Déployer et utiliser la carte CPS

en établissement de santé

Témoignage du CHU d’Angers et de l’AP-HP.

Les intervenants

Salons de la santé et de l'autonomie – mai 2016 2

Patrice Anota DSI du CHU d’Angers

Didier Perret

RSSI AP-HP

Déroulement

Salons de la santé et de l'autonomie – mai 2016 3

Atelier de 45 minutes comprenant 15 minutes

de questions et réponses.

Salons de la santé et de l'autonomie – mai 2016 4

La carte « CPS » de

professionnels de santé

Authentification publique et directe du

professionnel : la carte CPS

Salons de la santé et de l'autonomie – mai 2016 5

Accès SIH, accès locaux…

Domaine de responsabilité

de l’établissement de santé Identification locale des professionnels

Authentification privée

Espace national de confiance :

accès aux télé services nationaux, régionaux…

Domaine de responsabilité

des responsables de traitement

des télé services nationaux/régionaux Identification nationale des professionnels

Authentification publique

Authentification publique des personnes physiques:

• authentification directe : carte CPx, et dispositifs alternatifs

(OTP,…) adossés à la carte CPx.

• architectures d’authentification indirecte ou par délégation (sous la

responsabilité du directeur de l’établissement)

Référentiel

d’authentification

des acteurs de

santé (PGSSI-S)

Plus de 60 ES ont généralisé l’usage de la carte CPx,

dont 7 CHU – déploiement en cours à l’AP-HP

Consultation du DMP et du DP,

Accès à E-fit, Cert-Dc, E-DO…

La carte CPS : titre fondateur de l’espace national

de confiance Santé

Salons de la santé et de l'autonomie – mai 2016 6

La carte de professionnel de santé (CPS) :

• pièce d’identité professionnelle électronique permettant à son titulaire d’attester

de son identité professionnelle et de ses qualifications (avec une qualité de l’enregistrement

associée aux référentiels régaliens des acteurs de santé, RPPS et ADELI pour les professions

réglementées),

Fonctionnalités offertes par la carte CPS:

•authentification forte du professionnel (porteur de carte) et signature numérique, en mode contact

• sécurise le partage et l’échange d’informations médicales à caractère personnel.

•authentification simple, sans contact :

• facilite le contrôle des accès au sein d’une organisation de santé : accès aux locaux (contrôle

d’accès physique), accès au système d’information (contrôle d’accès logique)

3 types de cartes : CPS-RPPS, CPS-Adeli, CPE

Un télé-service destiné aux établissements de

santé : TOM

Salons de la santé et de l'autonomie – mai 2016 7

Le télé-service TOM (Télé procédures Offertes aux Mandataires) accessible via internet permet,

au représentant légal ou du mandataire de l’établissement :

• la commande de carte pour un porteur ;

• la commande par fichier (au format XML) pour une meilleure automatisation ;

• le suivi du parc de cartes par téléchargement de fichier ;

• la modification des coordonnées de correspondance de la structure ;

• la déclaration de fin d’exercice d’un porteur dans la structure.

TOM permet la dématérialisation totale des commandes de produits CPE et la maîtrise de leur

délais de délivrance (moins d’une semaine).

Salons de la santé et de l'autonomie – mai 2016 8

Les usages de la carte au CHU d’Angers

Contrôle d’accès Système

Information Hospitalier

(2003)

Badgeage

(1998)

Self du personnel

(2001)

Self de l’internat

(2014)

Contrôle d’accès

physique aux

bâtiments

(2011)

Vestiaires

(2016)

Contrôle d’accès

physique aux

parkings du CHU

(2013)

Garages à vélos

(2016)

Accès à l’armoire à clefs des

services du CHU

et

des véhicules

de services

(2014)

Lecture et maj des cartes vitales

(2014)

Gestion des FSE

(2016)

Les usages de la carte CPS au CHU

d’Angers:

Salons de la santé et de l'autonomie – mai 2016 9

Principe de base: Chaque personne intervenant au CHU a une carte Cpx

Bureaux, points d’accueil, salles de consultations, salles de réunions

Salons de la santé et de l'autonomie – mai 2016 10

Ce type de poste de travail est équipé d’un lecteur de carte à

puce contact.

les postes du personnel administratif, des secrétariats de tous

secteurs, ainsi que ceux des médecins ou des cadres santé,

les postes libres services en bibliothèques, salles de réunion,

salles de consultations.

Description du Poste dédié

Session de travail Windows personnelle

Lorsque l’utilisateur ouvre une application, ses données

d’authentification personnelles (identifiant et mot de passe) sont

fournies automatiquement à l’application au travers du SSO.

L’utilisateur n’a pas besoin de les saisir à la main.

