Historique des versions

VersionStatutEvolutionsDate d'application
1.8.4Publiée
  • Ajout de la notion de Fournisseur de Données ainsi que sa portée ;
  • [EXI PSC 05] Mention du respect de la loi du 6 janvier 1978 dite "Informatique et Libertés " ;
  • [EXI PSC 11] Besoin de rafraîchissement du jeton PSC uniquement lorsque l'utilisateur est actif ;
  • [EXI PSC 31] Mise à jour du paragraphe " Identification électronique par Pro Santé Connect " ;
  • [EXI PSC 32] Ajout d'une exigence de nécessite de déconnexion automatique de l'utilisateur du service suite à une période d'inactivité ;
  • [EXI PSC 33] Ajout d'une exigence de nécessite de maintien de la conformité des FS et FD suite aux évolutions techniques de PSC ;
  • [RECO PSC 05] Ajout d'une recommandation de blocage des utilisateurs indélicats ;
  • [RECO PSC 06] Ajout d'une recommandation de déconnexion de l'utilisateur du service lors de la fermeture du navigateur ;
  • Correction de coquilles et mise à jour des liens expirés.
4 avril 2022
1.8Publiée 16 juin 2021

 

Fournisseur de service et fournisseur de données

Par Fournisseur de Service (FS) est désigné toute personne morale immatriculée dans l'Union Européenne, fournissant un service numérique à des utilisateurs professionnels intervenant dans les secteurs  sanitaire, médico-social et social, et habilitée à utiliser Pro Santé Connect conformément aux CGU.

Par Fournisseur de Données (FD) est désignée toute personne morale immatriculée dans l'Union Européenne, fournissant à des FS, via un mécanisme impliquant Pro Santé Connect, des données supplémentaires à celles du jeton Pro Santé Connect, relatives à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, et habilitée à utiliser Pro Santé Connect conformément aux CGU.
 

Eligibilité à PSC et procédure de candidature

EXI PSC 01

Le Fournisseur de Service DOIT être une personne morale (entreprise, association, groupement d’intérêt économique, etc.) de droit privé ou public, immatriculée dans l’Union Européenne

EXI PSC 02

Le Fournisseur de Service DOIT s'engager à ne pas prononcer des propos ou proposer des contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœurs

EXI PSC 03

Le service DOIT être proposé en langue française

EXI PSC 04

Le service DOIT proposer à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, des fonctionnalités qui nécessitent leur identification électronique

EXI PSC 05

Le Fournisseur de Service DOIT respecter la loi du 6 janvier 1978, dite « Informatique et Libertés », ainsi que le Règlement Général sur la Protection des Données (RGPD) en particulier en ce qui concerne l’information des utilisateurs

EXI PSC 06

Le service DOIT, lorsqu’il traite de données de santé, assurer leur confidentialité et leur intégrité, tout en assurant leur hébergement par un hébergeur agréé ou certifié HDS

EXI PSC 07

Le Fournisseur de Service DOIT prévenir l’ANS dans le cas où le service ne serait plus conforme à une des exigences du présent Référentiel et/ou en cas de changement dans les informations qui ont été déclarées lors de la candidature au raccordement à Pro Santé Connect

En savoir plus sur le parcours de raccordement

Modalités de raccordement technique 

EXI PSC 08

Le Fournisseur de Service DOIT être client OpenID Connect

RECO PSC 01

Le Fournisseur de Service DEVRAIT utiliser une implémentation parmi celles qui sont certifiées par la fondation OpenID Connect

EXI PSC 09

Le Fournisseur de Service DOIT respecter les flux standards OpenID

EXI PSC 10

Le Fournisseur de Service DOIT utiliser les flux OpenID définis par Pro Santé Connect

EXI PSC 11

Le Fournisseur de Service DOIT rafraîchir périodiquement les informations d’authentification auprès de Pro Santé Connect uniquement lorsque l’utilisateur utilise activement son service

