FAQ

1. Questions relatives à l’identification des usagers

Un professionnel qui prend en charge un patient qu’il connaît bien doit lui demander d’attester son identité au moins une fois mais n’a pas besoin de renouveler l’opération.

Le cas est différent dans une structure de santé où les usagers sont accueillis par des professionnels qui ne les connaissent pas et qui doivent donc s’assurer de bien identifier chaque usager et de les relier à la bonne identité numérique.

Il revient à la structure – ou au professionnel – de déterminer, en fonction des circonstances de pris en charge, l’opportunité de renouveler la demande d’attestation de l’identité.

Êtes-vous sûr de connaître les traits composant l’identité nationale de santé (INS) de votre patient, notamment son nom de naissance et ses prénoms d’état civil ?

L’identité numérique locale de cet usager que vous connaissez ne pourra pas bénéficier d’un bon niveau de confiance tant que vous ne vous serez pas assuré que les traits INS récupérés correspondent bien à ceux attribués par l’état civil, attestés par un dispositif d’identification de haut niveau de confiance.

Cette vérification de conformité (il ne s’agit en aucun cas d’un contrôle d’identité !) est à faire au moins une fois par chaque professionnel ou structure. Elle est indispensable pour améliorer le statut de l’identité numérique locale. Pour mémoire, seul le statut Identité qualifiée, qui combine la récupération de l’INS via le téléservice INSi et la vérification de sa conformité à partir d’un dispositif officiel d’identité, permet de référencer les données de santé avec le matricule INS et les traits associés.

Les représentants d’usagers sont favorables à cette pratique qui fait participer chaque individu à sa sécurité et qui est garante de sa bonne identification.

L’identité nationale de santé (INS), devenue identité sanitaire de référence, comporte des tirets et apostrophes. Les nouvelles règles introduites par le RNIV pour correspondre à ce format annulent et remplacent les consignes précédentes. L’instruction du 7 juin 2013 qui en interdisait l’emploi a été abrogée par la note d’information DGOS/PF2/PF5/2020/202 du 18 novembre 2020 relative à la publication du référentiel national d’identitovigilance des acteurs de santé.

Les règles de saisie des nouvelles identités doivent donc évoluer dans chaque structure. Les identités numériques préexistantes doivent être mises à jour au fur et à mesure des nouvelles venues et faire l’objet de l’attribution d’un statut de confiance selon les exigences en vigueur.

Il est possible, si la politique de la structure le permet, de prendre en compte de façon provisoire – et avec un statut Identité provisoire – la nouvelle identité de l’usager après réassignation sexuelle.

Il faut attendre le changement des traits d’identité (sexe, prénom) par l’état civil pour qu’il soit pris en compte sur les bases nationales. Il faudra alors faire un appel au téléservice INSi pour récupérer les nouveaux traits de référence et le nouveau matricule INS officiellement attribués à l’usager.

Ces changements doivent être historisés localement.

Le code du lieu de naissance, qui fait partie des traits stricts et de l’identité INS, correspond théoriquement à celui utilisé dans le NIR mais des disparités sont possibles du fait de la possibilité d’utiliser un code commune fictif lors de la constitution d’un NIR à partir d'un NIA pour éviter de créer un doublon.

Les règles de l’état civil ne rendent pas obligatoire l’utilisation d’un tiret de liaison pour les prénoms composés, qu'ils soient d’origine française (ex : Jean Claude) ou étrangère (ex : Ould Ahmed), ce qui peut poser des difficultés.

Lorsque les prénoms sont séparés par des virgules comme dans certains documents d’identité français, le premier prénom est celui qui est affiché avant la virgule. Dans les autres cas – comme dans celui de l’identité nationale de santé récupérée – il n’est pas possible d’adopter une règle précise en l’absence de tirets.

Comme le champ premier prénom a été conservé pour assurer la correspondance avec des applications non mises à jour avec les nouvelles règles d’identitovigilance, il est conseillé de continuer d’appliquer les règles locales qui prévalaient pour son choix. Chaque fois qu’un doute existe, il est conseillé de faire participer l’usager à la détermination du contenu de son premier prénom.

Pour mémoire, il est également possible d’utiliser le champ prénom utilisé pour préciser un usage inhabituel.

Le RNIV (Exi PP 10) précise que l’on doit retrouver a minima les traits stricts suivants : nom de naissance, premier prénom de naissance, date de naissance, sexe (Exi PP10), sans risque d’équivoque sur la nature des traits (Exi SI 11). Sous réserve de respecter ces règles, les structures sont libres de décider ce qu’il faut imprimer en fonction de l’usage fait des étiquettes.

