Un service numérique en santé doit systématiquement identifier l'utilisateur qui se connecte effectivement au service, même si elle le fait pour agir sur les données d'un tiers. L'accès aux donnés de santé de ce tiers est une question de gestion d'habilitation en dehors du périmètre du référentiel d'identification électronique. Par exemple, le parent ou le responsable légal d'un mineur doit s'identifier personnellement sur un service pour gérer les données de santé du mineur en question (s'il dispose de cette habilitation).

La sécurité des données de santé à caractère personnel doit toujours être garantie, et tel est l'objectif du référentiel d'identification électronique. L'authentification forte requise par le référentiel doit être implémentée pour toutes les applications traitant de données de santé à caractère personnel. L'accès moins sécurisé à certaines fonctions ou composantes de l'application ne traitent pas de données de santé à caractère personnel représente un risque du fait des violations potentielles inévitables (erreur de conception, régression, vulnérabilité d'une composante, élévation de privilèges...). Le responsable d'un service numérique en santé de peut permettre ce type d'accès qu'après une analyse des risques induits et sur la base de garanties techniques de sécurité.

Oui, une application mobile sera mise à disposition (date de disponibilité indéterminée) des personnes disposant de cette nouvelle carte pour s'identifier en ligne avec FranceConnect.

Oui, un professionnel de santé peut enrôler un usager, typiquement en réalisant un contrôle d'identité en face à face physique avec vérification d'une pièce d'identité. IL peut alors lui délivrer directement, ou permettre la délivrance, d'un moyen d'identification électronique en conformité avec le référentiel.
Par exemple, un professionnel peut vérifier l'identité d'un usager lors de la réalisation d'une analyse médicale, et remettre un moyen d'identification électronique permettant la récupération postérieure et en ligne des résultats. De même, un service d'admission ou de préadmission peut enrôler des patients pour leur permettre par la suite d'accéder à leur dossier en ligne.

Non, les autorités sont attentives à préserver l'accessibilité des services à l'ensemble des citoyens.
Depuis le 1er juin 2022, une authentification à deux facteurs est nécessaire mais ne nécessite pas forcément de smartphone (OTP SMS, TOTP, …). A partir du 1er janvier 2026, des moyens de niveau de garantie substantiel seront exigés, et ce niveau peut être atteint sur un ordinateur (par exemple sur la base de moyens matériels ou logiciels certifiés FIDO2, potentiellement bientôt intégrés aux OS). Par ailleurs, des fonctions de gestion d'habilitations au profit des aidants ou responsables légaux permettra d'adresser certains publics en difficulté avec les accès numériques sécurisés.

Non, les moyens d'identification électronique d'un usager sur un service numérique en santé doivent répondre à des exigences strictes, dont celle d'être a minima à deux facteurs. Des moyens d'identification électronique de transition peuvent être construits sur la base d'un mot de passe complété par un OTP.

Les moyens d'identification électronique de niveau substantiel eIDAS qui peuvent être utilisés pour identifier un usager sont ceux certifiés en France et/ou notifiés au niveau Européen.
En France, l'ANSSI publie la liste des moyens d'identification électronique de niveau substantiel eIDAS sur son site : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
Les autres moyens européens d'identification électronique de niveau substantiel notifiés sont listés sur : https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+p…
Les moyens d'identification électronique français sont utilisables à travers FranceConnect, après contractualisation avec au moins un fournisseur d'identité électronique de niveau substantiel eIDAS et inscription auprès de la DINUM (voir https://franceconnect.gouv.fr/partenaires).

Pas encore, c'est le niveau ciblé à terme mais ce dispositif est considéré comme conforme au référentiel d'identification électronique.

L’ApCV est actuellement en phase d’expérimentation dans quelques départements français. A terme, elle sera certifiée au niveau eIDAS substantiel et son usage sera généralisé. L'ApCV constituera alors le fournisseur d’identité de niveau substantiel eIDAS de référence pour l'identification électronique des usagers du secteur santé/social.
Des informations sur l'ApCV sont apportées sur : https://gnius.esante.gouv.fr/fr/reglementation/fiches-reglementation/ap…

Le premier engagement doit être établi le plus tôt possible, et au plus tard avant le 31/05/2023 (fréquence annuelle).
La communication de cet engagement à l'ANS n'est pas demandée. L'engagement pourra être demandé dans le cadre de l'identification électronique indirecte ou d'autres interconnexions de SI, ou bien en cas d'audit de sécurité.