Pourquoi s’y intéresser dès maintenant ?  

Principalement parce que c’est un enjeu majeur pour la sécurité des données de santé. C’est aussi une étape incontournable pour les utilisateurs des services numériques qui peut être améliorée et facilitée. 

L’identification électronique des acteurs de santé est encadrée par le Référentiel d'Identification Électronique (RIE) rendu  opposable par arrêté ministériel conformément au code de la santé publique, Art. L. 1470-1à Art. L. 1470-6 (arrêté du 28 mars 2022).  Une nouvelle version est prévue en 2026, avec un délai d’application à fin 2028. 
Attention, la mise en conformité au RIE des organisations et des systèmes d’information en santé requiert une conduite de projet dont la durée peut être assez longue (12 à 24 mois selon les retours d’expériences des structures pilotes de l’appel à projet Hospiconnect réalisé entre 2024 et 2026). 

Ce référentiel fait partie de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S)  publiée par l’Agence du Numérique en Santé (ANS), qui encadre les règles de sécurité pour l'e-santé.  

Le RIE se décline en plusieurs volets : personnes physiques, personnes morales et usagers. 
Le volet personnes physiques concerne tous les acteurs de santé des secteurs sanitaire, médico-social et social. Le RIE s’applique aux outils et services numériques utilisés par des organismes publics ou privés, à distance ou non, lorsqu’ils servent à prévenir, diagnostiquer, soigner ou suivre des patients, ou à coordonner ces activités, et qu’ils traitent des données personnelles de santé au sens du RGPD (Règlement Général sur la Protection des Données). 

Il énonce un certain nombre d’exigences pour renforcer la sécurité au niveau de l’identification et de l’authentification des professionnels qui accèdent à des services numériques de santé.   

S'agissant des Moyens d'Identification Electroniques (MIE) (comme l’identifiant + mot de passe, la carte CPS + code pin, etc.), le niveau de garantie attendu est le niveau substantiel ou élevé du règlement européen eIDAS  (règlement européen sur les services électroniques d'identification, d'authentification et de confiance) d’ici fin 2028.  

Pro Santé Connect, proposé par l’ANS, permet aux professionnels de s’authentifier avec une carte professionnelle CPS ou l’application e-CPS à tous les services numériques de santé raccordés à Pro Santé Connect. Les identités fournies proviennent du Répertoire Partagé des Professionnels de Santé (RPPS).  Depuis 2023, son implémentation est obligatoire pour les services nationaux tel que le DMP (Dossier Médical Partagé) et les logiciels qui les intègrent fortement tel le DPI/DUI (Dossier Patient Informatisé / Dossier Usager Informatisé).

Quels changements dans les structures ? 

Le renforcement de la sécurité des accès aux informations de santé des usagers/patients, nécessite d’agir d’une part sur les organisations et d’autre part sur les moyens techniques.  

Concernant l’aspect organisationnel, il s’agit par exemple de :

• définir et d’écrire la procédure d’entrée et de sortie des salariés ;
• de créer une gouvernance multi-services qui traite la question de l’identification électronique ;
• de sensibiliser les salariés aux questions de sécurité informatique ;
• de gérer les comptes et les autorisations d’accès des professionnels ;
• etc.  

Concernant les aspects techniques, il s’agit de :

• revoir l’urbanisation du système d’information en connaissant finement son Système d'Information (SI) et l’ensemble de ses applications ;
• choisir des outils de gestion des identités et des accès (IAM) ou de connexion (SSO) ;
• choisir des moyens d’identification électronique à double facteur d’authentification pour les services sensibles ;
• etc.