Un référentiel français en matière de sécurité d’accès aux données de santé
publié le 4 avril 2022
Accès sécurisé aux données, protection des identifiants permettant au patient ou citoyen lambda de se connecter à son espace Santé (à l’échelle nationale, par exemple) ou encore au “portail” aménagé éventuellement par l’hôpital où il se fait soigner, sécurisation des données conservées par tel ou tel “hébergeur”… Autant d’éléments critiques pour le respect de la vie privée, de la confidentialité de données particulièrement sensibles, mais aussi pour la confiance que chacun(e) accorde aux prestataires concernés.
En France, le Ministère des Solidarités et de la Santé et l’Agence du Numérique en Santé viennent de dévoiler un “référentiel opposable”, baptisé “Corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé”, qui “définit des exigences sur les connexions à des services numériques traitant des données de santé”.
Il a été structuré en trois parties en fonction des trois “publics” concernés – usagers, professionnels et structures de soins.
Qu’impose-t-il comme (nouvelles) bonnes pratiques, dont la mise en oeuvre devra être effectuée d’ici le 31 décembre 2025? Utilisation de mots de passe suffisamment forts, recours à des seconds facteurs d’authentification (code à usage unique, etc.), utilisation des informations d’identification des utilisateurs vérifiées et issues des répertoires de référence.
Les détails des pratiques et les outils ou procédures qui devront obligatoirement être utilisés, par les patients et par les professionnels, sont parfois très spécifiquement français mais ce référentiel édicte par contre des pratiques que tout pays pourrait potentiellement transposer dans son propre contexte. Exemple, des téléservices, balisés par les autorités, qui permettent de se connecter via les “moyens d’identification électroniques fournis gratuitement par la puissance publique” (applications mobiles, cartes d’accès…). “Cela permet aux professionnels d’utiliser toujours la même méthode de connexion pour les différents services qu’ils sont amenés à utiliser”, souligne le site de l’Agence du Numérique en Santé.
Pour ce qui est des connexions aux systèmes locaux implémentés par exemple par les hôpitaux (Portail Patient, accès à un dossier hospitalier…), le “Corpus” impose, dès cette année, l’implémentation d’une identification à deux facteurs et, d’ici 2026, imposera à “ces moyens d’identification électronique locaux [d’]être homologués par les structures ou services, ou qualifiés par l’ANSSI”, Agence nationale de la Sécurité des Systèmes d’Information). Niveau requis: une conformité eIDAS (Electronic IDentification Authentication and trust Services), la norme européenne en matière d’identification électronique et de services de confiance pour les transactions électroniques au sein de l’Union.
Le “Corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé” peut être consulté via le site de l’Agence du Numérique en Santé.