Bac à sable

EXI PSC 12

Le Fournisseur de Service DOIT avoir testé avec succès son service avec les endpoints de Pro Santé Connect Bac à Sable, préalablement à toute connexion à la production

EXI PSC 13

Le Fournisseur de Service DOIT donner accès à l’ANS à son service de test

Production

EXI PSC 14

Le Fournisseur de Service DOIT contacter les endpoints de Pro Santé Connect Production

En savoir plus sur les endpoints de Pro Santé Connect

Paramétrage des requêtes

EXI PSC 15

Le Fournisseur de Service DOIT paramétrer ses requêtes de token (token ID, token d’accès, token UserInfo) suivant le standard OpenID

EXI PSC 16

Le Fournisseur de Service DOIT utiliser le paramètre acr_values lors de la demande d'authentification avec la valeur «eidas1»

EXI PSC 17

Le Fournisseur de Service DOIT paramétrer ses requêtes d'autorisation avec les scopes “openid” et “scope_all"

En savoir plus sur le détail des flux

Utilisation des données du jeton

EXI PSC 18

Le Fournisseur de Service DOIT utiliser le champ SubjectNameID pour récupérer l'identifiant unique de l'identité, et référencer cet identifiant dans sa traçabilité interne

RECO PSC 02

Le Fournisseur de Service PEUT mettre en place un contrôle d’accès sur des attributs de l’identification électronique (profession, secteur d’activité, etc.) issus du jeton Pro Santé Connect

RECO PSC 05

Le Fournisseur de Service PEUT mettre en place un mécanisme de blocage des utilisateurs indélicats

En savoir plus sur le UserInfo

Gestion et fusion des comptes avec d'autres systèmes d'authentification électronique

RECO PSC 03

Le Fournisseur de Service PEUT utiliser d’autres systèmes d’identification électronique que Pro Santé Connect, notamment pour permettre à des utilisateurs professionnels non encore enregistrés au RPPS d’accéder au service, et/ou de palier à des indisponibilités de Pro Santé Connect ou de connexion réseau

EXI PSC 19

Le Fournisseur de Service DOIT alors fusionner ses comptes autour de l’identifiant pivot RPPS, afin de permettre à ses utilisateurs de ne garder qu’un seul compte dans l’outil, quel que soit leur modalité de connexion

RECO PSC 04

Pour les cas où la gestion du compte utilisateur ne disposaient pas auparavant du numéro RPPS enregistré, le Fournisseur de Service PEUT demander à l'utilisateur final de se connecter avec Pro Santé Connect et une des autres modalités de connexion disponibles successivement afin d’effectuer l’appariement autour de l’identifiant pivot RPPS

Déconnexion

EXI PSC 20

Le Fournisseur de Service DOIT offrir à l'utilisateur la possibilité de se déconnecter, quel que soit le moyen de connexion utilisé au préalable. S’il s’agit de Pro Santé Connect, le Fournisseur de Service doit déconnecter l’utilisateur à la fois du service et de Pro Santé Connect

RECO PSC 06

Le Fournisseur de Service PEUT déconnecter l’utilisateur du service à la fermeture du navigateur ou du client lourd, sans clôturer la session propre à Pro Santé Connect

EXI PSC 32

Le Fournisseur de Service DOIT déconnecter l’utilisateur automatiquement de son service après une période d’inactivité, sans clôturer la session propre à Pro Santé Connect

En savoir plus sur la déconnexion

Information EXI PSC 24

La connexion sécurisée nécessitant l'obtention d'un certificat de AUTH_CLI est en cours d'implémentation dans Pro Santé Connect. Vous pouvez dés à présent demander l'habilitation d'administrateur technique permettant la commande de certificat via cette démarche

Sécurité

EXI PSC 21

Le Fournisseur de Service DOIT utiliser les informations de raccordement : client ID et Secret fournis par Pro Santé Connect

EXI PSC 22

Le Fournisseur de Service DOIT conserver le client ID et le Secret au niveau d’un serveur

