Carte de professionnel de santé
La carte de professionnel de santé (CPS) est une carte à puce utilisée en France afin d'assurer la confidentialité de l’accès aux données personnelles dans le cadre des applications de santé communicantes. Elle est délivrée par l'agence du numérique en santé (ANS ex ASIP santé) à chaque professionnel de santé.
La carte de professionnel de santé en formation (CPF) existe pour les internes, en particulier pour leurs remplacements[1]
Contenu des cartes
Les cartes de professionnel de santé déployées dans le secteur santé sont des CPS3. Ces cartes contiennent :
- un certificat de signature X509 et un certificat d'authentification X509. Les certificats de chiffrement utilisés pour la sécurisation des transmissions de données par internet, sont générées par des applications tierces utilisant la CPS. Les clefs publiques (authentification, signature et chiffrements) des cartes CPx sont disponibles sur un annuaire public géré par l'ASIP santé.
- Deux volets d’information utilisés dans le contexte SESAM-Vitale :
- Des informations identifiant le professionnel de santé. La lecture est libre et l'écriture est protégée.
- Le domaine Assurance maladie (DAM) : ces données (situations d’exercices et de facturation) sont protégées par code porteur en lecture et protégées en écriture. Ce sont des informations conventionnelles et de nature financière à l’usage exclusif de l’Assurance maladie et servant à générer les feuilles de soins électroniques (FSE) avec des progiciels de facturation agréés. Ces données devraient à terme être retirées des prochaines générations de CPS et installées dans les systèmes informatiques des professionnels. C'est déjà ce qui se passe lors des situations de remplacements des professionnels de santé. Le remplaçant est doté d'une CPS munie d’un volet d’identification et d’un domaine d’Assurance maladie banalisé (c'est aussi le cas pour les professionnels exerçant en centres de santé). La FSE est constituée à partir des données de facturation du professionnel remplacé et de la CPS du remplaçant. Le 18 janvier 2003, le conseil d’administration du GIP CPS a approuvé le principe à terme de la sortie des données d’assurance maladie de la CPS qui redeviendrait alors un outil générique garantissant à la fois sécurité et confidentialité[2].
Depuis 1998, début du programme SESAM-Vitale, la principale fonction des CPS est de « signer » les feuilles de soins électroniques (FSE) conjointement avec la carte Vitale des assurés sociaux. La base réglementaire est l'article L161-33 du Code de la Sécurité Sociale, qui précise que dans « le cas de transmission électronique par les professionnels, organismes ou établissements dispensant des actes ou prestations remboursables par l'assurance maladie, l'identification de l'émetteur, son authentification et la sécurisation des échanges sont assurées par une carte électronique individuelle, appelée carte de professionnel de santé »[3].
Depuis la parution du « décret confidentialité » le 15 mai 2007, en application de la loi Kouchner du 4 mars 2002, cette carte est réglementairement devenue obligatoire pour les accès aux données de santé à caractère personnel[4],[5].
Historique
L'idée de la CPS est née en même temps que celle de la carte Vitale, pour les besoins du programme SESAM-Vitale afin d'être utilisées simultanément pour générer des feuilles de soins électroniques (FSE).
En 1996 afin de permettre la qualification sur le terrain de la CPS, il y eut une diffusion de jeux de cartes Vitale 1 à Blois Onzain ainsi que sur une autre zone test de la CPS à Lens.
CPS 3
C'est la carte CPS actuellement déployée sur le terrain. Les données contenue par cette carte sont principalement :
- Les données relatives au porteur dont :
- Les éléments d’identification (identifiant national, nom, …).
- Les qualifications.
- Les situations d’exercice.
- Les situations de facturation du domaine Assurance Maladie Obligatoire.
- Le code porteur et le code de déblocage de la carte.
- Les bi-clés RSA d’authentification et de signature.
- Les certificats X509 d’authentification et de signature.La CPS 3 est la troisième génération de cartes à puce. Les lecteurs CP2 bi-fentes homologués par le GIE SESAM-Vitale et monofentes PC/SC seront compatibles avec les cartes CPS 3. Cette CPS 3 émulera une CPS 2ter ce qui permettra de conserver les couches API et cryptographiques existantes. En plus de la puce à lecture « avec contact », cette carte « duale » sera dotée d’une technique de lecture « sans contact » autorisant une lecture à moins de 10 cm des lecteurs. La norme en sans-contact sera soit ISO 14443A soit ISO 14443B à 13,56 MHz. À terme les cartes CPS 3 devraient contenir un composant dont l'interface sera conforme simultanément aux normes ISO 14443A et ISO 14443B. Cette carte n'intègre pas la basse fréquence 125 kHz. Le Mifare n‘est pas implanté mais la fonctionnalité de lecture du numéro de série CSN (Card Serial Number) le sera. Ce CSN ou « numéro de série de la carte » est un numéro aléatoire de 32 bits encodé dans la puce lors de sa fabrication.
Le niveau de sécurité est EAL4+. Cette carte embarque un microprocesseur et un coprocesseur cryptographique.
Dans une deuxième étape, la carte CPS devrait converger avec les cartes ordinales et devenir la carte d’identité professionnelle unique. Les pharmaciens qui ont inauguré le Répertoire partagé des professionnels de santé (RPPS), déjà récolté les photos devraient être les premiers à être équipés d'une carte « convergée ». Quant aux médecins, chirurgiens dentistes et sages-femmes, les nouvelles CPS ne seront pas diffusées avant 2010. Il y aura un code barre sur le recto pour la CPS 3 convergente ordinale.
Troisième étape, la carte ordinale va devenir européenne (European professional card). Cette version CPS 3 convergée ordinale et européenne intègrera une photo et un code barre au-dessus de la puce.
C'est le 29 décembre 2008 que le GIP-CPS a notifié le contrat d'attribution de marché à la société Oberthur Card Systems. Les contrats incluent la réalisation du masque CPS 3 sur la base d’un système d'exploitation standard IAS (Identification authentification signature), ainsi que la fourniture et la personnalisation des cartes, la mise sous pli et l'expédition. Avec un retard de 9 mois sur le planning initial, la CPS 3 pourrait être distribuée à partir de fin 2009.
CPS 4
C'est la quatrième génération de cartes à puce. Elle permet aux médecins de verser les ordonnances sur un serveur national. Lorsque le patient se rend à la pharmacie, la carte vitale ouvre l'accès et permet au pharmacien de télécharger l'ordonnance.
Références
- « Carte de professionnel de santé CPS CPF », sur ReAGJIR (consulté le ).
- http://www.urml-idf.org/urml/030520.pdf
- http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=9FB347CD47B5F7009CD419CE897BEEE4.tpdjo04v_2?idArticle=LEGIARTI000006741272&cidTexte=LEGITEXT000006073189&dateTexte=20090323
- article L 1110·4 du code de la santé publique
- décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique, communément appelé « décret confidentialité» (articles R 1110-1 à R 1110-3 du code de la santé publique)
Liens externes
- « Cartes de Professionnels de Santé », sur Agence du Numérique en Santé (consulté le )
- Le site de l'ASIP Santé, portail de la e-santé