Les champs nom et prénom utilisés sont utiles car ils ont pour objet de faciliter le dialogue soignant - soigné, essentiellement dans le cadre de l’identification secondaire.

L’ajout de ces champs sur les étiquettes est au choix de la structure, en tenant compte des éléments de réflexion suivants :

  • ils semblent peu utiles pour des étiquettes collées sur un échantillon d’analyse puisque le sous-traitant n’est pas sensé communiquer directement avec le patient ;

  • il est conseillé de les faire apparaître sur les étiquettes destinées à être collées pour identifier des documents de santé.

Il est primordial de prendre en considération les pratiques professionnelles des soignants au plus proche des usagers, dans le cadre de la gestion des risques.

Chaque usager doit être informé de l’utilisation de son identité nationale de santé (INS) dans le cadre du référencement des données de santé.

Même si ce n’est pas spécifiquement formalisé, il semble normal de communiquer à l’usager les traits officiels de son identité numérique de référence, d’autant qu’il doit être acteur de sa sécurité.

La communication sur cette identité peut notamment se faire au moment de la récupération de l’INS, lorsqu’elle est faite en présence de l’usager, en lui demandant de vérifier les données récupérées qui le concernent. Cf. la fiche FIP 09 Informations à donner aux usagers sur l’identité nationale de santé (INS) publiée par le 3RIV.

Il n’est pas rare de constater des différences entre les traits présents sur le dispositif d’identification présenté par l'usager et/ou son identité nationale de santé et ceux inscrits sur la carte Vitale ou sur l’attestation de droits de sécurité sociale.

L’identité en lien avec la facturation des soins provient de bases différentes, internes à l’Assurance maladie. Cette dernière n’a rien à voir avec celles utilisées pour l’identification de l’usager nécessaire au référencement des données de santé et n’a pas à être traitée dans le cadre des procédures d’identitovigilance.

Dans tous les cas, ce sont bien les traits d’identité de l’état civil qui doivent être utilisés pour référencer les données de santé (au mieux, les traits INS) mais pas ceux de l’assurance maladie. L’usager doit en être informé.

Il existe 2 modalités principales de diffusion d’une INS :

  • par voie informatique, par l’intermédiaire de messages d’interopérabilité pour l’échange et/ou le partage de données d’identification (le matricule INS est alors automatiquement associé à un OID qui précise la nature NIR ou NIA de ce dernier) ;

  • par échange de courrier référencé avec une INS (la nature du matricule INS doit être alors précisée en clair : NIR ou NIA). L'INS peut aussi être transmise par l'intermédiaire d'un code 2D de type Datamatrix qui évite les erreurs de resaisie.

Sauf cas dérogatoire, l’INS reçue doit être vérifiée par appel au téléservice INSi (opération de vérification ou, si besoin, de récupération).

Non, car 2 conditions sont essentielles pour utiliser l'identité nationale de santé (INS) :

Il arrive souvent que les conditions d’identification ne soient pas idéales. Cela peut être le cas :

  • lorsqu’on reçoit des patients incapables de décliner correctement leur identité ;

  • quand ils ne peuvent (ou ne veulent) pas présenter un document d’identité ;

  • ou dans les situations où il semble légitime de douter de la réalité de l’identité annoncée ou présentée.

Il est également fréquent que les professionnels qui accueillent les patients, notamment dans les sites de consultation déportée, ne soient pas en mesure de réaliser correctement cette identification pour des raisons techniques : manque de temps, absence de formation aux bonnes pratiques d’identification, absence d’accès direct au référentiel d’identités de la structure mère…

Dans tous les cas, le RNIV stipule que la création d’une identité numérique requiert la saisie d’une information dans au moins 5 traits stricts (Exi PP 02 RNIV 1) : nom de naissance, premier prénom de naissance, date de naissance, sexe et code commune du lieu de naissance.

Cette identification doit être réalisée avant toute prise en charge de façon à pouvoir tracer la prise en charge effectuée. Au besoin, les traits d’identité enregistrés seront fictifs (exemple : 99999 pour le lieu de naissance).

Le statut donné à cette identité numérique dépend donc des conditions de récupération et de validation de l’identité. Des attributs complémentaires (Identité fictive, Identité douteuse, Identité homonyme) peuvent être utilisés pour signaler les situations à risque.

