Introduction au référentiel

Vous êtes un fournisseur de service (FS) ou un fournisseur de données (FD) souhaitant implémenter Pro Santé Connect (PSC) ?

Retrouvez l'ensemble des exigences et recommandations à respecter décrites dans le référentiel PSC.
 

 

Historique des versions

Version Statut Evolutions Date d'application
1.8.4 Publiée
  • Ajout de la notion de Fournisseur de Données ainsi que sa portée ;
  • [EXI PSC 05] Mention du respect de la loi du 6 janvier 1978 dite "Informatique et Libertés " ;
  • [EXI PSC 11] Besoin de rafraîchissement du jeton PSC uniquement lorsque l'utilisateur est actif ;
  • [EXI PSC 31] Mise à jour du paragraphe " Identification électronique par Pro Santé Connect " ;
  • [EXI PSC 32] Ajout d'une exigence de nécessite de déconnexion automatique de l'utilisateur du service suite à une période d'inactivité ;
  • [EXI PSC 33] Ajout d'une exigence de nécessite de maintien de la conformité des FS et FD suite aux évolutions techniques de PSC ;
  • [RECO PSC 05] Ajout d'une recommandation de blocage des utilisateurs indélicats ;
  • [RECO PSC 06] Ajout d'une recommandation de déconnexion de l'utilisateur du service lors de la fermeture du navigateur ;
  • Correction de coquilles et mise à jour des liens expirés.
4 avril 2022
1.8 Publiée   16 juin 2021

 

Fournisseur de service et fournisseur de données

Par Fournisseur de Service (FS) est désigné toute personne morale immatriculée dans l'Union Européenne, fournissant un service numérique à des utilisateurs professionnels intervenant dans les secteurs  sanitaire, médico-social et social, et habilitée à utiliser Pro Santé Connect conformément aux CGU.

Par Fournisseur de Données (FD) est désignée toute personne morale immatriculée dans l'Union Européenne, fournissant à des FS, via un mécanisme impliquant Pro Santé Connect, des données supplémentaires à celles du jeton Pro Santé Connect, relatives à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, et habilitée à utiliser Pro Santé Connect conformément aux CGU.
 

Eligibilité à PSC et procédure de candidature

EXI PSC 01

Le Fournisseur de Service DOIT être une personne morale (entreprise, association, groupement d’intérêt économique, etc.) de droit privé ou public, immatriculée dans l’Union Européenne

EXI PSC 02

Le Fournisseur de Service DOIT s'engager à ne pas prononcer des propos ou proposer des contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœurs

EXI PSC 03

Le service DOIT être proposé en langue française

EXI PSC 04

Le service DOIT proposer à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, des fonctionnalités qui nécessitent leur identification électronique

EXI PSC 05

Le Fournisseur de Service DOIT respecter la loi du 6 janvier 1978, dite « Informatique et Libertés », ainsi que le Règlement Général sur la Protection des Données (RGPD) en particulier en ce qui concerne l’information des utilisateurs

EXI PSC 06

Le service DOIT, lorsqu’il traite de données de santé, assurer leur confidentialité et leur intégrité, tout en assurant leur hébergement par un hébergeur agréé ou certifié HDS

EXI PSC 07

Le Fournisseur de Service DOIT prévenir l’ANS dans le cas où le service ne serait plus conforme à une des exigences du présent Référentiel et/ou en cas de changement dans les informations qui ont été déclarées lors de la candidature au raccordement à Pro Santé Connect

En savoir plus sur le parcours de raccordement

Modalités de raccordement technique 

EXI PSC 08

Le Fournisseur de Service DOIT être client OpenID Connect

RECO PSC 01

Le Fournisseur de Service DEVRAIT utiliser une implémentation parmi celles qui sont certifiées par la fondation OpenID Connect

EXI PSC 09

Le Fournisseur de Service DOIT respecter les flux standards OpenID

EXI PSC 10

Le Fournisseur de Service DOIT utiliser les flux OpenID définis par Pro Santé Connect

EXI PSC 11

Le Fournisseur de Service DOIT rafraîchir périodiquement les informations d’authentification auprès de Pro Santé Connect uniquement lorsque l’utilisateur utilise activement son service

