Les cartes électroniques de santé

Les fonctions cryptographiques de la CPS2 sont conservées.

Toutefois, la CPS 3 intègre le standard IAS ECC^[2]

Grâce à ce standard IAS^[3], des évolutions futures de la CPS3 pourront être envisagées pour inclure de nouvelles fonctions cryptographiques telles que la signature qualifiée, la génération de clés sur site par exemple ou la mise en œuvre d'algorithmes cryptographiques (SHA-2...).

L'ASIP Santé^[6] est l'Autorité de Certification du domaine de la Santé. A ce titre, elle délivre des certificats électroniques à tous les acteurs du domaine, notamment les professionnels de santé et les établissements de santé.

Un certificat électronique est un fichier informatique contenant des informations sur son propriétaire et qui sont certifiées par un tiers de confiance appelé Autorité de Certification.

Un certificat électronique est équivalent à une carte d'identité numérique qui sera utilisé dans le monde dématérialisé. Il pourra être utilisé par exemple pour garantir l'identité d'une entité physique ou morale. Les certificats électroniques permettent également d'échanger de manière sécurisée en mettant en œuvre des mécanismes de chiffrement (ou cryptage).

L'ASIP Santé^[6] garantit la confiance dans les échanges et le partage de données de santé grâce à la mise en œuvre d'une Infrastructure de Gestion de Clés (IGC).

La norme IAE^[3] choisie en France pour la e-Administration prend en compte le standard européen ECC^[5] (European Citizen Card).

Ce standard doit permettre l'interopérabilité ainsi que la normalisation des échanges entre la carte et les terminaux (qu'il s'agisse d'un poste de travail personnel ou professionnel).

Ainsi toutes les cartes de la sphère publique (Carte Vitale 2, Carte Nationale d'Identité, Carte de Vie Quotidienne, Carte d'Agent de l'Administration et désormais Carte de Professionnelle de Santé) pourront servir de support à l'identité numérique.

Elle est définie par l'Article R161-58 du Code de la Sécurité Sociale :

"Pour les applications télématiques et informatiques du secteur de la santé, la signature électronique produite par la carte de professionnel de santé est reconnue par les administrations de l'État et les organismes de sécurité sociale comme garantissant l'identité et la qualité du titulaire de la carte ainsi que l'intégrité du document signé. Ainsi signés, les documents électroniques mentionnés à l'article L. 161-33 sont opposables à leur signataire".

Très important :

Cette dernière phrase confère à la signature électronique du praticien de santé la même valeur juridique qu'une signature "papier".

L'usage avec contact

L'usage de la carte dans un lecteur avec contact consiste à insérer la carte dans la fente du lecteur, puis à saisir un code PIN confidentiel et strictement personnel (comme pour une carte bancaire). Ce mode d'utilisation permet d'effectuer l'ensemble des opérations de sécurité offertes par la carte.

L'usage sans contact

La CPS 3 est utilisable en mode "sans contact" pour des opérations d'authentification et de signature.

En mode dit « sans contact » avec un lecteur sans contact, certaines fonctions de la carte peuvent être effectuées sans saisie de code confidentiel. Cette technologie permet, selon le lecteur utilisé, un fonctionnement jusqu'à une distance maximale d'environ 10 cm par rapport au lecteur.

Ce mode de fonctionnement simplifie l'usage de la carte dans des contextes moins sécurisés tels que l'accès à des locaux dans les établissements de santé par exemple au parking ou la restauration d'entreprise.

La carte CPS^[1] permet une identification unique de tout professionnel de santé de manière fiable et certifiée au niveau national.

La carte CPS permet une authentification des utilisateurs distants : elle permet de garantir l'identité des professionnels de santé connectés grâce à la saisie de leur code confidentiel et la possession de la carte.

La carte CPS garantit la signature électronique des transactions et des messages échangés entre professionnels de santé ou avec les patients.

La carte CPS permet le chiffrement des messages lors des transmissions sur des réseaux non sûrs.

La carte CPS offre la possibilité d'écrire des données applicatives. Dans certains nouveaux usages, et notamment en établissement de santé, il peut être nécessaire de disposer d'une zone mémoire capable de recevoir des données applicatives comme par exemple un jeton de droits, des horaires d'accès, des habilitations...

La CPS3 offre une zone mémoire en lecture libre sans contact, mais qui toutefois, pour des raisons de sécurité, ne peut être écrite que sous contrôle du code confidentiel (en mode contact).