Un service numérique en santé doit systématiquement identifier l'utilisateur qui se connecte effectivement au service, même si elle le fait pour agir sur les données d'un tiers. L'accès aux donnés de santé de ce tiers est une question de gestion d'habilitation en dehors du périmètre du référentiel d'identification électronique. Par exemple, le parent ou le responsable légal d'un mineur doit s'identifier personnellement sur un service pour gérer les données de santé du mineur en question (s'il dispose de cette habilitation).

La sécurité des données de santé à caractère personnel doit toujours être garantie, et tel est l'objectif du référentiel d'identification électronique. L'authentification forte requise par le référentiel doit être implémentée pour toutes les applications traitant de données de santé à caractère personnel. L'accès moins sécurisé à certaines fonctions ou composantes de l'application ne traitent pas de données de santé à caractère personnel représente un risque du fait des violations potentielles inévitables (erreur de conception, régression, vulnérabilité d'une composante, élévation de privilèges...). Le responsable d'un service numérique en santé de peut permettre ce type d'accès qu'après une analyse des risques induits et sur la base de garanties techniques de sécurité.

Oui, une application mobile sera mise à disposition (date de disponibilité indéterminée) des personnes disposant de cette nouvelle carte pour s'identifier en ligne avec FranceConnect.

Oui, un professionnel de santé peut enrôler un usager, typiquement en réalisant un contrôle d'identité en face à face physique avec vérification d'une pièce d'identité. IL peut alors lui délivrer directement, ou permettre la délivrance, d'un moyen d'identification électronique en conformité avec le référentiel.
Par exemple, un professionnel peut vérifier l'identité d'un usager lors de la réalisation d'une analyse médicale, et remettre un moyen d'identification électronique permettant la récupération postérieure et en ligne des résultats. De même, un service d'admission ou de préadmission peut enrôler des patients pour leur permettre par la suite d'accéder à leur dossier en ligne.

Non, les autorités sont attentives à préserver l'accessibilité des services à l'ensemble des citoyens.
Depuis le 1er juin 2022, une authentification à deux facteurs est nécessaire mais ne nécessite pas forcément de smartphone (OTP SMS, TOTP, …). A partir du 1er janvier 2026, des moyens de niveau de garantie substantiel seront exigés, et ce niveau peut être atteint sur un ordinateur (par exemple sur la base de moyens matériels ou logiciels certifiés FIDO2, potentiellement bientôt intégrés aux OS). Par ailleurs, des fonctions de gestion d'habilitations au profit des aidants ou responsables légaux permettra d'adresser certains publics en difficulté avec les accès numériques sécurisés.

Non, les moyens d'identification électronique d'un usager sur un service numérique en santé doivent répondre à des exigences strictes, dont celle d'être a minima à deux facteurs. Des moyens d'identification électronique de transition peuvent être construits sur la base d'un mot de passe complété par un OTP.

Les moyens d'identification électronique de niveau substantiel eIDAS qui peuvent être utilisés pour identifier un usager sont ceux certifiés en France et/ou notifiés au niveau Européen.
En France, l'ANSSI publie la liste des moyens d'identification électronique de niveau substantiel eIDAS sur son site :  Produits et Services Qualifiés par l'ANSSI

Les autres moyens européens d'identification électronique de niveau substantiel notifiés sont listés sur : Overview of pre-notified and notified eID schemes under eIDAS - eID User Community -

Les moyens d'identification électronique français sont utilisables à travers FranceConnect, après contractualisation avec au moins un fournisseur d'identité électronique de niveau substantiel eIDAS et inscription auprès de la DINUM (voir FranceConnect - Devenez partenaires).

Pas encore, c'est le niveau ciblé à terme mais ce dispositif est considéré comme conforme au référentiel d'identification électronique.

L’ApCV est actuellement en phase d’expérimentation dans quelques départements français. A terme, elle sera certifiée au niveau eIDAS substantiel et son usage sera généralisé. L'ApCV constituera alors le fournisseur d’identité de niveau substantiel eIDAS de référence pour l'identification électronique des usagers du secteur santé/social.
Des informations sur l'ApCV sont apportées sur : https://gnius.esante.gouv.fr/fr/reglementation/fiches-reglementation/ap…

L'offre de l'IGC Santé est décrite sur le site de l'ANS : https://industriels.esante.gouv.fr/produits-et-services/igc-sante-certi…
Les certificats logiciels IGC Santé peuvent être fournis aux professionnels éligibles.