Bac à sable

EXI PSC 12

Le Fournisseur de Service DOIT avoir testé avec succès son service avec les endpoints de Pro Santé Connect Bac à Sable, préalablement à toute connexion à la production

EXI PSC 13

Le Fournisseur de Service DOIT donner accès à l’ANS à son service de test

Production

EXI PSC 14

Le Fournisseur de Service DOIT contacter les endpoints de Pro Santé Connect Production

En savoir plus sur les endpoints de Pro Santé Connect

Paramétrage des requêtes

EXI PSC 15

Le Fournisseur de Service DOIT paramétrer ses requêtes de token (token ID, token d’accès, token UserInfo) suivant le standard OpenID

EXI PSC 16

Le Fournisseur de Service DOIT utiliser le paramètre acr_values lors de la demande d'authentification avec la valeur «eidas1»

EXI PSC 17

Le Fournisseur de Service DOIT paramétrer ses requêtes d'autorisation avec les scopes “openid” et “scope_all"

En savoir plus sur le détail des flux

Utilisation des données du jeton

EXI PSC 18

Le Fournisseur de Service DOIT utiliser le champ SubjectNameID pour récupérer l'identifiant unique de l'identité, et référencer cet identifiant dans sa traçabilité interne

RECO PSC 02

Le Fournisseur de Service PEUT mettre en place un contrôle d’accès sur des attributs de l’identification électronique (profession, secteur d’activité, etc.) issus du jeton Pro Santé Connect

RECO PSC 05

Le Fournisseur de Service PEUT mettre en place un mécanisme de blocage des utilisateurs indélicats

En savoir plus sur le UserInfo

Gestion et fusion des comptes avec d'autres systèmes d'authentification électronique

RECO PSC 03

Le Fournisseur de Service PEUT utiliser d’autres systèmes d’identification électronique que Pro Santé Connect, notamment pour permettre à des utilisateurs professionnels non encore enregistrés au RPPS d’accéder au service, et/ou de palier à des indisponibilités de Pro Santé Connect ou de connexion réseau

EXI PSC 19

Le Fournisseur de Service DOIT alors fusionner ses comptes autour de l’identifiant pivot RPPS, afin de permettre à ses utilisateurs de ne garder qu’un seul compte dans l’outil, quel que soit leur modalité de connexion

RECO PSC 04

Pour les cas où la gestion du compte utilisateur ne disposaient pas auparavant du numéro RPPS enregistré, le Fournisseur de Service PEUT demander à l'utilisateur final de se connecter avec Pro Santé Connect et une des autres modalités de connexion disponibles successivement afin d’effectuer l’appariement autour de l’identifiant pivot RPPS

Déconnexion

EXI PSC 20

Le Fournisseur de Service DOIT offrir à l'utilisateur la possibilité de se déconnecter, quel que soit le moyen de connexion utilisé au préalable. S’il s’agit de Pro Santé Connect, le Fournisseur de Service doit déconnecter l’utilisateur à la fois du service et de Pro Santé Connect

RECO PSC 06

Le Fournisseur de Service PEUT déconnecter l’utilisateur du service à la fermeture du navigateur ou du client lourd, sans clôturer la session propre à Pro Santé Connect

EXI PSC 32

Le Fournisseur de Service DOIT déconnecter l’utilisateur automatiquement de son service après une période d’inactivité, sans clôturer la session propre à Pro Santé Connect

En savoir plus sur la déconnexion

Information EXI PSC 24

La connexion sécurisée nécessitant l'obtention d'un certificat de AUTH_CLI est en cours d'implémentation dans Pro Santé Connect. Vous pouvez dés à présent demander l'habilitation d'administrateur technique permettant la commande de certificat via cette démarche

Sécurité

EXI PSC 21

Le Fournisseur de Service DOIT utiliser les informations de raccordement : client ID et Secret fournis par Pro Santé Connect

EXI PSC 22

Le Fournisseur de Service DOIT conserver le client ID et le Secret au niveau d’un serveur

EXI PSC 23

Le Fournisseur de Service DOIT proposer un unique point de contact à Pro Santé Connect

