L'audit interne exigé dans le cadre de l'homologation de sécurité peut être réalisé par toute personne ou équipe d'audit disposant des compétences SSI en adéquation avec le sujet et le niveau de sécurité requis. Il peut s'agir d'une équipe interne à la structure ou d'un prestataire tiers compétent.

Une structure de santé est tenue d'homologuer tout moyen d'identification électronique qu'elle autorise sur l'un de ses services numérique dès lors qu'il ne s'agit pas d'un moyen mis à disposition par l'administration (CPS, e-CPS, ApCV) ou d'un moyen de niveau substantiel eIDAS.
L'homologation est alors obligatoire et à réaliser au plus tard pour le 1er janvier 2026, sous peine de devoir interdire le moyen d'identification électronique non homologué.

L'homologation du moyen d'identification électronique doit être réalisée selon la méthodologie d'homologation de sécurité de l'ANSSI. L'ANS met à disposition des structures de santé un guide dédié à l'homologation des moyens d'identification électronique.
L'ANSSI met aussi à disposition des guides et des documents relatifs à cette homologation de sécurité : https://www.ssi.gouv.fr/entreprise/management-du-risque/homologation-de…

L'homologation d'un moyen d'identification électronique est à la charge de la structure de santé responsable du service recourant à ce moyen, du fait qu'il s'agit de l'entité responsable de traitement au sens du RGPD et qu'elle doit évaluer le niveau de sécurité dans son propre contexte.
Certaines structures peuvent donc être amenées à homologuer un moyen d'identification électronique qu'elles ne délivrent pas elles-mêmes, mais qui sont utilisables (par des personnels externes par exemple) pour accéder à l'un de leurs services.
Les structures de santé peuvent bien entendu faire appel à des prestataires de services avec une expertise pour les accompagner dans cette démarche.

Une structure de santé est tenue d'homologuer tout moyen d'identification électronique qu'elle autorise sur l'un de ses services numérique dès lors qu'il ne s'agit pas d'un moyen mis à disposition par l'administration (CPS, e-CPS, ApCV) ou d'un moyen de niveau substantiel eIDAS. L'homologation a pour objectif de s'assurer de la satisfaction des exigences du référentiel et de l'absence de risques résiduels inacceptables. Elle est à réaliser au plus tard pour le 1er janvier 2026.

Les moyens d'identification électronique délivrés par un établissement doivent être homologués, au plus tard au 1/01/2026, pour pouvoir être utilisés.
Dans l'attente de cette homologation, ils doivent a minima être conformes aux exigences définies pour les MIE de transition dans les volets dédiés aux professionnels personnes physiques et aux usagers. En cas de non-conformité, ces moyens d'identification électronique ne doivent plus être utilisés à compter du 1/06/2022.