Ouverture de session

Le nouvel utilisateur insère sa carte. Un message l’avertit que le

poste est déjà utilisé par une autre personne

Il doit valider la déconnexion de la session existante et saisir son

code PIN

Sa session de travail Windows personnelle est ouverte

L’ensemble des applications de l’utilisateur précédent a été fermé

(sans sauvegarde des documents bureautiques restés ouverts).

Arrivée d’un nouvel utilisateur

Poste partagé FUS « classique »

Unité de soins, salle de réveil, blocs opératoires,…

Salons de la santé et de l'autonomie – mai 2016 11

Ce type de poste est partagé par plusieurs utilisateurs. Les

changements d’utilisateur peuvent être très fréquents sur un même

poste.Le poste est équipé d’un lecteur de carte à puce contact.

L’accès au poste de travail est sécurisé par la carte CPS.

Les postes de cette catégorie (hors service d’urgence) sont par

exemple les postes fixes des unités de soins « classiques » mais

également les postes mobiles sur chariot.

Temps de changement utilisateur : <= 6 secondes

Description du Poste partagé « classique »

Une session de travail Windows « générique » est ouverte

Lorsque l’utilisateur ouvre une application, ses données

d’authentification personnelles (identifiant et mot de passe) sont

fournies automatiquement à l’application au travers du SSO.

L’utilisateur n’a pas besoin de les saisir à la main.

Ouverture de la session

La session de travail Windows « générique » reste ouverte

Lorsque l’utilisateur ouvre une application, ses données

d’authentification personnelles (identifiant et mot de passe) sont

fournies automatiquement à l’application au travers du SSO.

L’utilisateur n’a pas besoin de les saisir à la main

Arrivée d’un nouvel utilisateur

FUS = Fast User Switching

Aussi appelé Poste Kiosque

Poste partagé FUS Sans Contact avec itinérance de session

« Urgences, Réanimations chirurgicales, Réanimation Médicale, Néonatalogie, Stérilisation Centrale »

Salons de la santé et de l'autonomie – mai 2016 12

Ce type de poste est partagé par plusieurs utilisateurs. Les changements d’utilisateur

peuvent être très fréquents sur un même poste

Le poste est équipé d’un lecteur de carte à puce BI-MODE à la fois contact et sans

contact

Tous les moyens envisageables sont mis en œuvre de manière à limiter au maximum la

manipulation de la carte par les utilisateurs et ne pas les gêner dans leur travail

Les postes de cette catégorie sont les PC des secteurs d’urgences (réa (s), cnn) situés

au chevet du patient ou dans la zone géographique proche.

Temps de changement utilisateur : <= 6 secondes

Description du Poste partagé « Sans Contact »

Lecteur de carte à puce BI-MODE à la fois contact

et sans contact

Itinérance de session (identification sans ressaisie

du code PIN)

Mise en veille du PC en mode transparent

(visualisation de la grille applicative avec

rafraîchissement des infos)

Support de carte à enrouleur (évite de sortir la

carte pour cnx en RFID)

Itinérance de session

L’utilisateur n’a obligation de saisir son code PIN qu’une seule fois par vacation

En début de vacation, il introduit sa carte sur le premier poste dont il a besoin, saisit son

code PIN et ouvre une session.

Par la suite, lorsqu’il arrive sur n’importe quel poste du service, il lui suffit de présenter sa

carte (en mode contact ou sans contact) et la session est déverrouillée. Il n’a pas

besoin d’entrer à nouveau son code PIN.

Facteurs de réussite

Salons de la santé et de l'autonomie – mai 2016 13

Forte implication des Directions Métiers dans le processus

Saisie des dossiers des Agents internes et externes par DRH et DAM

• Professionnels d’établissements extérieurs (PSY, CLCC, …)

• Personnel d’établissement extérieur en stage de formation

• Personnel intervenant extérieur, vacataires

• Personnes en formation paramédicale de 1 an (Aides-Soignants, Puéricultrices)

Saisie ou maj des dossiers avec anticipation par rapport à la date d’arrivée dans l’établissement

Décentralisation de la remise des cartes aux nouvelles promotions en formation

dans les écoles

Les rentrées se font toutes à la même date beaucoup de personnes à rencontrer sans

étalement possible des dates de rencontres

Limites et perspectives

Salons de la santé et de l'autonomie – mai 2016 14

Commandes des cartes auprès de l’Asip

Cartes avec RPPS (Répertoire Partagé des Professionnels de Santé)

Bien informer les Médecins, Pharmaciens, Sages-Femmes que c’est leur ordre qui déclenche la commande et que

l’envoi est fait à l’adresse qu’ils ont communiquée à leur ordre (domicile).

Cartes avec ADELI (Automatisation DEs LIstes)

Circuit de commande le plus lourd car multi intervenant dans le circuit + formulaire à renseigner et faire valider par ARS

Calendrier de commandes des cartes auprès de l’Asip

Dans le cadre du lancement de projet qui va intégrer les premières utilisation de cartes CPE ou CPS, étaler les

commandes de cartes : penser au renouvellement qui se fera pour toutes les cartes en même temps ….