EXI PSC 24

Le Fournisseur de Service DOIT communiquer avec Pro Santé Connect via une connexion sécurisée au minimum via TLS 1.2 par un certificat AUTH_CLI de l’offre ORG de l’IGC-Santé

EXI PSC 25

Le Fournisseur de Service de type client lourd DOIT utiliser une autre méthode que l’intégration native d’un composant navigateur à l’intérieur de son applicatif pour le déroulé de la cinématique de connexion Pro Santé Connect

EXI PSC 26

Le Fournisseur de Service de type client lourd DOIT utiliser un navigateur extérieur à son application pour la cinématique "flux code d’autorisation” de Pro Santé Connect

EXI PSC 33

Le Fournisseur de Service DOIT se maintenir conforme aux préconisations sécuritaires du service Pro Santé Connect prononcées et signifiées par l’ANS auprès du responsable technique du Fournisseur de Service

EXI PSC 27

Le Fournisseur de Service DOIT prévenir l’ANS sous 12h en cas de détection d’un incident de sécurité et/ou impliquant une violation de données à caractère personnel

Identité visuelle

EXI PSC 28

Le Fournisseur de Service DOIT intégrer l'identification électronique par Pro Santé Connect au même niveau que les autres modalités d'identification électronique proposées aux utilisateurs professionnels

EXI PSC 29

Le Fournisseur de Service DOIT utiliser l'un des éléments graphiques fournis par Pro Santé Connect pour l'intégration Pro Santé Connect conformément à la charte graphique de l'ANS

EXI PSC 30

Le Fournisseur de Service DOIT respecter la charte graphique Pro Santé Connect

EXI PSC 31 Le Fournisseur de Service DOIT disposer de conditions générales d’utilisation et y insérer le
paragraphe type sur Pro Santé Connect que vous pouvez retrouver dans le PDF téléchargeable en début de page

En savoir plus sur la charte graphique

Portée des exigences du référentiel

 

EXIGENCE Applicable aux FS Applicable aux FD 
EXI PSC 01

Oui

Oui
EXI PSC 02

Oui

Oui
EXI PSC 03

Oui

Non 
EXI PSC 04 Oui Oui
EXI PSC 05 Oui Oui
EXI PSC 06 Oui Oui
EXI PSC 07 Oui Oui
EXI PSC 08 Oui Oui
EXI PSC 09 Oui Oui
EXI PSC 10 Oui Oui
EXI PSC 11 Oui Non
EXI PSC 12 Oui Oui
EXI PSC 13 Oui Oui
EXI PSC 14 Oui Oui
EXI PSC 15  Oui Oui
EXI PSC 16 Oui Oui
EXI PSC 17 Oui Oui
EXI PSC 18 Oui Non
EXI PSC 19 Oui Non
EXI PSC 20 Oui Non
EXI PSC 21 Oui Oui
EXI PSC 22 Oui Oui
EXI PSC 23 Oui Oui
EXI PSC 24 Oui Oui
EXI PSC 25  Oui Oui
EXI PSC 26 Oui Oui
EXI PSC 27 Oui Oui
EXI PSC 28 Oui Non
EXI PSC 29 Oui Non
EXI PSC 30 Oui Non
EXI PSC 31  Oui Non
EXI PSC 32 Oui Non
EXI PSC 33 Oui Oui
RECO PSC 01 Oui Oui
RECO PSC 02  Oui Oui
RECO PSC 03  Oui Non
RECO PSC 04 Oui Non
RECO PSC 05  Oui Oui
RECO PSC 06 Oui Non

 

Cette page vous a-t-elle été utile ?

Les informations recueillies dans le questionnaire sont enregistrées dans un fichier informatisé par l'ANS afin d’optimiser le site et satisfaire à vos attentes.

Les informations enregistrées sont destinées à l’usage de l’ANS et ne sont rendues accessibles qu’à ses services, personnels, prestataires externes ou partenaires habilités à en prendre connaissance.

Dans le respect de la réglementation applicable en matière de protection des données personnelles, vous disposez notamment d’un droit d’accès, de rectification et d’effacement de vos données.
Vous pouvez exercer ces droits en contactant le délégué à la protection des données de l’ANS, dans les conditions décrites sur la page dédiée Politique de protection des données personnelles du site de l’ANS.