NUMERIQUE : création d’un dispositif d’identification obligatoire des ESSMS et des professionnels pour l’accès aux traitements de données à caractère personnel

Au JO du 13 mai 2021 a été publiée l’ordonnance n° 2021-581 du 12 mai 2021 relative à l’identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l’assurance maladie, qui institue un dispositif juridique et technique d’identification numérique des établissements et services sociaux et médico-sociaux (ESSMS) et des professionnels.

.

L’adoption de cette ordonnance, liée à la mise en oeuvre de la feuille de route ministérielle “Accélérer le virage numérique” de la stratégie “Ma santé 2022” est partie du constat de trois dysfonctionnements ou imperfections :

• de nombreuses personnes ne peuvent pas accéder à des services numériques en santé, comme certains professionnels non encore enregistrés dans les répertoires de référence (RPPS, FINESS) et n’ayant donc pas été destinataires des moyens d’identification électroniques (MIE) adaptés, ou comme les usagers, parfois perdus entre de multiples systèmes ;
• de nombreux services numériques en santé n’offrent pas un niveau de sécurisation suffisant en ce qui concerne l’identification électronique, comme en témoignent les nombreux sites se contentant de demander un mot de passe ou une date de naissance s’identifier électroniquement en vue de l’accès à des données de santé ;
• chaque fournisseur de services numériques en santé doit refaire le même travail chronophage : devenir un fournisseur d’identité, délivrer des moyens d’identification électroniques et les maintenir, ce qui se fait au détriment de travaux sur les services eux-mêmes et la valeur qu’ils peuvent apporter à la santé des personnes.

I. – Présentation du nouveau dispositif

L’ordonnance se caractérise par trois apports majeurs :

1°) donner un fondement juridique à l’extension des répertoires professionnels de référence

Sont concernés :

• le « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS) pour les personnes physiques (arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère personnel dénommé RPPS). A noter que ce répertoire est sur le point d’être modernisé grâce au Portail RPPS+ ;

• le « Fichier national des établissements sanitaires et sociaux » (FINESS) pour les personnes morales (arrêté du 13 novembre 2013 relatif à la mise en place d’un répertoire national des établissements sanitaires et sociaux).

Ainsi les professionnels intervenant dans le secteur médico-social peuvent-ils y être enregistrés afin de se voir délivrer des MIE fournis par la puissance publique :

• qu’ils soient soumis à une obligation d’inscription ;

• ou bien qu’ils souhaitent s’inscrire indépendamment de toute obligation.

A cet effet, les fournisseurs de services numériques en santé ont désormais l’obligation de s’assurer, au moment de chaque identification électronique ou bien à échéance régulière, de la présence des professionnels dans les répertoires de référence. Cela permet, lors de l’échange de documents de santé, de n’avoir qu’une seule manière d’identifier les professionnels. de plus, ce nouveau dispositif permet de contrôler en temps réel l’actualité de :

• l’inscription au tableau des professionnels de santé soumis à un Ordre professionnel ;

• l’emploi d’un professionnel par un ESSMS.

2°) donner un fondement juridique aux dispositifs d’identification électronique fournis par la puissance publique

Deux dispositifs d’identification numérique sont concernés :

• pour les professionnels intervenant en santé : l’application mobile e-CPS, le fédérateur Pro Santé Connect et les produits de certification destinés aux personnes morales ;
• pour les usagers du système de santé, l’application carte vitale (ApCV).

3°) définir un niveau minimal de garantie pour l’identification électronique par les fournisseurs de services numériques en santé

Sont notamment assujettis au nouveau dispositif les fournisseurs de traitements de données personnelles à caractère sensible, notamment quand est en jeu la protection :

• de données de santé,
• de données afférentes à un nombre d’utilisateurs particulièrement important.

Pour l’identification électronique des professionnels, il est prévu que certains types de service implémentent des moyens d’identification électroniques fournis par la puissance publique via Pro Santé Connect.

C’est de ces trois objectifs que découlent notamment :

• les nouveaux articles L. 1470-1 à L. 1470-6 du Code de la santé publique (services numériques en santé) ;

• les modifications des articles L. 161-31 à L. 161-33 du Code de la sécurité sociale (carte vitale) ;

• la création de l’article L. 312-10 du Code de l’action sociale et des familles (CASF), ce dernier soumettant les ESSMS à cette nouvelle législation de l’accès aux services numériques en santé.

II. – Commentaire

Ce nouveau dispositif de sécurisation unifiée des accès aux traitements de données de santé s’inscrit dans un contexte qui le justifie pleinement :

• le Règlement général sur la protection des données (RGPD) impose des obligations strictes en matière de sécurité des traitements et ce, afin d’éviter que des violations de données se produisent ;
• dans le secteur social et médico-social, la stratégie de “virage numérique” s’est concrétisée à la fin de l’année dernière par la publication de l’instruction technique de la CNSA du 12 novembre 2020 relative à la phase d’amorçage du programme “ESMS numérique”. elle a ensuite pris corps dans une feuille de route spécifique adoptée en janvier 2021. Près de vingt ans après la promulgation de la loi n° 2002-2 du 2 janvier 2002, le sujet des systèmes d’information des ESSMS identifié par l’article L. 312-9 modifié du CASF – dont il est d’ailleurs intéressant de se rappeler la rédaction initiale, en constatant sur le fait que le décret d’application annoncé n’était jamais paru – devient donc enfin une priorité stratégique de la puissance publique ;
• la Commission nationale de l’informatique et des libertés (CNIL) a eu, récemment encore, l’occasion de dévoiler – au travers d’enquêtes en ligne – le manque flagrant de sécurité de certains traitements de données de santé (voir le post du 6 janvier 2021).

L’évolution numérique à l’oeuvre impose plus que jamais aux directeurs/trices d’ESSMS et aux organismes gestionnaires de s’approprier les questions techniques et juridiques des traitements de données à caractère personnel des personnes accueillies et accompagnées – comme d’ailleurs du personnel. Doivent ainsi être articulées des considérations liées (liste non exhaustive) :

• à la description des processus de travail (métiers, supports), afin d’identifier les données strictement utiles, leurs flux, leurs traitements, les personnes habilitées à les traiter ;

• à la cartographie des processus, afin de déterminer leurs interactions ;

• à l’organisation et la sécurisation des matériels et réseaux informatiques, aussi bien d’un point de vue matériel de logiciel ;

• à la maîtrise du dispositif et à sa conformité juridique au regard des exigences du RGPD.

Une telle démarche – dont la nature stratégique pour un ESSMS comme un organisme gestionnaire est avérée – nécessite, à défaut de compétences suffisantes en interne, un accompagnement à la fois technique (infrastructures, logiciels, sécurité) et juridique (RGPD, droits des personnes accueillies ou accompagnées, droit social) de qualité, à la hauteur des enjeux d’efficacité et de responsabilité qui pèsent sur l’activité.