520.3.3. Lorsqu’un certificat est requis pour utiliser les actifs informationnels du réseau de la santé et des services sociaux ou de la Régie de l’assurance maladie du Québec ou pour soutenir la planification, l’organisation et la prestation sécuritaire de services de santé et de services sociaux, celui-ci doit être:1° délivré par un organisme public au sens de l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou par un ordre professionnel visé au Code des professions (chapitre C-26), désigné par le Conseil du trésor, sur la recommandation du ministre, pour offrir des services de certification dans le secteur de la santé et des services sociaux; 2° délivré sur demande d’un gestionnaire des profils d’accès, responsable de l’attribution des profils d’accès et des autorisations d’obtention et d’utilisation de certificats par les personnes à son emploi ou sous sa direction, à moins que la loi n’en dispose autrement à l’égard de ces personnes ou de toute autre personne;
3° associé à des clés cryptographiques générées, dans les locaux sécurisés d’un agent de vérification de l’identité visé à l’un ou l’autre des articles 520.3.6 et 520.3.7, sur un support matériel qui doit demeurer en tout temps sous le contrôle du titulaire du certificat afin d’assurer la confidentialité et la sécurité de la clé privée.
Le support matériel prévu au paragraphe 3° du premier alinéa doit répondre aux normes prévues par règlement pris par le ministre en vertu de l’article 520.4.