Renouvellement des cartes auprès de l’Asip

Bien caler les calendriers avec l’Asip et les modalités de renouvellement.

Processus de départ des agents

Mise en œuvre de la restitution de la carte de service à la fin du contrat

Evoluer vers la configuration qui permet à l’utilisateur d’avoir toujours sa carte sur lui.

Limites

Salons de la santé et de l'autonomie – mai 2016 15

Sensibilisation des utilisateurs sur la carte et le document associé

Carte passée à la machine …

Carte porte-clefs, Pense bête….

Carte support à étiquettes

Salons de la santé et de l'autonomie – mai 2016 16

Le projet de déploiement de l’AP-HP

Le choix de la carte CPS

Salons de la santé et de l'autonomie – mai 2016 17

Le déploiement de la carte professionnelle à l’AP-HP est une décision fondée sur :

Des éléments d’ordre réglementaire

• L’Instruction Ministérielle n°122 en date du 1er octobre 2014 relative à la mise en œuvre du Plan Vigipirate. La Posture « Alerte-

Attentat » pour la Région Ile-de-France est activée depuis le 7 janvier 2015.

• Le règlement intérieur de l’AP-HP arrêté par le Directeur Général le 5 janvier 2015.

Des éléments d’ordre contextuel :

• La note du Directeur Général en date du 19 novembre 2015 relative au renforcement des mesures de sécurité dans les sites

hospitaliers.

• La note du Secrétariat Général en date du 23 décembre 2015 relative au déploiement de la carte professionnelle à l’AP-HP.

• « identifier de façon sécurisée les agents de l’institution par une carte professionnelle avec photographie est un objectif

prioritaire. »

• « Disposer d’un système pérenne et sécurisé compatible avec les normes nationales. »

Le déploiement de la carte professionnelle à l’AP-HP est porté par le projet de

gestion des identités et des accès pour l’AP-HP (GAIAP).

Le déploiement

Salons de la santé et de l'autonomie – mai 2016 18

• 120 000 cartes à déployer sur 43 structures avant la fin de l’année 2016.

• Démarrage du déploiement le 29 mars 2016.

• Au 23 mai 2016, plus de 30 000 badges déjà personnalisés avec la photo et remise à leur

titulaire.

Catégorie de professionnel Nombre de

cartes

Professionnel équipés en carte CPS (issues du RPPS)

12000

Professionnels équipés en carte CPS (issues d'Adeli) - infirmiers, Kiné

26000

Internes et étudiants, étudiants non PNM, équipés en carte CPE

26000

PNM 52000

Prestataires 4000

Les usages attendus de la carte

Salons de la santé et de l'autonomie – mai 2016 19

l’AP-HP a fait le choix d’utiliser la carte CPS/CPE pour l’accès au SI et aux restaurants administratifs afin d’éviter la multiplication des badges pour les PS. En effet, les téléservices du monde de la santé imposent déjà l’utilisation de la CPS/CPE.

Les usages de la carte sont multiples :

Accès aux hôpitaux

• Utilisation des cartes CPx avec photo en tant que badge d’identité

Accès aux SI

• Simplifier, sécuriser et tracer l’accès au SI grâce à une authentification unique

• Maîtriser l’accès au SI par la hiérarchie même sans compétences techniques (gestion des habilitations)

• Avoir un annuaire d’entreprise complet et ergonomique

Accès aux locaux

• Activation des accès aux locaux sécurisés selon la période d’activité de l’agent

• Parkings

• Locaux sensibles

Paiement des repas aux restaurants administratifs

Réflexion en cours pour la mise en place de la signature électronique par carte CPE/CPS (solution MetaSIGN de Bull).

La personnalisation prévue par l’AP-HP

Salons de la santé et de l'autonomie – mai 2016 20

Photo (formulaire de consentement) , Logo

Fonction de management (place restreinte - nomenclature en cours)

Dispositif anti-falsification pour lutter contre la falsification possible des cartes :

• Tampon en relief de « Assistance Public – Hôpitaux de Paris », à sec, sur la carte avant de

déposer le film thermocollé.

• Ce film intègre également un effet « 3D » spécifique et assure une fonction anti-usure (UV et

rayures).

Questions - Réponses

Salons de la santé et de l'autonomie – mai 2016 21

C'était l’atelier 18 :

Déployer et utiliser la carte CPS en établissement de

santé

Témoignage du CHU d’Angers et de l’AP-HP.

Pour toute Information générale :

Consulter l’Espace CPS : http://esante.gouv.fr/services/espace-cps

Pour toute information technique :

consulter l’Espace Intégrateur : http://integrateurs-cps.asipsante.fr/