Comme l'INS sert à référencer les données de santé, elle est soumise aux mêmes règles de conservation que les données de santé (art. R1112-7 CSP), soit 20 ans après la dernière venue ou 10 ans après le décès, sauf cas particuliers (cf. Quelle est la durée de conservation d'un dossier médical ? - YouTube). Au delà, l'INS est détruit ou archivé avec les dossiers de santé de l'intéressé.

Remarque : il n'y a pas de limitation réglementaire de durée aux données conservées par le Répertoire national d'identification des personnes physiques (RNIPP). On y enregsitre la date et du lieu de décès.

Entre 2005 et 2011, la possibilité donnée à chaque parent de donner à l'enfant leurs noms de naissance respectifs a été associée à l'usage d'un double tiret pour spécifier qu'il s'agit d'un "double nom" et non d'un "nom composé". Cette pratique a été invalidée par une circulaire de 2011 qui stipule que les noms de chacun des parents doivent être séparés d'un espace.

Le professionnel chargé l'identification primaire n'a aucune question à se poser sur le caractère autorisé ou non du doublet tiret. Le RNIV 1 stipule dans son Annexe IV que le nom doit être saisi tel qu’il apparaît sur la ligne nom du document d’identité et que les traits d’union et apostrophes doivent être conservés.

Il appartient à l'usager ou à sa famille de demander à l'état civil de supprimer le double tiret s'ils le souhaitent.

2. Questions relatives aux documents d’identité

Une délibération de la CNIL au 3e trimestre 2020 a validé la possibilité de conserver une trace du document d’identité présenté pendant 5 ans après sa dernière venue dans la structure.

Les conditions de conservation de cette information sensible sont précisées dans une fiche pratique produite par le 3RIV : voir la FIP 06 Gestion des copies de pièces d’identité dans le système d’information.

La copie du titre d’identité est à conserver 5 ans après la dernière venue de l’usager. Pour les patients qui sont revus régulièrement du fait d’une maladie chronique, il n'est pas nécessaire de supprimer la copie avant ce délai ni de la remplacer par une autre, quelle que soit la date de validité du document initial.

Les seuls motifs qui pourraient justifier de mettre à jour la copie seraient :

  • le remplacement par un titre de plus haut niveau de confiance dans le cadre de la validation ou de la qualification de l’identité numérique (l’identité numérique initiale ayant pu être établie à partir d’un document d’identité de faible niveau de confiance) ;

  • la modification des traits stricts de l’usager par un acte d’état civil (ce qui impliquera de faire évoluer aussi son identité INS).

Cela ne crée aucun changement et n’appelle aucune conduite à tenir particulière tant que les traits stricts de l’identité numérique restent identiques à ceux du dispositif d'identification présenté.

Ce sont des documents officiels d’identité qui permettent de relever et d’enregistrer les traits d’un usager mais ils ne sont pas considérés comme « à haut niveau de confiance » car les données qu’ils contiennent peuvent être incomplètes ou différentes de celles enregistrées dans les bases nationales d’identité servant de référence à l’INS.

Ils ne permettent pas donc pas de valider ou de qualifier l’identité numérique locale.

Les données de santé sont référencées avec les traits enregistrés dans l’identité numérique locale, quel que soit son statut. Mais seul le statut « identité qualifiée » permet de référencer les données de santé avec le matricule INS et les traits de référence associés.

Lorsque l’identité numérique est enregistrée à partir des traits de la carte de séjour, elle ne peut avoir qu’un statut « identité provisoire » car il ne s’agit pas - à ce jour - d’un dispositif d'identification à haut niveau de preuve.

Si l’usager est immatriculé par l’Assurance maladie, il est possible de récupérer son INS par l’intermédiaire du téléservice INSi. Le statut de l’identité numérique sera alors « identité récupérée » mais ce statut ne permet pas, non plus, de partager le matricule INS.

Tout dépend du statut des circonstances de prise en charge.

Il est possible, si l’usager est connu et qu’il n’existe aucun doute sur la personne, d’utiliser les traits et le statut de l’identité numérique locale pour référencer les données de santé en fonction du statut de l’identité numérique locale.

Dans tous les autres cas, il est conseillé de créer une identité numérique au statut provisoire pour la prise en charge de cet usager afin de ne pas risquer de collision avec le dossier d’un autre usager partageant des traits similaires. Il est alors nécessaire d’informer l’usager les risques qu’il prend, en ne permettant pas de bien l’identifier, notamment parce que cela empêche de se référer aux données des prises en charge antérieures. France Assos Santé travaille en étroite collaboration avec le national afin de sensibiliser les usagers à cette thématique.