EXI PSC 23

Le Fournisseur de Service DOIT proposer un unique point de contact à Pro Santé Connect

EXI PSC 24

Le Fournisseur de Service DOIT communiquer avec Pro Santé Connect via une connexion sécurisée au minimum via TLS 1.2 par un certificat AUTH_CLI de l’offre ORG de l’IGC-Santé

EXI PSC 25

Le Fournisseur de Service de type client lourd DOIT utiliser une autre méthode que l’intégration native d’un composant navigateur à l’intérieur de son applicatif pour le déroulé de la cinématique de connexion Pro Santé Connect

EXI PSC 26

Le Fournisseur de Service de type client lourd DOIT utiliser un navigateur extérieur à son application pour la cinématique "flux code d’autorisation” de Pro Santé Connect

EXI PSC 33

Le Fournisseur de Service DOIT se maintenir conforme aux préconisations sécuritaires du service Pro Santé Connect prononcées et signifiées par l’ANS auprès du responsable technique du Fournisseur de Service

EXI PSC 27

Le Fournisseur de Service DOIT prévenir l’ANS sous 12h en cas de détection d’un incident de sécurité et/ou impliquant une violation de données à caractère personnel

Identité visuelle

EXI PSC 28

Le Fournisseur de Service DOIT intégrer l'identification électronique par Pro Santé Connect au même niveau que les autres modalités d'identification électronique proposées aux utilisateurs professionnels

EXI PSC 29

Le Fournisseur de Service DOIT utiliser l'un des éléments graphiques fournis par Pro Santé Connect pour l'intégration Pro Santé Connect conformément à la charte graphique de l'ANS

EXI PSC 30

Le Fournisseur de Service DOIT respecter la charte graphique Pro Santé Connect

EXI PSC 31Le Fournisseur de Service DOIT disposer de conditions générales d’utilisation et y insérer le
paragraphe type sur Pro Santé Connect que vous pouvez retrouver dans le PDF téléchargeable en début de page

En savoir plus sur la charte graphique

Portée des exigences du référentiel

 

EXIGENCEApplicable aux FSApplicable aux FD 
EXI PSC 01

Oui

Oui
EXI PSC 02

Oui

Oui
EXI PSC 03

Oui

Non 
EXI PSC 04OuiOui
EXI PSC 05OuiOui
EXI PSC 06OuiOui
EXI PSC 07OuiOui
EXI PSC 08OuiOui
EXI PSC 09OuiOui
EXI PSC 10OuiOui
EXI PSC 11OuiNon
EXI PSC 12OuiOui
EXI PSC 13OuiOui
EXI PSC 14OuiOui
EXI PSC 15 OuiOui
EXI PSC 16OuiOui
EXI PSC 17OuiOui
EXI PSC 18OuiNon
EXI PSC 19OuiNon
EXI PSC 20OuiNon
EXI PSC 21OuiOui
EXI PSC 22OuiOui
EXI PSC 23OuiOui
EXI PSC 24OuiOui
EXI PSC 25 OuiOui
EXI PSC 26OuiOui
EXI PSC 27OuiOui
EXI PSC 28OuiNon
EXI PSC 29OuiNon
EXI PSC 30OuiNon
EXI PSC 31 OuiNon
EXI PSC 32OuiNon
EXI PSC 33OuiOui
RECO PSC 01OuiOui
RECO PSC 02 OuiOui
RECO PSC 03 OuiNon
RECO PSC 04OuiNon
RECO PSC 05 OuiOui
RECO PSC 06OuiNon

 

Was this page useful to you?

The information you provide in this questionnaire will be saved by the ANS into a digital database in order to optimise our website and improve our services.

The information saved is only to be used by the ANS and is only accessible to its services, its staff, and third-party providers authorised to consult it.

According to the regulation applicable in terms of personal data protection, you have the right to access, modify and erase your data. To do so, you may contact our Data Protection administrator, following the conditions set out in the page Personal Data Protection Policy on the ANS website.