L’Ordonnance n° 2021-581 du 12 mai 2021 relative à l’identification électronique des utilisateurs de services numériques en santé est entrée en vigueur.

Objectifs et portée de l’Ordonnance

L’Ordonnance est pris en application de l’article 49 de la loi n° 2019-774 du 24 juillet 2019 qui habilite le Gouvernement à prendre, par voie d’ordonnance, « toute mesure relevant du domaine de la loi relative à l’identification et à l’authentification des usagers du système de santé, y compris des personnes ne disposant pas d’un identifiant national de santé, des personnes physiques ou morales en charge d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social et des personnes exerçant sous leur autorité, en vue de diversifier, notamment de dématérialiser, les moyens techniques de leur identification et de leur authentification et de les adapter aux différentes situations d’usage dans les systèmes d’information de santé et d’assurance maladie et leurs services dématérialisés, afin d’accompagner le développement des usages numériques en santé et la mobilité des professionnels de santé ».

L’identification électronique est un élément clé de l’essor du numérique en santé, au travers d’un développement des usages, d’une amélioration de la sécurité et de l’urbanisation.

Elle concerne trois catégories : (i) les usagers des services numériques en santé, ainsi que les professionnels intervenant en santé, qu’il s’agisse de (ii) professionnels personnes physiques (médecins, infirmiers, psychologues, préparateurs en pharmacie, aides-soignants, etc.) ou de (iii) professionnels personnes morales (établissements de santé, etc.).

Aujourd’hui, un triple constat s’impose dans le secteur de la santé sur l’identification électronique :

– de nombreuses personnes ne peuvent pas accéder à des services numériques en santé, comme certains professionnels non encore enregistrés dans les répertoires de référence (RPPS, FINESS) et n’ayant donc pas été destinataires des moyens d’identification électroniques (MIE) adaptés, ou comme les usagers, parfois perdus entre de multiples systèmes ;

– de nombreux services numériques en santé n’offrent pas un niveau de sécurisation suffisant en ce qui concerne l’identification électronique, comme en témoigne les nombreux sites se contentant de demander un mot de passe ou une date de naissance s’identifier électroniquement en vue de l’accès à des données de santé ;

– chaque fournisseur de services numériques en santé doit refaire le même travail chronophage : devenir un fournisseur d’identité, délivrer des moyens d’identification électroniques et les maintenir, ce qui se fait au détriment de travaux sur les services eux-mêmes et la valeur qu’ils peuvent apporter à la santé des personnes.

L’Ordonnance vise à répondre à cette problématique et poursuit les objectifs suivants :

1. Donner un ancrage juridique et assurer l’extension des répertoires professionnels de référence – le « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS) pour les personnes physiques (arrêté du 18 avril 2017 modifiant l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère personnel dénommé RPPS) et le « Fichier national des établissements sanitaires et sociaux » (FINESS) pour les personnes morales (arrêté du 13 novembre 2013 relatif à la mise en place d’un répertoire national des établissements sanitaires et sociaux) -, afin que l’ensemble des professionnels intervenant dans le système de santé, qu’ils relèvent du secteur sanitaire ou du secteur médico-social, qui le doivent (obligation mentionnée au code de la santé publique) ou qui le veulent (les autres) puissent y être enregistrés et que, sur cette base, ils puissent se voir délivrer des MIE fournis par la puissance publique.

Pour des raisons d’interopérabilité, et afin de faciliter les échanges dans le numérique en santé, les fournisseurs de services numériques en santé devront s’assurer, à l’identification électronique ou à échéance régulière, de la présence des professionnels dans les répertoires de référence.

Cela permet, lors de l’échange de documents de santé, de n’avoir qu’une seule manière d’identifier les professionnels. L’ordonnance sanctuarise ce principe essentiel pour l’urbanisation et l’interopérabilité, ce qui permettra au passage aux fournisseurs de services, pour certaines professions, de détecter si un professionnel est encore bien inscrit au tableau, et pour certains rôles, si un professionnel est bien employé dans une structure.

2. Donner un ancrage juridique à des dispositifs majeurs pour l’identification électronique fournis par la puissance publique :

– pour les professionnels intervenant en santé, l’application mobile e-CPS, le fédérateur Pro Santé Connect et les produits de certification destinés aux personnes morales ;

– pour les usagers du système de santé, l’application carte vitale (ApCV).

3. Définir, comme cela a déjà pu être fait dans le secteur bancaire, un niveau de garantie minimum pour l’identification électronique au sein des fournisseurs de services numériques en santé, notamment s’ils appartiennent à certaines catégories sensibles – par exemple s’ils traitent de données de santé à caractère personnel ou s’ils disposent d’un nombre d’utilisateurs particulièrement important. Pour l’identification électronique aux professionnels, il est également prévu que certains types de service doivent implémenter certains moyens d’identification électroniques fournis par la puissance publique comme le fédérateur Pro Santé Connect.

Cadre juridique des services numériques de santé 

Le texte créé, dans le code de la santé publique, un corpus de règles applicables aux services numériques en santé : l’article L. 1470-1 nouveau définit les services numériques en santé par ceux qui les mettent en œuvre, leurs finalités et leurs usagers.

Au sein du chapitre Ier sur l’identification électronique des utilisateurs des services numériques en santé, un corpus de règles est institué pour sécuriser et simplifier l’identification électronique à ces services. L’article L. 1470-2 nouveau édicte une première règle consistant à exiger d’un service numérique en santé :

– le niveau de garantie des moyens d’identification électronique utilisés, au sens prévu à l’annexe du règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, éventuellement complété par des exigences nationales en ce qui concerne le niveau faible ;

– pour les professionnels, le ou les moyens d’identification électroniques demandés, pour l’exigence qu’il est prévu de porter dans les textes d’application vis-à-vis des services nationaux, territoriaux et des services locaux fortement intégrés à ces derniers, qui devront implémenter le fédérateur Pro Santé Connect, permettant de s’identifier électroniquement avec carte CPS ou application mobile e-CPS.