Des efforts de réconciliation d’identité et d’intégration des documents transmis dans les logiciels métiers seront à prévoir si l’identité peut être vérifiée a posteriori.

Une fiche pratique du 3RIV est dédiée à cette problématique : cf. FIP 08 Conduite à tenir lors d'une absence de présentation de pièce d'identité par l'usager.

La conduite à tenir dépend de l’erreur.

Si elle est signalée et connue par l’usager, l’idéal est de faire appel au téléservice INSi pour récupérer les traits officiels, de préférence par l’intermédiaire de la carte Vitale. Le risque d’échec de l’opération est plus grand, pour cause, avec la saisie des traits d’identité mentionnés sur le titre d’identité. L’identité numérique restera au statut Identité récupérée tant qu’un dispositif d'identification à haut niveau de confiance conforme à l’identité numérique ne sera pas présenté.

Si la récupération de l’identité nationale de santé est impossible, les traits sont transcrits tels qu’ils apparaissent sur le titre d’identification et l’identité numérique est classée au statut Identité provisoire. Les champs « Nom utilisé » et « Prénom utilisé » permettent de retranscrire les dires de l’usager afin de faciliter la communication et donc sa prise en charge.

Dans tous les cas, il faut inviter l’usager à faire mettre à jour son identité auprès du service d’état civil de son domicile.

À l’exception des enfants, les dispositifs d’identification à haut niveau de confiance retenus au niveau national comportent une photographie, à l'exception des moyens d'identification électroniques. La présentation d’un extrait d’acte de naissance par un adulte ne permet donc pas de valider (ou de qualifier) une identité numérique. L’utilisation de ce document chez un adulte ne peut servir qu’à créer une identité numérique au statut Identité provisoire.

Le RNIV précise que le livret de famille ou l’extrait d’acte de naissance peut servir à valider (ou qualifier) l’identité numérique d’un enfant qui n’a ni carte d’identité ni passeport, à la condition de pouvoir s'assurer de l’identité du parent ou tuteur légal qui présente le document pour l’enfant.

3. Questions relatives au téléservice INSi

L'appel au téléservice INSi ne peut être réalisé que par l'intermédiaire du système d'information, via une connexion intégrée à l'application informatique utilisée pour cette opération. Il nécessite :

  • que l'éditeur de celle-ci ait obtenu un agrément spécifique de l’Assurance maladie (CNDA) ;

  • que la solution informatique soit effectivement en mesure de gérer l’identité nationale de santé selon les préconisations du RNIV ;

  • que l'opérateur soit authentifié, soit par une carte CPx nominative (obligatoire aujourd'hui), soit via un "certificat serveur" (modalité attendue au 2e trimestre 2021).

L’utilisation de la carte Vitale permet de lancer l’opération de récupération du téléservice INSi sans intervention manuelle et évite donc la saisie manuelle des traits et les risques d’erreurs associés.

Elle est associée à un plus fort taux de récupération de l’identité nationale de santé.

Les données renvoyées par le téléservice INSi sont celles de l’identité nationale de santé qui proviennent des bases nationales de référence (RNIPP, SNGI).

Il ne s’agit en aucun cas de traits issus de bases internes à l’Assurance maladie, associés au numéro de sécurité sociale de l’ouvrant droit.

L’appel au téléservice INSi n’est réalisé qu’après avoir indiqué quel est l’usager pris en charge parmi ceux qui sont répertoriés par la carte Vitale. La recherche est lancée pour la personne désignée et uniquement pour elle. L’identité nationale de santé retournée par le téléservice INSi, en cas de succès, ne peut être que celle de l’usager recherchée.

Le référentiel INS et le RNIV indiquent que l’opération de récupération de l’identité nationale de santé doit privilégier l’utilisation de la carte Vitale chaque fois que possible. Elle permet une interrogation automatique du téléservice INSi avec des critères qui permettent de récupérer l’identité INS avec un taux élevé de succès.

L’utilisation d’autres données d’identification comme celles associées aux droits de sécurité sociale, fournies par le téléservice de consultation des droits intégré (CDRi) de l’Assurance maladie, correspond à une opération par saisie des traits. Pour mémoire, cette dernière nécessite le renseignement initial de 4 critères de recherche qui devront être complétés si plus d’un seul usager correspond aux données de recherche.

Les retours des établissements pilotent suggèrent que le taux de récupération de l’identité INS est beaucoup plus faible avec cette dernière méthode qui reste non recommandée en première intention.

