Toggle Nav
Nos produits
Mon panier
Menu
Compte
  • Accueil
  • Le référentiel d'identification électronique en santé approuvé

Le référentiel d'identification électronique en santé approuvé

12.04.2022

Un arrêté approuve le référentiel de l'Agence du numérique en santé (ANS) relatif à l'identification électronique des acteurs des secteurs sanitaire, médico-social et social, personnes physiques et morales, et à l'identification électronique des usagers des services numériques en santé.

La protection des données de santé est un des enjeux majeurs du déploiement du numérique dans le champ de la santé.

Un référentiel pour assurer la protection des données de santé

Cette protection passe notamment par la mise en œuvre d’outils techniques permettant d’assurer que l’accès aux données de santé soit restreint, sécurisé et conditionné afin que les données ne fassent l’objet de consultations malveillantes. L’arrêté du 28 mars 2022 s’inscrit dans ce contexte et approuve un référentiel technique produit par l’ANS, lequel fixe les normes de sécurité minimales à appliquer pour la connexion à des services numériques en santé. Ces services sont nombreux et ont en commun de permettre l’accès à des données de santé : plateformes de consultation de résultats d’examen, dossiers médicaux informatisés, services de téléconsultation, portails de préadmission, etc. L’adoption du référentiel technique s’appuie alors sur les dispositions du code de la santé publique relatives aux « services numériques en santé » (C. santé publ., art. L.1470-1 et suivants) et sur règlement européen eIDAS (règlement du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur).

Un ou, plutôt, des référentiels

Si l’arrêté mentionne l’approbation d’un seul référentiel d’identification électronique, son article 1er précise qu’il se divise en trois volets respectivement relatifs à l’identification électronique des :

  •  acteurs des secteurs sanitaire, médico-social et social, personnes physiques ;

  • acteurs des secteurs sanitaire, médico-social et social, personnes morales ;

  • usagers du système de santé.

En effet, conformément à l’article L. 1470-2 du code de la santé publique, le référentiel distingue selon les catégories d’utilisateurs. Aussi, en pratique il ne s’agit pas d’un seul document, mais de trois dossiers nommés chacun « référentiel » par l’ANS (les documents sont accessibles via la page dédiée au « corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

La recherche d’un équilibre

Ces référentiels, adoptés par l’ANS et approuvés par le Ministère des solidarités et de la santé, ont été préalablement soumis à la concertation auprès des professionnels de santé mais aussi des fournisseurs de services numériques en santé ou encore des autorités indépendantes et agences œuvrant dans le champ de la cybersécurité et de la protection des données. À cet égard, l’ANS précise qu’à l’issue de ces discussions, l’Agence a tenté de « trouver le juste équilibre entre, d’une part, la nécessaire sécurité dans le traitement des données de santé et, d’autre part, la réalité des usages par les professionnels qui prennent en charge les patients ». Cette recherche d’un équilibre entre protection et usages a pour conséquence la production de normes variées ; l’usage de certaines étant simplement conseillé alors que d’autres sont imposées par « paliers », c’est-à-dire de manière étalée dans le temps (la mise en œuvre du référentiel débutant le 1er juin 2022 et s’étalant jusqu’au 31 décembre 2025).

Un contenu à la fois pédagogique et technique

Bien que les normes adoptées soient techniques et portent sur la sécurité des moyens de connexion, les référentiels sont formulés de manière pédagogique. En ce sens, les documents citent précisément les textes juridiques applicables, tout comme les références techniques existantes, et proposent des définitions utiles telles que celles des notions d’identifiant, d’authentification ou encore d’identification.

Les solutions préconisées

Du côté des usagers, le référentiel impose à partir du 31 janvier 2025, et encourage vivement avant cette date, de recourir soit à des moyens d’identification électronique certifiés eIDAS dont le niveau de sécurité est substantiel ou élevé (à l’image de l’application FranceConnect), soit d’identifier les usagers grâce à l’application mobile carte Vitale. Dans ce cadre, l’identifiant utilisé pour que l’usager se connecte à un service numérique devra être de préférence son matricule « Identité nationale de santé ».

Du côté des personnes morales acteurs en santé, les exigences sont plus nombreuses et imposent l’utilisation d’identifiants nationaux et de certificats de sécurité. Le référentiel précise, que les « fournisseurs de services numériques en santé doivent produire un engagement de sécurisation de l’identification électronique des personnes morales à leurs services numériques, dès la date d’entrée en vigueur » du référentiel. Cet engagement permet rapidement de lancer le chantier, s’il ne l’était pas déjà, de la sécurisation de l’accès aux données de santé, le fournisseur devant préciser dans le document les risques relatifs à ses services mais aussi le « plan d’action » pour mettre en conformité ses services avec le référentiel.

Enfin, pour les personnes physiques acteurs en santé, le document est plus long que les autres : une quarantaine de pages au lieu de vingt. Le texte précise notamment que l’identification doit se faire par le fournisseur d’identité numérique PRO Santé Connect.

Pédagogique(s) et technique(s), le(s) référentiel(s) adopté(s) marquent une avancée certaine dans le champ de la sécurité des données de santé, fixant par là-même l’état de l’art en matière d’identification pour l’accès à des services numériques en santé.

Margo Bernelin, chargée de recherche CNRS, université de Nantes, Droit et changement social

Nos engagements

La meilleure actualisation du marché.

Notre savoir-faire : mettre à votre disposition des documentations et outils pratiques et mis à jour en permanence par nos équipes de rédaction.
En savoir plus

Un accompagnement gratuit de qualité.

Réponse gratuite à toutes vos questions sur l'utilisation de nos produits. Toute l'équipe du service Relations Clientèle se tient à votre disposition au 01 83 10 10 10, de 9h à 18h en semaine, pour traiter l'ensemble de vos demandes.
En savoir plus

Un éditeur de référence depuis 1947.

Créées en 1947 par Jean Sarrut, les Editions Législatives vous permettent de veiller, sélectionner, regrouper et commenter l’essentiel de l’actualité juridique. Avec le concept du Dictionnaire Permanent, c'est près d'une trentaine de disciplines qui sont couvertes dont le droit social, le droit des affaires, le droit européen des affaires...
En savoir plus

Des moyens de paiement adaptés et sécurisés.

Nous vous proposons de régler vos commandes par chèque, virement, carte bancaire ou prélèvement en ligne SEPA ; pour les produits numériques, vous pouvez en outre bénéficier d'un règlement en 1 ou 12 fois.
En savoir plus