Intégrer Pro Santé Connect dans une application de santé : guide pratique

Qu'est-ce que Pro Santé Connect ?

Pro Santé Connect (PSC) est le service d'authentification des professionnels de santé porté par l'Agence du Numérique en Santé (ANS). Son objectif est simple : permettre à un professionnel de santé d'utiliser une identité nationale unique pour accéder aux services numériques de santé.

Concrètement, un utilisateur peut se connecter à une application via sa e-CPS, sa CPS physique, ou son identité Pro Santé Connect. L'application délègue alors l'authentification à PSC, qui retourne les informations d'identité du professionnel.

Pourquoi intégrer Pro Santé Connect ?

Simplifier l'expérience utilisateur

Sans PSC, l'application doit gérer création de compte, validation manuelle, mots de passe oubliés, droits d'accès et support utilisateur. Avec PSC, la connexion est unifiée : moins de friction, moins de support, un onboarding beaucoup plus rapide. Pour les professionnels qui utilisent déjà l'écosystème santé, l'expérience devient proche d'un « Se connecter avec Google », mais adapté au secteur médical.

Renforcer la confiance institutionnelle

Dans les projets santé, la question de l'identité est critique. PSC apporte une identité vérifiée, un référentiel national, une cohérence avec les usages institutionnels et une meilleure crédibilité du produit. Pour beaucoup d'acteurs — établissements, ARS, structures publiques, GRADeS, porteurs régionaux — la présence de PSC devient progressivement un signal de maturité du projet.

Réduire certains risques de sécurité

PSC permet d'éviter la multiplication des mots de passe locaux, de limiter les faux comptes, d'améliorer la traçabilité et de s'appuyer sur une authentification robuste. Attention toutefois : PSC ne remplace pas une architecture sécurité complète. L'application doit toujours gérer les autorisations, les rôles, les droits métier, les journaux d'activité et la protection des données.

Comment fonctionne techniquement Pro Santé Connect ?

PSC repose sur des mécanismes standards modernes d'authentification, principalement OpenID Connect (OIDC) et OAuth 2.0. Le principe est généralement le suivant :

• l'utilisateur clique sur « Connexion Pro Santé Connect »,
• il est redirigé vers PSC,
• PSC authentifie le professionnel,
• l'utilisateur revient dans l'application,
• l'application reçoit un token et les informations d'identité.

L'application ne gère donc jamais directement le mot de passe, la CPS ou les mécanismes d'authentification forte. C'est PSC qui en a la responsabilité.

Les informations récupérées

Selon les habilitations et le contexte, PSC peut transmettre :

• l'identité du professionnel,
• sa profession,
• son RPPS,
• certaines informations d'exercice,
• des éléments liés à son identité numérique santé.

Ces données permettent ensuite à l'application de créer automatiquement un compte, d'associer des droits, ou d'activer certains workflows métier.

Les erreurs fréquentes lors d'une intégration PSC

Considérer PSC comme un simple bouton de connexion

En pratique, l'intégration impacte souvent le modèle utilisateur, les rôles, les droits, les parcours d'inscription, la gestion multi-structure, et parfois même l'architecture globale. Il est préférable d'anticiper ces sujets dès la conception.

Vouloir tout baser sur PSC

Tous les utilisateurs d'une application santé ne sont pas forcément éligibles : secrétariat, administratif, patients, aidants, coordinateurs non professionnels de santé, partenaires externes. Dans beaucoup de projets, il faut donc faire coexister PSC, authentification classique, OTP, ou SSO institutionnel.

Sous-estimer les contraintes de déploiement

L'intégration PSC implique généralement une phase de validation, des échanges avec l'ANS, des environnements de recette, des URLs de callback précises et une gestion rigoureuse des certificats et configurations. Ce n'est pas extrêmement complexe techniquement, mais cela demande une approche structurée.

PSC et architecture SaaS : un sujet souvent sous-estimé

Dans les plateformes multi-établissements ou multi-structures, plusieurs questions apparaissent rapidement :

• un utilisateur peut-il appartenir à plusieurs structures ?
• comment mapper les rôles ?
• faut-il fusionner plusieurs identités ?
• comment gérer les professionnels remplaçants ?
• comment gérer les utilisateurs sans RPPS ?

Ces problématiques deviennent particulièrement importantes dans les outils de coordination, les plateformes régionales, les solutions ETP ou les applications territoriales. Le sujet dépasse donc largement la simple authentification.

Faut-il intégrer PSC dès le MVP ?

Pas forcément. Le bon moment dépend du type d'utilisateurs, des attentes institutionnelles, du niveau de criticité et des objectifs du projet. Dans certains cas, commencer avec une authentification simple puis intégrer PSC plus tard est une approche pragmatique. Dans d'autres projets — notamment institutionnels — PSC peut être attendu très tôt.

Une brique devenue centrale dans l'écosystème santé

Pro Santé Connect s'impose progressivement comme un standard dans les applications de santé françaises. Son intérêt ne réside pas uniquement dans la sécurité : il fluidifie les usages, améliore la confiance, facilite l'intégration dans l'écosystème et professionnalise les parcours utilisateurs.

Mais comme souvent dans les projets santé, la réussite dépend moins du choix d'une technologie que de la qualité de son intégration dans l'architecture globale de l'application. Chez Dawi, nous considérons l'authentification comme un sujet métier autant que technique : identité, rôles, organisation des structures, parcours utilisateurs et sécurité doivent être pensés ensemble dès les premières phases du projet. Si vous portez un projet de ce type, c'est exactement le genre de sujet que nous aidons à cadrer dès la conception.