Mise à jour le 17/04/2024
70 résultats
Quelle personne physique doit-elle être identifiée par un service numérique en santé lorsqu'un utilisateur se connecte pour agir sur les données de santé d'une autre personne ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Un service numérique en santé doit systématiquement identifier l'utilisateur qui se connecte effectivement au service, même si elle le fait pour agir sur les données d'un tiers. L'accès aux donnés de santé de ce tiers est une question de gestion d'habilitation en dehors du périmètre du référentiel d'identification électronique. Par exemple, le parent ou le responsable légal d'un mineur doit s'identifier personnellement sur un service pour gérer les données de santé du mineur en question (s'il dispose de cette habilitation).
Est-il possible, pour une même application, de proposer des accès pour les usagers sans authentification forte lorsque ces accès ne permettent pas d'accéder à des données de santé ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
La sécurité des données de santé à caractère personnel doit toujours être garantie, et tel est l'objectif du référentiel d'identification électronique. L'authentification forte requise par le référentiel doit être implémentée pour toutes les applications traitant de données de santé à caractère personnel. L'accès moins sécurisé à certaines fonctions ou composantes de l'application ne traitent pas de données de santé à caractère personnel représente un risque du fait des violations potentielles inévitables (erreur de conception, régression, vulnérabilité d'une composante, élévation de privilèges...). Le responsable d'un service numérique en santé de peut permettre ce type d'accès qu'après une analyse des risques induits et sur la base de garanties techniques de sécurité.
Est-ce que la nouvelle carte d'identité française pourra être utilisée sur FranceConnect pour identifier un usager ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Oui, une application mobile sera mise à disposition (date de disponibilité indéterminée) des personnes disposant de cette nouvelle carte pour s'identifier en ligne avec FranceConnect.
L'enrôlement d'un usager peut-il être réalisé par un professionnel de santé ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Oui, un professionnel de santé peut enrôler un usager, typiquement en réalisant un contrôle d'identité en face à face physique avec vérification d'une pièce d'identité. IL peut alors lui délivrer directement, ou permettre la délivrance, d'un moyen d'identification électronique en conformité avec le référentiel.
Par exemple, un professionnel peut vérifier l'identité d'un usager lors de la réalisation d'une analyse médicale, et remettre un moyen d'identification électronique permettant la récupération postérieure et en ligne des résultats. De même, un service d'admission ou de préadmission peut enrôler des patients pour leur permettre par la suite d'accéder à leur dossier en ligne.
Par exemple, un professionnel peut vérifier l'identité d'un usager lors de la réalisation d'une analyse médicale, et remettre un moyen d'identification électronique permettant la récupération postérieure et en ligne des résultats. De même, un service d'admission ou de préadmission peut enrôler des patients pour leur permettre par la suite d'accéder à leur dossier en ligne.
A terme, les usagers seront-ils dans l'obligation de posséder un smartphone pour accéder aux services numériques en santé ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Non, les autorités sont attentives à préserver l'accessibilité des services à l'ensemble des citoyens.
Depuis le 1er juin 2022, une authentification à deux facteurs est nécessaire mais ne nécessite pas forcément de smartphone (OTP SMS, TOTP, …). A partir du 1er janvier 2026, des moyens de niveau de garantie substantiel seront exigés, et ce niveau peut être atteint sur un ordinateur (par exemple sur la base de moyens matériels ou logiciels certifiés FIDO2, potentiellement bientôt intégrés aux OS). Par ailleurs, des fonctions de gestion d'habilitations au profit des aidants ou responsables légaux permettra d'adresser certains publics en difficulté avec les accès numériques sécurisés.
Depuis le 1er juin 2022, une authentification à deux facteurs est nécessaire mais ne nécessite pas forcément de smartphone (OTP SMS, TOTP, …). A partir du 1er janvier 2026, des moyens de niveau de garantie substantiel seront exigés, et ce niveau peut être atteint sur un ordinateur (par exemple sur la base de moyens matériels ou logiciels certifiés FIDO2, potentiellement bientôt intégrés aux OS). Par ailleurs, des fonctions de gestion d'habilitations au profit des aidants ou responsables légaux permettra d'adresser certains publics en difficulté avec les accès numériques sécurisés.
Est-ce que l'identification électronique des usagers est possible par un simple login/mot de passe ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Non, les moyens d'identification électronique d'un usager sur un service numérique en santé doivent répondre à des exigences strictes, dont celle d'être a minima à deux facteurs. Des moyens d'identification électronique de transition peuvent être construits sur la base d'un mot de passe complété par un OTP.
Quels sont les moyens d'identification électronique de niveau substantiel eIDAS qui peuvent être utilisés pour identifier un usager ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Les moyens d'identification électronique de niveau substantiel eIDAS qui peuvent être utilisés pour identifier un usager sont ceux certifiés en France et/ou notifiés au niveau Européen.
En France, l'ANSSI publie la liste des moyens d'identification électronique de niveau substantiel eIDAS sur son site : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
Les autres moyens européens d'identification électronique de niveau substantiel notifiés sont listés sur : https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+p…
Les moyens d'identification électronique français sont utilisables à travers FranceConnect, après contractualisation avec au moins un fournisseur d'identité électronique de niveau substantiel eIDAS et inscription auprès de la DINUM (voir https://franceconnect.gouv.fr/partenaires).
En France, l'ANSSI publie la liste des moyens d'identification électronique de niveau substantiel eIDAS sur son site : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
Les autres moyens européens d'identification électronique de niveau substantiel notifiés sont listés sur : https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+p…
Les moyens d'identification électronique français sont utilisables à travers FranceConnect, après contractualisation avec au moins un fournisseur d'identité électronique de niveau substantiel eIDAS et inscription auprès de la DINUM (voir https://franceconnect.gouv.fr/partenaires).
Est-ce que l'ApCV Connect est un service de niveau substantiel selon le règlement eIDAS ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
Pas encore, c'est le niveau ciblé à terme mais ce dispositif est considéré comme conforme au référentiel d'identification électronique.
Est-ce que l'identification électronique des usagers par l'ApCV est disponible ?
Sujet : Modalités d'identification électronique
Référentiel : Identification électronique des usagers/patients
L’ApCV est actuellement en phase d’expérimentation dans quelques départements français. A terme, elle sera certifiée au niveau eIDAS substantiel et son usage sera généralisé. L'ApCV constituera alors le fournisseur d’identité de niveau substantiel eIDAS de référence pour l'identification électronique des usagers du secteur santé/social.
Des informations sur l'ApCV sont apportées sur : https://gnius.esante.gouv.fr/fr/reglementation/fiches-reglementation/ap…
Des informations sur l'ApCV sont apportées sur : https://gnius.esante.gouv.fr/fr/reglementation/fiches-reglementation/ap…
A quelle date doit être réalisé le premier engagement de sécurisation de l'identification électronique ?
Sujet : Engagement de sécurisation
Référentiel : Identification électronique des structures de santé (ASPM)
/ Identification électronique des usagers/patients
Le premier engagement doit être établi le plus tôt possible, et au plus tard avant le 31/05/2023 (fréquence annuelle).
La communication de cet engagement à l'ANS n'est pas demandée. L'engagement pourra être demandé dans le cadre de l'identification électronique indirecte ou d'autres interconnexions de SI, ou bien en cas d'audit de sécurité.
La communication de cet engagement à l'ANS n'est pas demandée. L'engagement pourra être demandé dans le cadre de l'identification électronique indirecte ou d'autres interconnexions de SI, ou bien en cas d'audit de sécurité.