Rapport au Président de la République relatif à l'ordonnance n° 2021-581 du 12 mai 2021 relative à l'identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l'assurance maladie

NOR : SSAD2107644P
ELI : https://www.legifrance.gouv.fr/eli/rapport/2021/5/13/SSAD2107644P/jo/texte
JORF n°0111 du 13 mai 2021
Texte n° 37

Version initiale


  • Monsieur le Président de la République,
    Le présent projet d'ordonnance est pris en application de l'article 49 de la loi n° 2019-774 du 24 juillet 2019 qui habilite le Gouvernement à prendre, par voie d'ordonnance, « toute mesure relevant du domaine de la loi relative à l'identification et à l'authentification des usagers du système de santé, y compris des personnes ne disposant pas d'un identifiant national de santé, des personnes physiques ou morales en charge d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social et des personnes exerçant sous leur autorité, en vue de diversifier, notamment de dématérialiser, les moyens techniques de leur identification et de leur authentification et de les adapter aux différentes situations d'usage dans les systèmes d'information de santé et d'assurance maladie et leurs services dématérialisés, afin d'accompagner le développement des usages numériques en santé et la mobilité des professionnels de santé ».
    L'identification électronique est un élément clé de l'essor du numérique en santé, au travers d'un développement des usages, d'une amélioration de la sécurité et de l'urbanisation.
    Elle concerne trois catégories : (i) les usagers des services numériques en santé, ainsi que les professionnels intervenant en santé, qu'il s'agisse de (ii) professionnels personnes physiques (médecins, infirmiers, psychologues, préparateurs en pharmacie, aides-soignants, etc.) ou de (iii) professionnels personnes morales (établissements de santé, etc.).
    Aujourd'hui, un triple constat s'impose dans le secteur de la santé sur l'identification électronique :


    - de nombreuses personnes ne peuvent pas accéder à des services numériques en santé, comme certains professionnels non encore enregistrés dans les répertoires de référence (RPPS, FINESS) et n'ayant donc pas été destinataires des moyens d'identification électroniques (MIE) adaptés, ou comme les usagers, parfois perdus entre de multiples systèmes ;
    - de nombreux services numériques en santé n'offrent pas un niveau de sécurisation suffisant en ce qui concerne l'identification électronique, comme en témoigne les nombreux sites se contentant de demander un mot de passe ou une date de naissance s'identifier électroniquement en vue de l'accès à des données de santé ;
    - chaque fournisseur de services numériques en santé doit refaire le même travail chronophage : devenir un fournisseur d'identité, délivrer des moyens d'identification électroniques et les maintenir, ce qui se fait au détriment de travaux sur les services eux-mêmes et la valeur qu'ils peuvent apporter à la santé des personnes.


    Le présent projet d'ordonnance vise à répondre à cette problématique et poursuit les objectifs suivants :
    1. Donner un ancrage juridique et assurer l'extension des répertoires professionnels de référence - le « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS) pour les personnes physiques (arrêté du 18 avril 2017 modifiant l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé RPPS) et le « Fichier national des établissements sanitaires et sociaux » (FINESS) pour les personnes morales (arrêté du 13 novembre 2013 relatif à la mise en place d'un répertoire national des établissements sanitaires et sociaux) -, afin que l'ensemble des professionnels intervenant dans le système de santé, qu'ils relèvent du secteur sanitaire ou du secteur médico-social, qui le doivent (obligation mentionnée au code de la santé publique) ou qui le veulent (les autres) puissent y être enregistrés et que, sur cette base, ils puissent se voir délivrer des MIE fournis par la puissance publique.
    Pour des raisons d'interopérabilité, et afin de faciliter les échanges dans le numérique en santé, les fournisseurs de services numériques en santé devront s'assurer, à l'identification électronique ou à échéance régulière, de la présence des professionnels dans les répertoires de référence. Cela permet, lors de l'échange de documents de santé, de n'avoir qu'une seule manière d'identifier les professionnels. L'ordonnance sanctuarise ce principe essentiel pour l'urbanisation et l'interopérabilité, ce qui permettra au passage aux fournisseurs de services, pour certaines professions, de détecter si un professionnel est encore bien inscrit au tableau, et pour certains rôles, si un professionnel est bien employé dans une structure.
    2. Donner un ancrage juridique à des dispositifs majeurs pour l'identification électronique fournis par la puissance publique :


    - pour les professionnels intervenant en santé, l'application mobile e-CPS, le fédérateur Pro Santé Connect et les produits de certification destinés aux personnes morales ;
    - pour les usagers du système de santé, l'application carte vitale (ApCV).