Que le téléservice INSi soit interrogé par l'intermédiaire de la carte Vitale ou par la saisie de certains traits stricts, la procédure aboutit à la fin :

  • soit à un message d'échec (= il n'a pas été trouvé d'identité INS correspondant aux critères de recherche adressés) ;

  • soit au renvoi de l'identité nationale de santé (= il a été trouvé une seule identité INS correspondant aux critères adressés).

En cas d’échec de la récupération de l'identité nationale de santé par carte Vitale, il est préconisé de réaliser l’opération par la saisie des traits qui fait appel aux traits suivants : nom de naissance, au moins un des prénoms de naissance, date de naissance, sexe et lieu de naissance en code INSEE (si connu).

La réponse est oui pour tout nouvel usager immatriculé social qu'on peut identifier en toute sécurité (le but est bien, dès que possible, de récupérer son identité INS avec le meilleur statut de confiance possible). 

La réponse est non s’il s’agit d’un touriste étranger ou d’un étranger vivant en France mais ne disposant pas de couverture sociale (couvert par AME par exemple) ainsi que dans le cas de la création d’une identité numérique basée sur des traits fictifs (anonymat, personne non identifiable) ou encore dans celui où on a un doute sur l'identité réelle de l'usager.

NB : le téléservice INSi doit également être interrogé lors de la venue de tout usager déjà enregistré pour lequel on n'a pas encore récupéré l'identité nationale de santé (sauf s'il fait partie des cas correspondant au non ci-dessus).

Il n’est pas utile d’appeler le téléservice INSi pour des usagers dont on a déjà récupéré l’identité nationale de santé (statuts Identité récupérée ou Identité qualifiée) et dont le matricule INS est leur NIR.

Cette opération n’est à renouveler que dans les circonstances où la mise à jour de l’identité INS est nécessaire :

  • pour récupérer le matricule définitif (NIR) d’un usager précédemment identifié par un NIA ;

  • pour récupérer les nouveaux traits d’identité, lorsqu’on est informé qu’une modification des traits stricts a été réalisée par l’état civil à la demande de l’usager.

Lorsque la récupération de l’identité nationale de santé à l’occasion d’une première venue de l’usager s’est faite par saisie des traits, faute de disposer de sa carte Vitale, il est inutile de réitérer l’appel au téléservice INSi.

Il ne serait nécessaire de refaire un appel au téléservice par utilisation de la carte Vitale que si la première opération par saisie des traits s’était soldée par un échec. Le taux de récupération de l’identité INS est en effet plus important avec cette méthode.

L’attribution de l’identité nationale de santé ne peut être réalisée que de façon unitaire, par appel au téléservice INSi au fur et à mesure de la venue des usagers. Elle doit s’accompagner de l’attribution d’un statut de confiance qui dépend des modalités de contrôle des traits.

L’appel à l’opération de récupération peut être éventuellement réalisé à partir d’une liste de travail (délimitée et réduite) comme dans le cas de préadmissions. L’appel ne peut être réalisé que de façon unitaire, par saisie des traits, ce qui n’est pas la méthode préconisée car potentiellement moins fiable.

La validation des traits ne peut être réalisée qu’a posteriori, lors de l’accueil effectif de l’usager, ce qui requiert un processus de contrôle rigoureux à partir d'un dispositif d'identification fiable.

Comment gérer l’INS pour les usagers dont l’identité numérique a été créée en amont par des personnes n’ayant pas de carte CPx ?

Sous réserve que les modalités pratiques soient précisées dans une procédure ad hoc de la structure, il est tout à fait possible que les professionnels chargés de l’accueil des usagers (en « front-office ») ne soient pas immédiatement chargés de rechercher l’identité INS et que l’appel au téléservice INSi soit organisé dans un deuxième temps (en « back-office) par une équipe dédiée.

Comme souvent, il faut savoir évaluer les bénéfices et les risques de chaque choix organisationnel :

  • la réalisation de l’appel au téléservice en « front office » permet d’utiliser la carte Vitale pour créer l’identité numérique des nouveaux usagers via la récupération directe de leur identité INS, source de gain de temps ;

  • le recours systématique au téléservice pour tout patient déjà enregistré n’ayant pas encore d’identité INS peut, a contrario, ralentir le flux des usagers accueillis ;

  • l’organisation de la recherche de l’identité INS en back-office peut être intéressant, notamment en termes d’équipement (lecteurs et cartes CPx) et de formation des acteurs ;

  • au-delà de la nécessité de mettre en place une équipe dédiée, le principal inconvénient réside dans le fait de modifier l’identité numérique après que la prise en charge de l’usager a commencé, ce qui nécessite de prévoir un circuit d’information rapide interne mais aussi avec les partenaires sous-traitants pour s’assurer que les traits portés sur les différents documents seront bien conformes à la nouvelle identité numérique.

