ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

Permission — Autorisation d'accès calculée

Le pont entre un Consent humain (déclaration de volonté) et un Policy Enforcement Point technique : une règle ABAC/RBAC consommable par un PEP/PDP, avec activité, données, finalité et limites.

Objet de la ressource

Permission représente une règle d'autorisation dérivée d'un Consent, d'une politique organisationnelle ou d'une obligation légale. Là où Consent capture la décision du patient en langage métier, Permission la traduit en règles ABAC évaluables : qui peut faire quoi sur quelles données pour quelle finalité, sur quelle période.

Les profils émergents IHE PCF, ONC FAST Security et HL7 SMART Health Cards utilisent Permission comme format d'échange entre le moteur de consentement et le PEP applicatif.

Champs clés

ChampTypeCardinalitéRôle
statuscode1..1active | entered-in-error | draft | rejected.
asserterReference(Organization | Practitioner | RelatedPerson | Patient)0..1Entité qui pose la règle.
datedateTime[]0..*Dates significatives (signature, révision).
validityPeriod0..1Période de validité de la règle.
justificationBackboneElement0..1Référence Consent / DocumentReference légal.
combiningcode0..1Algorithme de combinaison : deny-overrides | permit-overrides | ordered-deny-overrides | ordered-permit-overrides | deny-unless-permit | permit-unless-deny.
ruleBackboneElement[]0..*Règles atomiques (type, data, activity, limit).

Exemple JSON

json permission-example.json
{
  "resourceType": "Permission",
  "id": "example",
  "status": "active",
  "asserter": { "reference": "Organization/example-hospital" },
  "date": ["2026-05-15"],
  "validity": {
    "start": "2026-05-15",
    "end": "2031-05-15"
  },
  "combining": "permit-overrides",
  "rule": [{
    "type": "permit",
    "data": [{
      "resource": [{
        "meaning": "instance",
        "reference": { "reference": "Patient/example" }
      }]
    }],
    "activity": [{
      "purpose": [{
        "coding": [{
          "system": "http://terminology.hl7.org/CodeSystem/v3-ActReason",
          "code": "TREAT"
        }]
      }]
    }]
  }]
}
AspectConsentPermission
AudienceHumain, juridiqueSystème, PEP/PDP
GranularitéCatégorie, type d'utilisationAction ABAC fine
Cycle de vieSigné par le patient, retiré ou amendéRecalculé à partir des Consent applicables
ModèleDocumentRègle (XACML-like)

Pièges courants

  • Permission sans combining — l'évaluation par défaut est ambiguë.
  • Rule sans activity — vaut « tout » ; rarement voulu.
  • Validity ouverte — penser à fermer ou à utiliser justification + Consent.
  • Synchro Consent ↔ Permission — un Consent révoqué doit déclencher la mise à jour des Permission dérivées.

Ressources liées