Référentiel sur l’identification électronique : ce qui change pour la e-santé

Référentiel sur l’identification électronique : ce qui change pour la e-santé

Par Marie Torelli et Jessica Moraly

Attendu depuis l’ordonnance n°2021-581 du 12 mai 2021, le référentiel sur l’identification électronique a été publié le 1er avril dernier.

Il se décline en trois volets :

  • Identification électronique des usagers;
  • Identification électronique des acteurs du secteur sanitaire, social et médico-social - personnes morales(établissement de santé, EHPAD…)
  • Identification électronique des acteurs du secteur sanitaire, social et médico-social - personnes physiques(médecins, secrétaires médicales…).

Ce référentiel s’applique :

  • A tous les outils, systèmes d’information et services numériques concourant à des activités de prévention, de diagnostic, de soin, de prise en charge, de suivi ou d’interventions nécessaires à la coordination de plusieurs de ces activités, à condition que ceux-ci traitent des données à caractère personnel au sens de l’article 4 du RGPD. A contrario, ce référentiel ne s’appliquera pas aux entrepôts de données anonymisées par exemple ;
  • Mis en oeuvre par des organismes publics ou privés;
  • Mis en oeuvre à distance ou non.

Rendu opposable par un arrêté du 28 mars 2022, ce premier volet de la politique générale de sécurité des systèmes d’information en santé (PGSSI-S) crée de nouvelles obligations pour les acteurs de la e-santé dont certaines doivent être mises en œuvre dès le 1er juin 2022.

Ce qui change pour l’identification des structures du secteur sanitaire, social et médico-social à compter du 1er juin 2022

Les exigences applicables à l’identification des structures sur ces outils varient selon que le service soit :

  • Un service « partagé », à savoir un service utilisé par plusieurs personnes morales ou mis en oeuvre à l’échelle d’un territoire régional ou national. Une exception s’applique ;
  • Un service « non partagé », à savoir un service ne répondant pas à la définition ci-dessus.

Au total, le référentiel détaille 18 exigences applicable à l’identification électronique des personnes morales, à savoir notamment :  

  • L’interdiction de recourir aux certificats autosignés ;
  • Les certificats hors IGC santé doivent répondre à des critères spécifiques (ex : conformité à la RFC 5280 et à l’annexe 4 du RGS, signature par une empreinte calculée par un algorithme SHA-2 ou SHA-3…) ;
  • Le recours aux certificats autosignés n’est plus accepté.

A noter qu’au 1er juin 2022 au plus tard, le seul moyen d’identification électronique autorisé pour les services partagés sera un certificat émis par l’IGC Santé.

Ce qui change pour l’identification des professionnels de santé à compter du 1er juin 2022

Le référentiel identifie 32 exigences à destination des professionnels de santé.

A compter du 1er janvier 2026, seuls seront autorisées les moyens d’identification électronique suivants :

  • La solution Pro Santé Connect qui sera le moyen d’identification imératif ;
  • A la carte CPx ou Carte de Professionnel de Santé ;
  • Les moyens d’identification électronique homologués ;
  • Les moyens d’identification électroniques certifiés de niveau eIDAS substantiel.

A compter du 1er juin 2022 et pendant la période transitoire, le référentiel autorise les professionnels de la santé à mettre en oeuvre les moyens d’identification suivants :

  • Pour les accès à distance (poste connecté à internet, en télétravail, en mobilité ou même sur le wifi « invité » de l’établissement), l’authentification à deux facteurs est obligatoire. Attention, pour que l’authentification soit effectivement considérée « à deux facteurs », le renouvellement des identifiants (exemple : mot de passe oublié), devrait aussi comprendre deux facteurs ;
  • Pour les accès locaux (sur un appareil connecté directement au SI du service cible), si les professionnels de santé sont encouragés à déployer l’authentification à deux facteurs pour les accès locaux également, un mot de passe seul sera considéré comme suffisant si :
    • Le mot de passe est long et complexe (au moins 8 caractères avec 3 des 4 catégories de caractères) ;
    • Des mesures de restriction d’accès (blocage après plusieurs tentatives, captcha…) ;
    • Un processus de vérification du respect de ces contraintes est mis en oeuvre.

Ce qui change pour l’identification des usagers à compter du 1er juin 2022

Ce référentiel comporte 14 exigences relatives à l’identification des usagers.

En particulier, à compter du 1er janvier 2026, seuls seront autorisés les moyens d’identification suivant :

  • La future application mobile carte vitale ;
  • Les moyens certifiés eIDAS de niveau substantiel ou élevés.

Toutefois, à compter du 1er juin 2022 et ce pendant toute la période transitoire, il sera, a minima, nécessaire de mettre en place une authentification à double facteur.

Cette procédure d’authentification sera renforcée par :

  • Des mesures de restriction de l’accès au compte (blocage après plusieurs tentatives infructueuses…) ;
  • Des critères de construction du mot de passe (8 caractères, plusieurs types de caractères) ;
  • Des mesures de sécurité adaptées au contexte et relatives aux modalités de gestion des facteurs d'authentification et au mécanisme d’authentification.

Il convient de noter que, pour être valide, la procédure d’authentification à double facteur devrait également s’appliquer au renouvellement des identifiants (exemple : mot de passe oublié). Il sera donc nécessaire de prévoir une vérification des deux facteurs utilisés dès l'enrôlement de l’utilisateur.

En outre, la déconnexion devra être automatique après un délai d’inactivité définie par le responsable du service numérique.

Quelles sont les mesures juridiques à mettre en place pour assurer sa mise en conformité au référentiel ?

Pour les fournisseurs de services numériques

Les fournisseurs de services numériques devront implémenter les moyens d’identification transitoires dès le 1er juin 2022, à savoir principalement l’authentification à double facteur.

Pour être opposables en cas de contrôle, ces modifications devront impérativement être documentées :

  • Au sein d’un plan d’assurance sécurité à destination des clients utilisateurs ;
  • Au sein de votre référentiel sécurité ;
  • Au sein du registre de traitement de données.

Pour les structures et les professionnels de santé

Dans la majorité des cas, les acteurs du secteur sanitaire, médicosocial et social auront la qualité de responsable du traitement au sens de l’article 4 du RGPD.

Cela signifie qu’il leur appartiendra de contrôler le respect des mesures d’identification prévues par le référentiel par leurs prestataires.

Concrètement, il s’agira de :

  • Interroger les prestataires sur les conditions de mise en oeuvre du référentiel d’identification électronique ;
  • Vérifier la conformité de la procédure d’identification mise en oeuvre au référentiel d’identification électronique ;
  • Mettre à jour son référentiel de sécurité ;
  • Mettre à jour son registre des traitements. 

***

Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner dans la mise en conformité au référentiel d’identification électronique. Pour nous contacter, cliquez-ici.

Marie TORELLI

Auteur Marie TORELLI

Suivez-nous sur Linkedin