Est-il possible, pour une même application, de proposer des accès pour les usagers sans authentification forte lorsque ces accès ne permettent pas d'accéder à des données de santé ?

Mise à jour le 17 avril 2024

La sécurité des données de santé à caractère personnel doit toujours être garantie, et tel est l'objectif du référentiel d'identification électronique. L'authentification forte requise par le référentiel doit être implémentée pour toutes les applications traitant de données de santé à caractère personnel. L'accès moins sécurisé à certaines fonctions ou composantes de l'application ne traitent pas de données de santé à caractère personnel représente un risque du fait des violations potentielles inévitables (erreur de conception, régression, vulnérabilité d'une composante, élévation de privilèges...). Le responsable d'un service numérique en santé de peut permettre ce type d'accès qu'après une analyse des risques induits et sur la base de garanties techniques de sécurité.