Les questions relatives à la cohérences entre l’identité nationale de santé et les traits locaux sont développées dans l’annexe VI du premier volet du RNIV. En cas d’incohérences majeures, il est conseillé de ne pas récupérer l’identité INS renvoyée par le téléservice INSi avant de réaliser une enquête plus approfondie sur les raisons de la discordance : erreur de saisie locale ? modification des traits d’état civil a posteriori ? erreur au niveau des bases nationales ?...

Dans tous les cas, il ne faut pas oublier de faire participer l’usager pour comprendre l’origine des discordances.

Le téléservice INSi accepte l’usage des traits d’union, des doubles traits d’union ainsi que des apostrophes. Il est en mesure de rechercher des identités avec ou sans ces caractères en les remplaçant si besoin par un espace. Quelques exemples fictifs :

  • la recherche avec « D’ARC » ou « D ARC » permet de retrouver le nom « D’ARC » ;

  • la recherche avec « DUPONT DURAND » ou « DUPONT-DURAND » ou « DUPONT-- DURAND » permet bien de retrouver le nom « DUPONT--DURAND ».

Il appartient à chaque structure de santé de définir quels sont les professionnels habilités à interroger le téléservice INSi.

Le rapport bénéfices - risques doit être évalué pour chaque situation, en fonction des organisations et contraintes internes : établissement multisites, points de consultation déportés sans personnel administratif formé à l’accueil, absence ou mauvaise liaison informatique entre le site distant et l’établissement de référence…

Les solutions retenues doivent être décrites dans la charte d’identitovigilance (cf. Exi PP 15, RNIV 1) voire dans la cartographie applicative pour les systèmes d’information distants (Exi PP 12, RNIV 1). Des procédures doivent être élaborées pour préciser les conditions de création ou modification d’identité dans les situations normales et dégradées

4. Questions relatives à l’organisation et à la gestion des risques

Le RNIV précise les bonnes pratiques d’identitovigilance prévues dans le référentiel INS qui est réglementairement applicable dpuis le 1er janvier 2021. Dans la réalité, il ne peut être effectivement mis en œuvre avant que les applications informatiques mises à jour soit mises à disposition des professionnels et que ceux derniers soient formés aux procédures de gestion de l'identité nationale de santé.

Il est difficile d’appliquer les consignes du référentiel INS et du RNIV tant que le système d’information n’est pas à jour.

Attention : certains éditeurs mettent en avant le fait qu’il soient agréés pour l’utilisation du téléservice INSi mais ce n’est pas suffisant ; il faut que l’outil propose également les champs et fonctionnalités nécessaires à la bonne gestion de l’INS.

En attendant la mise en production d’un outil pleinement compatible, il est possible d’anticiper la mise en œuvre des exigences et recommandations du RNIV en :

  • formalisant la nouvelle politique d’identification menée par l’établissement (à formaliser sous la forme d'une charte d’identitovigilance), notamment par la validation des choix laissés à l’initiative des structures par le RNIV ;

  • mettant à jour la liste et le contenu des documents qualité relatifs aux bonnes pratiques d'identification afin qu’ils prennent en compte les nouvelles exigences ou recommandations.

La seule obligation pour être nommé référent en identitovigilance dans un structure est d’être compétent dans ce domaine (puisqu’il est sensé piloter l’instance d’identitovigilance lorsqu’elle existe ou en faire office dans les autres cas). Il doit disposer d’une fiche de poste et d’un temps dédié.

Le terme comité d’identitovigilance correspond, dans de nombreuses structures, à l’instance stratégique pluriprofessionnelle chargée de proposer la politique et les moyens à mettre en œuvre dans la structure et de piloter la thématique.

La cellule d'identitovigilance (CIV) est une instance opérationnelle qui traite au quotidien la gestion des risques liées à l’identification des usagers : prévention et gestion des doublons, des collisions, analyse des évènements indésirables, rédaction de procédures…

La récupération de l’identité nationale de santé (INS) pour tout nouvel usager enregistré facilite la prévention de la création de doublons, sous couvert de bonnes pratiques d’identitovigilance et d’un système d’information n’acceptant pas 2 identités numériques associées à un même matricule INS.

