Le 1er avril 2022, le ministère des Solidarités et de la Santé ainsi que l’Agence du numérique en santé ont annoncé la publication d’un référentiel sur l’identification électronique des acteurs de santé. Approuvé le 28 mars 2022 par un arrêté [1] du ministre de la santé, ce référentiel comprend trois parties destinées respectivement aux acteurs personnes physiques des secteurs sanitaire, médico-social et social, aux acteurs personnes morales ainsi qu’aux usagers du système de santé.
L’ANS considère l’identification et l’authentification des professionnels et usagers du système de santé comme un pilier du numérique en santé. Il est en effet établi que les pratiques en matière de connexion aux différents outils numériques sont susceptibles d’impacter très fortement la sécurité des données des données de santé. A cet égard, la Caisse nationale d’assurance maladie (« CNAM »), révélait le 17 mars dernier qu’un détournement de 19 comptes de professionnels de santé avait causé une fuite de données affectant près de 510 000 personnes.
Dans son communiqué, l’agence souligne l’importance des concertations publiques organisées avec la participation de la CNIL et de l’ANSSI. Celles-ci devaient permettre, afin d’obtenir un texte opposable, de concilier normes de sécurité élevées et usages propres aux modes de fonctionnement des acteurs de santé. Ainsi, il est prévu que les différents utilisateurs visés par le référentiel appliquent ses exigences progressivement entre le 1er juin 2022 et le 31 décembre 2025.
En règle générale, les exigences posées par le référentiel concernent l’utilisation de mots de passe forts, de second facteurs d’authentification et d’informations d’identification vérifiées et issues de répertoires connus (INS, RPPS, …).
En ce qui concerne les usagers, le référentiel fait la promotion du dispositif « FranceConnect » comme moyen de garantir leur identité auprès des services numériques privés.
L’ANS a prévu, pour les acteurs du système de santé, personnes morales comme physiques, de promouvoir puis d’imposer dès le 1er janvier 2023 l’utilisation d’une seule et même méthode de connexion aux différents services définis comme « sensibles » par la PGSSI-S. Il s’agit du télé-service Pro Santé Connect, fourni et maintenu par l’ANS.
Par ailleurs, le référentiel autorise à terme l’utilisation de moyens de connexion locaux. Néanmoins, à compter du 1er juin 2022, ils devront notamment intégrer un système d’authentification à deux facteurs. Il est également précisé que pour continuer à fonctionner au-delà de 2026, ces moyens de connexion devront faire l’objet d’une homologation contrôlée par l’ANSSI.
[1] Arrêté du 28 mars 2022 portant approbation du référentiel relatif à l’identification électronique des acteurs des secteurs sanitaire, médico-social et social, personnes physiques et morales, et à l’identification électronique des usagers des services numériques en santé.