La sécurité des données de santé à caractère personnel doit toujours être garantie, et tel est l'objectif du référentiel d'identification électronique. L'authentification forte requise par le référentiel doit être implémentée pour toutes les applications traitant de données de santé à caractère personnel. L'accès moins sécurisé à certaines fonctions ou composantes de l'application ne traitent pas de données de santé à caractère personnel représente un risque du fait des violations potentielles inévitables (erreur de conception, régression, vulnérabilité d'une composante, élévation de privilèges...). Le responsable d'un service numérique en santé de peut permettre ce type d'accès qu'après une analyse des risques induits et sur la base de garanties techniques de sécurité.