Elle permet de fiabiliser les identités numériques déjà créées à l’occasion d’une nouvelle venue des usagers mais pas de traiter les anciens dossiers en doublon existant dans la base de données.

Sous réserve de bonnes pratiques de recherche d’antériorité de venue de l’usager dans le référentiel d’identités, le changement des traits stricts de l’usager n’est pas susceptible de créer un doublon.

Dans l’idéal, il faudrait que les applications métiers soit mises à jour en même temps que le référentiel d’identités de la structure, afin qu’il n’y ait pas de problème d’échange d’identités numériques entre le logiciel maître des identités et les autres.

A la question souvent posée concernant la probabilité de création de doublons dans les applications esclaves du fait de cette gestion différente des traits d’identités, la réponse est que le risque n’est pas modifié : il n’y aura pas création de doublons car les dossiers restent synchronisés via l’identifiant local (IPP ou équivalent). Mais, du fait de la compatibilité incomplète en termes d’interopérabilité, il faut prendre en compte le fait que l’application tierce puisse continuer, pour un même usager, d’afficher des traits différents de ceux de l’identité INS du référentiel (un seul prénom, pas d’affichage des tirets et apostrophes, de prise en compte du prénom composé, affichage du nom d’usage, etc.).

Il est donc nécessaire de faire la liste des applications exclaves qui ne savent pas gérer l’INS dans la cartographie applicative (Exi PP 12, RNIV 1) et déterminer la façon dont les informations de santé seront référencées, notamment lors du partage de documents externes, pour éviter les erreurs d’identification secondaire.

Que ce soit dans le cadre de la fusion de doublons (au sein d’un même domaine d’identification) ou dans celui du rapprochement d’identités numériques entre systèmes d’informations différents, tout repose sur l’évaluation du risque relative à cette opération :

  • lorsque les traits stricts sont strictement identiques, les traits complémentaires cohérents (adresse, n° de téléphone) et qu’il n’existe aucune raison de suspecter une utilisation frauduleuse d’une identité, il est parfaitement justifié de réaliser la fusion ou le rapprochement des identités numériques, quels que soient les différences de statuts (il pourra être nécessaire d’arbitrer sur les traits à retenir et/ou le statut à conserver en cas de discordances mineures ) ;

  • s’il est mis en évidence des incohérences inexpliquées dans les traits, les coordonnées de contact et/ou les données médicales, mieux vaut continuer de gérer séparément les 2 identités numériques pour éviter toute collision des données.

Rien ne s'oppose, bien au contraire, à ce que la politique d'identitovigilance soit menée de façon commune entre un établissement de santé et toutes les autres structures de santé ou médico-sociales qui lui sont rattachées.

L'ensemble des acteurs concernés sont invités à formaliser des documents qualité communs (charte d'identitovigilance, procédures...) et à participer aux différenctes instances de gouvernance communes.

5. Questions techniques

Certains logiciels permettent de bloquer les identités numériques lorsqu’elles ont un certain statut comme “identité certifiée” (ou équivalent) dans les anciennes procédures d’identification. La mise à jour du logiciel imposée par les nouvelles règles d’identification doit permettre de lever cette sécurité pour récupérer l’INS qui doit remplacer les anciens traits stricts.

Il appartient à la structure de décider si elle souhaite utiliser les garanties associées à cet ancien statut (identité associée à un dispositif d'identification de fort niveau de confiance, proche de celle apportée par le nouveau statut Identité validée) ou si elle préfère remettre toutes les anciennes identités numériques au statut Identité provisoire en vue de ne mettre à jour l'ensemble des identités numériques au fur et à mesure des nouvelles venues.

La seule similitude est le fournisseur de service : l’Assurance maladie. Les bases de données interrogées et les flux utilisés sont distincts.

L’INS-C va disparaître. C’était un numéro calculé par chaque système d'information par lecture de la carte vitale à partir du numéro de sécurité sociale, de la date de naissance et du prénom de l’usager.

La nouvelle identité nationale de santé (INS) est plus qu'un simple numéro : il s’agit d’une identité numérique sanitaire complète à utiliser pour référencer les données de santé. Elle se compose du matricule INS (avec son OID) et des traits INS de référence.

L’obligation de référencement par l’INS n’implique pas de supprimer tout autre identifiant local (IPP, IEP, …) pour le remplacer par le matricule INS.