L’ordonnance renvoie à un référentiel, établi par arrêté du ministre chargé de la santé et de l’action sociale, le soin de préciser ces exigences.

L’article L. 1470-3 nouveau prévoit que les ministres concernés mettent à disposition des professionnels intervenant dans les services numériques en santé des moyens d’identification électronique.

L’article L. 1470-4 nouveau consacre l’existence de répertoires sectoriels d’identité professionnelle de référence. Il prévoit l’enrôlement obligatoire pour tout professionnel habilité qui souhaite bénéficier d’un moyen d’identification électronique lui permettant de se connecter à un service numérique en santé, qu’il relève du secteur sanitaire, du médico-social ou du social, et qu’il soit une personne physique ou une personne morale. Le projet d’ordonnance subordonne la délivrance de moyens d’identification électronique pour l’ensemble de ces professionnels à leur enrôlement dans les répertoires sectoriels de référence.

Chacun de ces articles renvoie à un ou plusieurs arrêtés ministériels pour leur application.

Au sein du chapitre II relatif à l’interopérabilité et à la sécurité des services numériques en santé, les articles L. 1470-5 et L. 1470-6 reprennent les actuelles dispositions des articles L. 1110-4-1 et L. 1110-4-2 du code de la santé publique.

Le Code de la santé publique est modifié pour permettre d’utiliser, conjointement à la carte Vitale ou la carte des professionnels de santé, de nouveaux moyens d’identification électroniques utilisant d’autres supports qu’une carte physique. Leurs caractéristiques seront précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés.

Feuille de route E-Santé

Pour mémoire, annoncée par la ministre chargée de la Santé, la feuille de route E-Santé présente les 5 grandes orientations du virage numérique en santé :

–    renforcer la gouvernance du numérique en santé ;

–    intensifier la sécurité et l’interopérabilité des systèmes d’information en santé ;

–    accélérer le déploiement des services numériques socles ;

–    déployer au niveau national des plateformes numériques de santé ;

–    soutenir l’innovation et favoriser l’engagement des acteurs.

Améliorer l’identification numérique des acteurs de santé, c’est-à-dire de tous les professionnels concourant aux systèmes d’information de santé, est une condition indispensable au bon fonctionnement des systèmes d’information de santé. Pour ce faire, l’identification numérique issue d’un même référentiel national a été généralisée. La dématérialisation des moyens d’authentification permet de sécuriser l’accès aux téléservices, avec en particulier l’appli carte Vitale ou la e-CPS.

La feuille de route E-Santé comporte aussi quatre principaux services pour échanger et partager les données de santé en toute confiance : i) le DMP, Dossier Médical Partagé, pour stocker toutes les données qu’il est utile de partager, entre le patient et les professionnels qui le prennent en charge tout au long de son parcours ; ii) l’usage des messageries sécurisées de santé pour sécuriser l’échange d’information de santé entre professionnels ; iii) le développement de la e-prescription pour simplifier et sécuriser le circuit de transmission de l’ordonnance depuis la prescription jusqu’à la dispensation par le pharmacien ; iv) le déploiement des services numériques territoriaux de coordinations de parcours inscrits dans le programme e-parcours.

Déploiement des plateformes numériques de santé

Les plateformes numériques de santé constituent un réceptacle aux applications proposées par les acteurs publics et privés qui s’y inscrivent.  Dans une vision d’ensemble, les pouvoirs publics organisent la mise en œuvre de trois plateformes pour gagner en agilité toute en conservant une souveraineté par la maîtrise des règles d’urbanisation, d’interopérabilité, de sécurité et d’éthique :  l’Espace Numérique de Santé permet à chaque patient de choisir et d’accéder à des services numériques de santé dans un cadre sécurisé et avec une navigation fluide ; les professionnels peuvent quant à eux accéder à une plateforme de bouquets de services communicants ; en rassemblant les données de santé dans un même schéma d’urbanisation sécurisé, les pouvoirs publics se donnent aussi les moyens de les analyser à grande échelle (Health Data Hub).

« Ma Santé 2022 ».

En complément, le programme national e-parcours « Ma Santé 2022 » constitue le vecteur de déploiement d’un ensemble d’outils de workflow sécurisés permettant aux professionnels de se coordonner, de partager des informations autour de la situation de l’usager et d’organiser son parcours de santé sur le territoire sans rupture, par exemple au moyen du plan personnalisé de santé d’un usager, du réseau social professionnel territorial…

Ces services sont notamment destinés aux professionnels des secteurs sanitaires, médicosociaux et sociaux dans le cadre des nouvelles organisations coordonnées de santé promues dans le cadre de Ma Santé 2022 : communauté professionnelles territoriales de santé, dispositifs d’appui à la coordination, groupement expérimentateur au titre de « l’article 51 » …

Dans tous les cas, les services numériques de coordination contribuent à la qualité des prises en charges usagers et soutiennent le virage numérique de la santé en :

– Développant le partage des informations de santé entre les professionnels grâce à des

services numériques sécurisés, interopérables (communicants) et simples à utiliser,

s’appuyant sur le bouquet de services aux professionnels ;

– Participant à la mise en place de services utiles aux usagers et patients, en facilitant l’accès à leurs données personnelles, l’information en santé au moyen de l’espace numérique de santé.