Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement.
Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement.
Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.

Le référentiel d'identification électronique s'applique à compter du 1er juin 2022. Chacun des 3 volets du référentiel d'identification électronique peut intégrer des dates d'application de certaines des exigences.

Chaque structure doit tout d'abord vérifier si elle est concernée par le référentiel en identifiant l'ensemble des services numériques en santé dont elle est responsable, et en étudiant le périmètre application pour chaque catégorie d'utilisateurs de ces services.
En synthèse, les premières obligations depuis le 1/06/2022 sont :
- Volet ASPP : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs sauf pour un accès en interne) ;
- Volet ASPM : utiliser des certificats électroniques de l'IGC Santé pour l'identification électronique auprès d'une autre personne morale ;
- Volet Usagers : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs).
Toutes les structures concernées par le référentiel doivent de plus préparer un engagement de sécurisation de l'identification électronique (intégrant un plan de mise en conformité) pour le 31/05/2023 au plus tard.

Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement.
Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement.
Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.