La définition de principes et référentiels clairs sur l’identification électronique des utilisateurs de services numériques de santé est une condition majeure du développement et de l’appropriation par chacun des services numériques de santé. En effet sans certification de l’identité des acteurs à partir de laquelle fonder des moyens d’authentification forts, il n’y a pas de confiance et sans confiance, il n’y a pas d’usage.
Le projet d’ordonnance relative à l’identification électronique des utilisateurs de services numériques en santé crée ainsi au sein du code de la santé publique deux nouvelles sections au sein du chapitre relatif aux droits des personnes : l’une reprenant les principes généraux et la seconde portant spécifiquement sur les dispositions relatives à la définition des services numériques en santé et des référentiels et répertoires d’identification électroniques applicables aux personnes physiques et aux personnes morales.
Alors que se dessine le futur espace numérique de santé (ENS), cette étape était indispensable.
Ce projet d’ordonnance était prévu par l’article 49 de la loi n°2019-xxx du 24 juillet 2019 (1) et poursuit trois objectifs :
Le projet d’ordonnance concerne les usagers et les professionnels personnes physiques ou morales et s’applique aux secteurs sanitaire, médico-social et social.
La nouvelle section 2 du chapitre sur les droits de la personne qui serait désormais consacrée aux dispositions relatives aux systèmes d’information en santé, prévoit :
1. La définition des services numériques en santé (secteurs sanitaire, médico-social, social de et de l’assurance maladie)
Le futur article L.1110-16 du CSP apporte une définition des services numériques en santé qui permet d’y inclure « des systèmes d’information, service ou outils numériques, mis en œuvre par des personnes morales de droit public ou de droit privé, proposés par voie électronique, à distance ou non, qui concourent à des activités de prévention, de diagnostic, de soin, de prise en charge, de suivi, ou d’interventions nécessaires à la coordination de plusieurs de ces activités ».
Il s’agit donc à la fois des systèmes d’information, services ou outils numériques nécessaires à la coordination des soins entre professionnels de santé (ceux visés à l’article L1110-4 du code de la santé publique) mais également de ceux utilisés par les usagers du système de santé.
2. L’exigence d’une identification électronique des utilisateurs
Le nouvel article L.1110-17 du CSP impose l’identification électronique des utilisateurs des services numériques en santé. Il s’agit des usagers personnes physiques et des acteurs, personnes physiques ou morales, en charge d’activités relevant des secteurs sanitaire, médico-social et social ainsi que des personnes physiques exerçant sous leur autorité.
L’identification électronique pourra reposer sur un moyen, matériel ou immatériel : la carte CPS ou vitale n’est donc plus le seul support possible pour l’identification.
Un arrêté ministériel est annoncé pour définir dans le cadre d’un référentiel, en fonction des catégories de services numériques en santé et d’utilisateurs, le niveau de garantie minimal exigé, au sens de ceux définis dans le Règlement européen eIDAS, « éventuellement complété par des exigences minimales concernant l’obtention et la gestion des moyens d’identification électronique pour les utilisateurs, ainsi que leur authentification ».
3. La gestion du répertoire sectoriel de référence
Prévu au futur article L.1110-18 du CSP, il concerne sous l’autorité du ministère des solidarités et de la santé, les professionnels et les personnes physiques intervenant dans les secteurs sanitaire, médico-social et social. Pour les professionnels de santé, ce répertoire est une extension de l’actuel RPPS (Répertoire partagé des professionnels intervenant dans le système de santé). Une distinction reste opérée ente les professionnels de santé disposant d’une autorité d’enregistrement compétente (les ordres professionnels) et pour lesquels l’enregistrement est obligatoire et les autres pour lesquels l’enregistrement est effectué par l’autorité d’enregistrement compétente seulement s’ils souhaitent utiliser certains services numériques en santé qui requièrent une identification numérique.
Un décret en Conseil d’Etat, certainement pris après avis de la CNIL, viendra notamment déterminer les données traitées, les destinataires et les modalités d’accès et de publication y afférentes, la ou les autorités d’enregistrement compétentes (il pourra s’agir, dans certains cas, de l’établissement employeur), les modalités d’information individuelle et d’exercice des droits et les modalités de vérification auprès de ce répertoire.
Les moyens d’identification électroniques, matériels ou immatériels fournis par l’autorité publique seront donc fondés sur ce répertoire sectoriel.
Le futur article L.1110-20 du CSP prévoit également l’enregistrement obligatoire dans un répertoire sectoriel de référence des professionnels personnes morales, auxquels sont applicables les dispositions du CSP ou du code de l’action sociale et des familles (dont celles soumises à autorisation préalable).
S’agissant des personnes morales, ce nouvel article correspond à l’actuel « Fichier national des établissements sanitaires, médico-sociaux et sociaux » (FINESS), précise la notice explicative publiée par le Ministère de la santé.
Enfin, comme pour les professionnels personnes physiques les modalités de traitement des données personnelles générées par la création de ce répertoire sectoriel de référence et les détails des moyens d’identification électroniques seront fixées par un arrêté.
4. Les dispositions du code de la sécurité sociale impactées
L’article 2 du projet d’ordonnance tend principalement à modifier l’article L.161-31, I du code de la sécurité sociale en faisant désormais référence à un moyen d’identification inter-régimes sans plus mentionner la carte vitale. Il étend les exigences d’identification électronique des articles précités à ce moyen d’identification de l’assurance maladie.
Toujours accompagné de la photographie de son titulaire, un décret viendra en préciser les nouvelles caractéristiques.
De façon parallèle, toute mention de la carte CPS est remplacée par celle de moyen d’identification électronique attestant de son identité.
Enfin, l’article 3 du projet d’ordonnance prévoit d’insérer un article L.312-10 au code de l’action sociale et des familles pour indiquer que ces nouvelles mesures du code de la santé publique s’appliquent également aux établissements et services sociaux et médico-sociaux.
(1) Ce projet fait actuellement l’objet d’une notification auprès de la Commission européenne car il entre dans le champ d’application du Règlement européen 2015/1535 qui prévoit que les Etats membres de l’UE doivent informer la Commission de tout projet de règle technique avant son adoption. Cette procédure permet de vérifier pendant un délai de 3 mois durant lequel le projet ne peut être adopté en droit interne, que les dispositions prévues par le texte ne créent pas d’obstacle à la libre circulation des marchandises ou à la libre prestation des services de la société de l’information ou au droit dérivé de l’UE.
(2) L’expérimentation de la e-carte vitale est déjà en cours depuis le décret du 27 mai 2019 dont les dispositions ont été prorogées par le décret du 13 octobre 2020.