FAQ de l'offre : Moyens d'identification électroniques

Le référentiel d'identification électronique adresse les catégories d'utilisateurs suivantes :
- les professionnels de santé personne physique : ceci inclut, sans s'y limiter, toutes les professions incluses dans le répertoire RPPS (et RPPS+), ainsi que celles présentes dans le répertoire ADELI, y compris les personnels en formation et les personnels de secrétariat. De manière générale tous les professionnels accédant aux services numériques de santé.
- les professionnels de santé personne morale, désignées comme structures de santé dans la PGSSI-S : le référentiel s'applique aux connexions réalisées sur un SI par des serveurs ou des services applicatifs s'identifiant en tant que personne morale ou service numérique d'une personne morale.
- les usagers : ceci inclut les patients, les assurés ou leurs responsables légaux, les aidants, etc.
Le référentiel est décomposé en trois volets, chacun adressant l'une de ces catégories d'utilisateurs.

Non, les processus relatifs à l'enregistrement des professionnels de santé, à la commande et à la délivrance de carte CPS ne sont pas impactés par le référentiel d'identification électronique.

Le référentiel d'identification électronique est pris en application de l'ordonnance n°2021-581 du 12 mai 2021 relative à l’identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l’assurance maladie. L'article L. 1470-1 du code de la santé publique, issu de cette ordonnance, stipule que les services numériques concernés sont les systèmes d’information ou les services ou outils numériques mis en œuvre par des personnes physiques ou morales de droit public ou de droit privé, y compris les organismes d’assurance maladie, proposés par voie électronique, qui concourent à des activités de prévention, de diagnostic, de soin ou de suivi médical ou médico-social, ou à des interventions nécessaires à la coordination de plusieurs de ces activités. Le référentiel d'identification électronique est scindé en trois volets selon la catégorie d'utilisateurs : - les professionnels de santé personne physique ; - les professionnels de santé personne morale ; - les usagers. Chacun des 3 volets apporte des précisions sur les services concernés et les exigences qui s'y appliquent. Les organismes d’AMC font partie du périmètre pour tous les services numériques qu’ils proposent hors stricte prise en charge "assurance maladie".

Le référentiel indique que c'est le responsable du service numérique cible, ici le DMP, qui fixe son besoin en terme d'identification électronique du professionnel de santé agissant par l'intermédiaire d'une application appelante, ici le DPI. En l'occurrence, des règles d'accès au DMP sont en cours d'élaboration ou sont déjà publiées afin de préciser les différents modalités applicables selon les cas d'utilisation.

Chaque structure doit tout d'abord vérifier si elle est concernée par le référentiel en identifiant l'ensemble des services numériques en santé dont elle est responsable, et en étudiant le périmètre application pour chaque catégorie d'utilisateurs de ces services.
En synthèse, les premières obligations depuis le 1/06/2022 sont :
- Volet ASPP : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs sauf pour un accès en interne) ;
- Volet ASPM : utiliser des certificats électroniques de l'IGC Santé pour l'identification électronique auprès d'une autre personne morale ;
- Volet Usagers : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs).
Toutes les structures concernées par le référentiel doivent de plus préparer un engagement de sécurisation de l'identification électronique (intégrant un plan de mise en conformité) pour le 31/05/2023 au plus tard.

Non, les accès doivent être nominatifs, autant pour contrôler les habilitations dynamiquement que pour garantir l'imputabilité des actions réalisées.

Le référentiel d'identification électronique est rendu opposable par arrêté des ministres chargés de la santé, de l’action sociale et de la défense, conformément au code de la santé publique, Art. L. 1470-1. à Art. L. 1470-6 (arrêté du 28 mars 2022).
Le respect du référentiel d'identification électronique engage dès lors la responsabilité des responsables de traitement assujettis à ce référentiel. En particulier, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut diligenter des audits et sanctionner les établissements pour un défaut d'application du référentiel d'identification électronique.

L'accès sécurisé à un site internet est vérifié par les navigateurs en appliquant les règles établies par le CA/Browser Forum. Le référentiel d'identification électronique des services numériques en santé ne s'applique donc pas à ces certificats.
Les accès à un service numérique en santé réalisés par une personne morale (structure ou serveur) doivent être sécurisés avec un certificat distinct, répondant aux exigences du volet dédié aux acteurs de santé personnes morales du référentiel d'identification électronique.

L'Identité Nationale de Santé (INS) est composée d'un matricule INS (NIR ou NIA) et de cinq traits d'identité d'une personne physique qui permettent d'identifier un usager de façon univoque. Elle est utilisée pour le référencement de données de santé décrit dans le référentiel INS sur https://esante.gouv.fr/offres-services/referentiel-ins.
Le référentiel d'identification électronique régit les moyens d'identification électronique autorisés pour l'accès aux services numériques en santé par leurs utilisateurs. L'identifiant privilégié d'un usager d'un service numérique est son matricule INS.

Le référentiel d'identification électronique annule et remplace au 1er juin 2022 trois référentiels de la PGSSI-S : - Le référentiel d’identification des acteurs sanitaires et médico-sociaux v1.0 ; - Le référentiel d’authentification des acteurs de santé v2.0; - Le référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé v2.0.