De Stéphane ASTIER, Avocat à la Cour et David GRANEL, Juriste
Le référentiel d’identification des acteurs sanitaires et médico-sociaux fait partie du corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) élaboré avec l’ensemble des acteurs parties prenantes des domaines de la santé et du médico-social (1).
Le développement des services d’e-santé et la dématérialisation des services médico-sociaux ne pourront devenir en effet effectifs que dans la mesure où les conditions requises pour créer et maintenir la confiance des acteurs sont atteintes. Et, dans ce contexte, la question de l’identification et de la création d’un référentiel sur ce point apparaît essentielle.
L’identification a ainsi pour but de déterminer l’identité d’un acteur de la santé via son identifiant qui lui a été préalablement attribué. En s’identifiant, le professionnel de la santé procédera à son authentification notamment quant à ses droits d’accès au système d’information.
Cette identification fiable des acteurs est le fondement de la sécurisation des systèmes d’information de santé et conditionne les trois fonctions :
• La diffusion de dispositifs d’authentification aux acteurs,
• La maîtrise des accès aux systèmes d’information,
• L’auditabilité des systèmes.
Afin d’atteindre ces objectifs, différents paliers doivent être franchis, ils sont :
(1) La mise en place d’une Autorité d’enregistrement qui sera chargée de la mise en œuvre du processus de gestion des identités.
Cette Autorité, devra veiller notamment à la validation des identités, leurs enregistrements (si nécessaire à la gestion locale de celles-ci), l’attribution des identifiants de portée locale et la mise à jour des traits d’identité.
(2) La mise en place d’une Autorité d’affectation.
Cette autorité aura en charge la définition du format et des règles d’attribution d’un identifiant à une personne. De manière générale, c’est le gestionnaire du référentiel d’identité dans le cadre duquel l’identifiant est attribué qui tiendra cette fonction.
(3) La mise en place de différents paliers d’identification.
Le texte prévoit trois paliers d’identification. Le palier 1 correspond à un identifiant local, le 2 à un identifiant national (y compris identifiant opérationnel de portée nationale) et enfin le 3 à un identifiant national (hors identifiant opérationnel de portée nationale)
Pour les personnes physiques :
• Palier 1 : l’identification se fait via un identifiant local sous l’autorité de la personne morale jouant le rôle d’Autorité d’enregistrement d’Autorité d’affectation.
• Palier 2 : l’identification se fait via un identifiant public pour les acteurs du secteur sanitaire et médico-social qui en disposent, et à défaut, par un identifiant local mais avec des conditions différentes du palier 1 pour lui conférer un plus haut niveau de confiance.
• Palier 3 : Il n’existe pas d’identifiant opérationnel de portée nationale pour les personnes physiques. Ce palier repose donc sur les mêmes identifiants que le palier 2.
Pour les personnes morales :
• Palier 1 : Ne s’applique pas ;
• Palier 2 : La personne morale peut être identifiée par sa personnalité juridique (SIREN, SIRET, FINESS) ou par son implantation géographique.
• Palier 3 : les identifiants sont attribués par un référentiel d’identité national.
********
D’une manière générale, il convient de rappeler que les acteurs de la santé ont pour obligation de respecter une série d’obligations légales essentielles à la préservation de la sécurité et de la confidentialité des données de santé qu’ils détiennent et utilisent dans le cadre de leur activité.
Cette préservation de la sécurité et de la confidentialité passe nécessairement par la mise en place d’un processus d’identification fiable de chacun des acteurs, processus d’identification « connectés » à une politique d’habilitation globale fixant la nature des accès de chacun.
Les professionnels du droit trouvent ici toute leur place pour intervenir aux côtés des acteurs de la santé grâce à des outils et conseils opérationnels pour une sécurisation juridique optimum.
Vous voulez en savoir plus ? Cliquez ICI
