FAQ de l'offre : Moyens d'identification électroniques

L'intégration d'autres moyens d'authentification est à l'étude, par exemple les clés de sécurité FIDO2. 

Ce n'est pas encore possible.

L’identification électronique des automates ou appareils médicaux connectés (analyses, imagerie…) est considérée hors périmètre du fait des contraintes spécifiques de ces matériels.

L'Identité Nationale de Santé (INS) est composée d'un matricule INS (NIR ou NIA) et de cinq traits d'identité d'une personne physique qui permettent d'identifier un usager de façon univoque. Elle est utilisée pour le référencement de données de santé décrit dans le référentiel INS sur https://esante.gouv.fr/offres-services/referentiel-ins.
Le référentiel d'identification électronique régit les moyens d'identification électronique autorisés pour l'accès aux services numériques en santé par leurs utilisateurs. L'identifiant privilégié d'un usager d'un service numérique est son matricule INS.

Le référentiel d'identification électronique annule et remplace au 1er juin 2022 trois référentiels de la PGSSI-S :
- Le référentiel d’identification des acteurs sanitaires et médico-sociaux v1.0 ;
- Le référentiel d’authentification des acteurs de santé v2.0;
- Le référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé v2.0.

Le référentiel d'identification électronique est pris en application de l'ordonnance n°2021-581 du 12 mai 2021 relative à l’identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l’assurance maladie. L'article L. 1470-1 du code de la santé publique, issu de cette ordonnance, stipule que les services numériques concernés sont les systèmes d’information ou les services ou outils numériques mis en œuvre par des personnes physiques ou morales de droit public ou de droit privé, y compris les organismes d’assurance maladie, proposés par voie électronique, qui concourent à des activités de prévention, de diagnostic, de soin ou de suivi médical ou médico-social, ou à des interventions nécessaires à la coordination de plusieurs de ces activités. Le référentiel d'identification électronique est scindé en trois volets selon la catégorie d'utilisateurs : - les professionnels de santé personne physique ; - les professionnels de santé personne morale ; - les usagers. Chacun des 3 volets apporte des précisions sur les services concernés et les exigences qui s'y appliquent. Les organismes d’AMC font partie du périmètre pour tous les services numériques qu’ils proposent hors stricte prise en charge "assurance maladie".

Chaque entité est responsable de la réalisation de l'analyse de risques nécessaire au choix et à la spécification des modalités d'identification électronique sur ses services numériques. L'analyse de risque menée dans le cadre d'une AIPD peut se révéler insuffisante si elle ne prend pas en compte les exigences du référentiel d'identification électronique et/ou d'autres problématiques telles que la disponibilité des accès ou l'ergonomie pour les utilisateurs.

Les moyens d'identification électronique délivrés par un établissement doivent être homologués, au plus tard au 1/01/2026, pour pouvoir être utilisés.
Dans l'attente de cette homologation, ils doivent a minima être conformes aux exigences définies pour les MIE de transition dans les volets dédiés aux professionnels personnes physiques et aux usagers. En cas de non-conformité, ces moyens d'identification électronique ne doivent plus être utilisés à compter du 1/06/2022.

Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement.
Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement.
Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.

Le référentiel d'identification électronique est rendu opposable par arrêté des ministres chargés de la santé, de l’action sociale et de la défense, conformément au code de la santé publique, Art. L. 1470-1. à Art. L. 1470-6 (arrêté du 28 mars 2022).
Le respect du référentiel d'identification électronique engage dès lors la responsabilité des responsables de traitement assujettis à ce référentiel. En particulier, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut diligenter des audits et sanctionner les établissements pour un défaut d'application du référentiel d'identification électronique.