1^er juin 2022 accéder aux services numériques de santé dits « sensibles » et la manière dont les professionnels de santé sont identifiés au niveau national. Elle instaure aussi un calendrier à respecter.

Ce premier article a pour but de décrire la PGSSI-S, ce qu’est un service sensible ainsi que le calendrier de mise en œuvre des attendus de la PGSSI-S en matière d’identification électronique.

Nous aborderons prochainement les attendus sur les moyens à mettre en œuvre concernant les moyens d’identification électronique MIE, puis les attendus de la PGSSI-S concernant la gestion des identités.

Enfin des webinairs gratuits seront organisés prochainement pour vous permettre de mettre en œuvre simplement la PGSSI-S dans votre SI.

Référentiel d’identification électronique de la PGSSI-S : de quoi parle-t-on ? qui est concerné ?

Le référentiel d’identification électronique de la PGSSI-S vise à monter progressivement le niveau de protection lors des accès à des services numériques de santé dits « sensibles ». Il définit comment s’identifier et s’authentifier auprès d’un service numérique de santé qui traite des données sensibles. L’identification est l’action de communiquer au service de santé son identité par le biais de son identifiant. Celui-ci, de niveau local ou national, doit être unique, avoir été préalablement vérifié, doit être contrôlé régulièrement, et être ainsi parfaitement fiable. L’authentificationL’authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service… More consiste pour le Professionnel de santé à prouver son identité par des moyens qui lui sont exclusivement personnalisés. Identification et authentification constituent les 2 composantes de l’identification électronique.

Le référentiel d’identification électronique de la PGSSI-S concerne aussi bien les personnes morales, les personnes physiques que les usagers du monde de la santé. Cet article concerne les personnes physiques et ainsi l’ensemble des professionnels des secteurs sanitaire, médico-social et social qui ont accès à un service numérique sensible de santé (médecin, pharmacien…).

Le caractère sensible d’un service numérique est le critère déterminant qui rend l’application du référentiel d’identification électronique obligatoire. Les services « sensibles » sont les services qui traitent des données de santé à caractère personnel au sens du RGPD, et qui remplissent une des conditions suivantes :

• Des services partagés qui dépassent une seule personne morale et/ou qui sont mis en œuvre à l’échelle d’un territoire ou au niveau national (ex : dossier médical partagé, dossier pharmaceutique…
• Les services numériques qui intègrent des services partagés,
• Les services proposant un accès web externe aux SI pour les professionnels d’un établissement (mobilité, télétravail) ou leurs correspondants de ville,
• Les services non partagés de grande échelle utilisés par plus de 1000 professionnels distincts par an ou encore, référençant plus de 10 000 nouveaux patients par an.

L’accès au SI depuis l’extérieur, par conséquent, rend sensible tout service numérique traitant de données personnelles. La manipulation de données personnelles de santé à grande échelle rend aussi le service associé sensible. La définition de service sensible est donc assez large et couvre rapidement beaucoup de situations.

Référentiel d’identification électronique de la PGSSI-S : quel calendrier ?

La PGSSI-S fixe un calendrier progressif dans le but d’arriver en 2026 à une sécurisation de niveau substantiel (au sens du règlement européen eIDAS – electronic Identitication Authentication and trust Services) de tous les moyens d’identifications électroniques (MIE). Cela sera réalisé grâce à des homologations ou certifications de niveau substantiel eIDAS, ou encore via des MIE rattachés à Pro Santé Connect (qui vise lui-aussi une certification eIDAS de niveau susbantiel par l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française…. More).    

Ainsi la première étape immédiate consiste en l’inscription obligatoire au RPPS (Répertoire Partagé des Professionnels de Santé) de tout professionnel de santé. Cette inscription s’est déjà faite pour la plupart des professions (les infirmiers en octobre 2021 par exemple), les dernières basculeront en 2023.

Dès maintenant aussi, les moyens d’identification électroniques sont dorénavant limités aux MIE proposés par Pro Santé Connect, à la carte CPx, aux moyens d’identification électroniques homologués de niveau substantiel, aux MIE certifiés au sens de l’eIDAS ou aux MIE de transition.

Depuis le 1^er janvier 2023, l’identification électronique grâce à Pro Santé Connect est obligatoire.

A partir du 1^er janvier 2024, toute structure, gérant au moins un service sensible, doit avoir un répertoire local synchronisé avec le référentiel des ressources humaines et avec celui du répertoire sectoriel de référence (RPPS dans la plupart des cas).  

A partir du 1^er janvier 2025, une brique SSO (single-Sign-On) dans votre SI devient obligatoire.

A partir du 1^er janvier 2026, le recours aux MIE de transition sont interdits. Les MIE doivent être tous a minima homologués de niveau substantiel ou élevé au sens du règlement eIDAS.

Conclusion

La PGSSI-S instaure des jalons importants dans le cadre du référentiel d’identification électronique auxquels tout établissement de santé et professionnel de santé devra se conformer. Nous verrons dans le détail dans un prochain article quelles sont les exigences concernant les MIE et la mise en œuvre du SSO.