Le partage de l’identifiant local peut être utile dans de nombreuses circonstances, notamment avec les professionnels sous-traitants (biologie, radiologie).

Le rapprochement d’identités consiste à associer 2 identités numériques (ou plus), appartenant à des domaines d’identification différents, en leur donnant un identifiant commun, dit de fédération. Il signifie qu’on retrouve les mêmes traits d’identité (stricts, au minimum) dans les 2 identités numériques et par conséquent qu'elles correspondent au même usager, avec une très faible probabilité d’erreur.

Toutefois, à la différence de la fusion réalisée dans un même domaine d'identification, chaque identité numérique conserve ses particularités locales. Elle peut très bien être au statut Identité qualifiée dans un établissement (qui a pu à la fois récupérer l’INS et en valider les traits à partir d’un dispositif d’identification de haut niveau de confiance) mais avoir un autre statut dans un second établissement où l’ensemble de ces opérations n’a pas été réalisé. Tout en s’occupant a priori du même usager, le premier établissement doit référencer les documents avec le matricule INS quand cela reste interdit pour le second, tant qu’il n’aura pas réussi à qualifier l’identité numérique locale.

Le problème est évidemment différent si les 2 établissements (ou plus) utilisent un référentiel d’identités unique, obligatoirement associé à des procédures d’identitovigilance communes à l'ensemble des établissements du domaine d'identification. Dans ce cas, la modification du statut d'une identité numérique réalisée dans un établissement s’applique immédiatement aux autres, comme toutes les autres corrections apportées aux identités numériques.

Le prérequis au référencement des données santé est l’acquisition d’un système d’information gérant un référentiel unique d’identités et capable d’interroger le téléservice INSi pour récupérer l’identité de santé.

Vous pouvez vous faire accompagner dans l’acquisition et le déploiement de votre dossier usager informatisé dans le cadre du programme ESMS numérique via le futur appel à projet DUI ESMS.

Vous pouvez cependant, dès à présent, effectuer un audit de conformité des procédures de gestion de l’identité usager en vigueur dans votre établissement par rapport aux bonnes pratiques décrites dans le RNIV.

CPx est la dénomination générique des cartes d’identité professionnelles électroniques utilisées dans le secteur de la santé pour s’authentifier et attester de sa qualification professionnelle. Elle est protégée par un code confidentiel propre à son porteur. Le type de carte dépend de la profession exercée : CPS pour un professionnel de santé, CPE établissement, nominatives ou de service pour les salariés prenant en charge des patients, etc.

La possibilité de faire appel au téléservice INSi en utilisant une “authentification serveur", au titre de la personne morale de la structure est annoncée pour le 2e trimestre 2021. Les cartes CPx ne seront donc plus indispensables pour cet usage mais pourraient le rester pour d’autres téléservices.

L’Agence du numérique en santé (ANS) prévoit de mettre en ligne un fichier permettant de s’informer sur l’état d’avancement de chaque éditeur informatique de systèmes d’information en santé vis à vis de la conformité de leur(s) produit(s) au guide d’implémentation de l’INS.

En attendant sa publication (prévue au 2e semestre 2021), il faut demander directement à l'éditeur la roadmap de sa solution.

Une seule solution lorsqu’est constaté un retard inexpliqué pour la mise à jour réglementaire d’une application ou une facturation jugée abusive : contacter les référents du GIP ESEA pour signaler l’anomalie.

Il existe des procédures particulières de prise en charge des frais pour les cas d’anonymats légaux.

Dans le cas des accouchements dans le secret, les frais d’hébergement et d’accouchement sont pris en charge par le service de l’aide sociale à l’enfance du département siège de l’établissement.

Dans le cas de la prise en charge de la toxicomanie, les centres sont financés par l’état (CSAPA, centres spécialisés dans la lutte et la prévention de la toxicomanie), il n’y a donc pas de facturation à l’usager (article L174-9-1 du Code de la sécurité sociale).

Le RNIV stipule que chaque structure de santé doit avoir un référentiel unique d’identités (Exi SI 13, RNIV 1). C’est à partir de cette base que sont réalisés les appels au téléservice INSi pour les opérations de récupération et de vérification périodique de la qualité des données.

La gestion d’autres bases d’identités est possible pour les applications faisant partie d’un autre domaine d’identification mais il est absolument nécessaire de prévoir les modalités de synchronisation de ces bases (sur le mode esclave) avec le référentiel maître. Les interfaces et la gestion des mises à jour sont à décrire dans la cartographie des flux applicatifs (Exi PP 12, RNIV 1).