FAQ des industriels

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement : 

1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ; 
2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé.

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de  son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI. 

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL.

Retrouvez les dernières informations sur l'authentification mTLS et le planning prévisionnel de sa mise en œuvre sur notre documentation technique.

Vous pouvez commander un certificat mTLS via la PFCNG. La procédure est détaillée au chapitre Authentification mTLS de la documentation technique. Le processus de commande détaillé est en train d’être mise à jour sur la page Certificats.

Pour Pro Santé Connect il faut que le certificat contienne le client_id dans le champ "CN" du certificat. Sur la plateforme de commande de certificats logiciels, le client_id doit être renseigné dans le champ "service applicatif". C'est ce dernier qui alimentera le champ "CN" du certificat. Il faut donc un certificat spécifique à Pro Santé Connect.

Pas de documentation ANS, l'implémentation d'un serveur intermédiaire est du ressort du fournisseur de service, il peut donc l'implémenter de la manière qu'il le souhaite.

Si le raccordement à Pro Santé Connect a déjà été réalisé en flux CIBA dans un service, il fonctionnera en e-CPS par défaut. 

Pour ajouter la possibilité à l'utilisateur de s'authentifier à l'aide de sa CPx, il faut ajouter un paramètre optionnel « channel » (documenté dans la documentation technique) pour spécifier le type de MIE à utiliser.

Le client_secret ne doit jamais être présent sur le poste client, il doit impérativement être stocké sur le serveur intermédiaire. Nous recommandons, dans la mesure du possible, de conserver également le client_id et les jetons d’accès (access_token, id_token, et refresh_token) sur le serveur intermédiaire.

Non pas forcément, il est possible d'utiliser CPS-Gestion et la carte CPx sur un poste Windows, ou macOS (à venir). Mais en usage full mobile, l’utilisateur aura accès uniquement à sa e-CPS.

L'équipe Pro Santé Connect étudie la possibilité de mettre cela en place, aucune date de mise à disposition ni de langage utilisé ne peut être annoncée à ce stade.

PRO Santé Connect a implémenté la section sur la déconnexion en cours de spécification dans la norme OpenID Connect : 
http://openid.net/specs/openid-connect-session-1_0.html#RPLogout

Vous pouvez réaliser une déconnexion fonctionnelle en suivant les recommandations standards d'OpenID, et en appelant l'URL de déconnexion suivante :

• en production : https://auth.esw.esante.gouv.fr/auth/realms/esante-wallet/protocol/openid-connect/logout
• sur le Bac à Sable :  https://auth.bas.psc.esante.gouv.fr/auth/realms/esante-wallet/protocol/openid-connect/logout

Le endpoint de déconnexion est exposé dans la configuration PSC.

Vous avez la possibilité de commander une carte CPA de production sur la page dédiée.

(en cours de rédaction)

Les ES peuvent ajouter Pro Santé Connect comme moyen d'authentification proposé aux professionnels de santé pour accéder à leurs services.

Pro Santé Connect est une solution d'authentification sectorielle spécifique au monde de la santé, il permet d'authentifier les professionnels de santé mais pas les patients.

Le Fournisseur de Service doit être une personne morale (entreprise, association, groupement d’intérêt économique, etc.) de droit privé ou public, immatriculée dans l’Union Européenne. Le service doit proposer à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, des fonctionnalités qui nécessitent leur identification électronique.

L'intégration d'autres moyens d'authentification est à l'étude, cependant nous n'avons pas de visibilité sur leur date de disponibilité.

Non, il n'y a pas besoin d'homologation.

Des exemples de jetons sont publiés ici :
Exemples de jetons.

Certaines données du jeton viennent du MOS.
Vous pouvez en retrouver le détail ici.

Les données du jeton UserInfo sont les suivantes : Nom d'exercice, prénom de l'utilisateur, Identifiant de l'utilisateur final, Identifiant du système cible, Identifiant national, Liste des données du Référentiel Professionnel du PS identifié, version du jeton utilisée, palier d'authentification,role, secteur d'activité, structure, ID de structure, accès régulation médicale.

Le détail des jetons est donné dans le mode opératoire.