    3. Définir, comme cela a déjà pu être fait dans le secteur bancaire, un niveau de garantie minimum pour l'identification électronique au sein des fournisseurs de services numériques en santé, notamment s'ils appartiennent à certaines catégories sensibles - par exemple s'ils traitent de données de santé à caractère personnel ou s'ils disposent d'un nombre d'utilisateurs particulièrement important. Pour l'identification électronique aux professionnels, il est également prévu que certains types de service doivent implémenter certains moyens d'identification électroniques fournis par la puissance publique comme le fédérateur Pro Santé Connect.
    L'article 1er du projet d'ordonnance créé, dans le code de la santé publique, un corpus de règles applicables aux services numériques en santé (création d'un titre VII dédié, au livre IV du titre Ier de la première partie du code).
    L'article L. 1470-1 nouveau définit les services numériques en santé par ceux qui les mettent en œuvre, leurs finalités et leurs usagers.
    Au sein du chapitre Ier sur l'identification électronique des utilisateurs des services numériques en santé, un corpus de règles est institué pour sécuriser et simplifier l'identification électronique à ces services.
    L'article L. 1470-2 nouveau édicte une première règle consistant à exiger d'un service numérique en santé :


    - le niveau de garantie des moyens d'identification électronique utilisés, au sens prévu à l'annexe du règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, éventuellement complété par des exigences nationales en ce qui concerne le niveau faible ;
    - pour les professionnels, le ou les moyens d'identification électroniques demandés, pour l'exigence qu'il est prévu de porter dans les textes d'application vis-à-vis des services nationaux, territoriaux et des services locaux fortement intégrés à ces derniers, qui devront implémenter le fédérateur Pro Santé Connect, permettant de s'identifier électroniquement avec carte CPS ou application mobile e-CPS.


    L'ordonnance renvoie à un référentiel, établi par arrêté du ministre chargé de la santé et de l'action sociale, le soin de préciser ces exigences.
    L'article L. 1470-3 nouveau prévoit que les ministres concernés mettent à disposition des professionnels intervenant dans les services numériques en santé des moyens d'identification électronique.
    L'article L. 1470-4 nouveau consacre l'existence de répertoires sectoriels d'identité professionnelle de référence. Il prévoit l'enrôlement obligatoire pour tout professionnel habilité qui souhaite bénéficier d'un moyen d'identification électronique lui permettant de se connecter à un service numérique en santé, qu'il relève du secteur sanitaire, du médico-social ou du social, et qu'il soit une personne physique ou une personne morale. Le projet d'ordonnance subordonne la délivrance de moyens d'identification électronique pour l'ensemble de ces professionnels à leur enrôlement dans les répertoires sectoriels de référence.
    Chacun de ces articles renvoie à un ou plusieurs arrêtés ministériels pour leur application.
    Au sein du chapitre II relatif à l'interopérabilité et à la sécurité des services numériques en santé, les articles L. 1470-5 et L. 1470-6 reprennent les actuelles dispositions des articles L. 1110-4-1 et L. 1110-4-2 du code de la santé publique.
    L'article 2 du projet d'ordonnance modifie certaines dispositions du code de la sécurité sociale. Tenant compte des nouvelles dispositions prévues par l'article 1er, l'article 2 modifie principalement les dispositions des articles L. 161-31 et L. 161-33 du code de la sécurité sociale, pour permettre d'utiliser, conjointement à la carte Vitale ou la carte des professionnels de santé, de nouveaux moyens d'identification électroniques utilisant d'autres supports qu'une carte physique. Leurs caractéristiques seront précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.
    L'article 3 modifie le code de l'action sociale et des familles. Il prévoit que le corpus de règles définies à l'article 1er en ce qui concerne l'identification électronique des professionnels utilisateurs et des usagers bénéficiaires des services numériques en santé s'applique aux établissements et services relevant du secteur médico-social, mentionnés à l'article L. 312-1 du code de l'action sociale et des familles, dès lors que ces derniers interviennent dans la prise en charge des personnes et peuvent, à ce titre, accéder aux services numériques en santé.
    Les articles 4 et 5 organisent diverses mises en cohérence de dispositions du code de la santé publique, du code de la sécurité sociale et de la réglementation applicable à Mayotte avec les dispositions de la présente ordonnance.
    L'article 6 précise l'articulation des dispositions de l'ordonnance avec les dispositions antérieures relatives à la délivrance de la carte d'assurance maladie interrégimes prévues par la loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie.
    Tel est l'objet de la présente ordonnance que nous avons l'honneur de soumettre à votre approbation.
    Veuillez agréer, Monsieur le Président, l'assurance de notre profond respect.

Extrait du Journal officiel électronique authentifié PDF - 205,8 Ko
Retourner en haut de la page