Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Identité numérique : quel apport pour les SI de santé ?

21 sept. 2021 - 11:02,
Tribune - Cédric Cartau
L’identité numérique (IdNum) est certainement un sujet dont on va entendre parler dans les prochains mois et les prochaines années.

N’importe qui peut se créer un compte sur n’importe quelle plateforme en ligne. Dans pas mal de cas, peu importe l’identité de la personne physique qui se trouve derrière ce compte (tant que rien de répréhensible n’est commis s’entend) : choisissez de vous présenter sur Instagram sous le pseudo d’un personnage de manga si cela vous chante. Mais il existe plusieurs cas d’usage où la vérification de l’identité de la personne en ligne est primordiale : refaire une carte grise, accéder à ses comptes bancaires, déclarer ses impôts, etc. D’où l’intérêt d’une IdNum.

Une IdNum suppose au moins quatre éléments : un compte (identifiant et mot de passe) sur une plateforme agréée, un processus de vérification d’identité en face à face, un média pour une authentification à double facteur (MFA, smartphone le plus souvent) et un service d’IdNum invocable par des protocoles ouverts (API, etc.). Certes, il existe déjà FranceConnect (qui permet de se connecter à la CPAM avec son compte impots.gouv.fr ou l’inverse), mais dont l’IdNum n’a pas été créée en respectant le deuxième et le troisième élément (face-à-face et mise en œuvre de la MFA). FranceConnect est bien une identité numérique, mais dont le niveau de confiance n’est pas au niveau de ce que l’on peut atteindre avec un face-à-face et la MFA. À terme, la création de plateformes d’IdNum est donc dans la logique des choses pour l’accès à certains services qui délégueront l’action technique d’identification/authentification à une plateforme d’IdNum agréée.

Dans le monde de la santé, l’IdNum est utile dans deux contextes bien distincts : identifier de manière sûre à la fois les patients et les professionnels de santé qui accèdent à des données médicales nominatives dans les cas d’usage autorisés par le Code de la santé publique, et qui au demeurant dépassent largement le strict contexte de la prise en charge médicale.

Pour ce qui concerne les patients, disposer d’une IdNum permet de sécuriser et de fluidifier plusieurs processus. Une préadmission en ligne peut être ainsi facilement mise en place : une admission nécessite un face-à-face entre un admissionniste et un patient, mais une identité numérique préalablement validée par une autorité externe raccourcit d’autant l’admission (sans pour autant éliminer l’entretien en vis-à-vis, attendu qu’il existe des cas d’usurpation d’identité par les patients eux-mêmes, certes rares mais très dangereux). On pense aussi à l’accès d’un patient à son DMP ou à son dossier patient de GHT (sans identité numérique, quasiment aucun CH/CHU/GHT ne dispose de moyens RH pour assurer les créations de comptes avec la gestion des mots de passe oubliés, des comptes verrouillés, etc.). L’ouverture massive des DP aux patients eux-mêmes ne pourra être réalisée sans IdNum généralisée sur le territoire, et il y a fort à parier que les grandes plateformes (de prise de RDV, par exemple) se connecteront rapidement à ces fournisseurs d’IdNum.

Pour les professionnels de santé, l’enjeu est différent. Puisqu’ils sont déjà tous identifiés dans des annuaires nationaux (RPPS, entre autres), la mise en place d’un service d’IdNum est plus simple. En revanche, le bénéfice est largement moindre : d’une part, le médecin X qui utilise sa carte CPS et une authentification sur un service externe pour accéder au DPI de son établissement devra obligatoirement renseigner cette IdNum sur ledit DPI (sinon n’importe quel médecin y aurait accès) et, d’autre part, cela n’empêchera nullement les indiscrétions (le professionnel X qui accède aux données médicales du patient Y qu’il ne prend pas en charge par simple curiosité), point qui ne peut être réglé que par la question des habilitations, forcément locale au DPI. Cela ne simplifiera pas (ni ne complexifiera, du reste) l’accès de praticiens hors établissement au DPI de l’établissement (partenariats médicaux, continuité de prise en charge, etc.) dans la mesure où il faudra de toute manière identifier ces praticiens externes dans la base locale du DPI.

Il n’en reste pas moins que le recours à des plateformes d’IdNum soulève d’autres questions. En tout premier lieu, la responsabilité en cas d’accès illégitime à une donnée patient (les cas d’indiscrétion cités plus haut), pour laquelle, à ce jour, la Cnil considère qu’elle relève avant tout de l’établissement en sa qualité de responsable de traitement. À notre connaissance, quand un cas identique se produit sur le DMP (qui requiert une authentification CPS) la Cnil ne pointe pas du doigt le responsable de traitement de la plateforme DMP (l’État), mais le praticien : en toute logique, le recours à une plateforme d’IdNum externe pour un accès au DPI devrait décharger les établissements de toute responsabilité en cas d’accès indu pour les mêmes raisons.

Ensuite, et c’est un grand classique dans l’IT en général et dans la santé en particulier, le recours à une plateforme d’IdNum externe ne doit surtout pas évacuer la question du fonctionnement dégradé en cas de panne de la même plateforme. Quand le seul moyen physique que posséderont les professionnels de santé pour se connecter au DPI interne sera une carte CPS avec une authentification sur un portail de type Pro Santé Connect, comment assurer cet accès quand ce service d’identification électronique sera en panne ? On retourne au bon vieux login/password local ? Comment le distribuer ? Comment s’assurer qu’il n’y a pas détournement d’usage, etc.

Enfin, il faut replacer ce débat dans le contexte plus général de l’anonymat en ligne. D’un côté, il est normal que l’on puisse créer un compte sur un réseau social quelconque sans forcément avoir à décliner une pièce d’identité officielle, mais, de l’autre, l’anonymat est indissociablement lié depuis quelques années à la question du harcèlement et de la diffamation en ligne, sujets sur lesquels l’ensemble de la classe politique rêve de répercuter dans le monde « virtuel » ce qui existe déjà dans le monde physique, à savoir la carte d’identité. Qu’une carte d’identité numérique soit utile et nécessaire pour accéder à des services tels que les impôts ou la banque ne fait débat pour personne. Une dérive largement prévisible consisterait à exiger des Gafam le recours à des plateformes d’IdNum avant toute création de compte sur un site comme Facebook. Bon, en même temps, si l’inscription à Ashley Madison requiert l’usage d’une IdNum officielle, le site va forcément fermer son accès en France… ou le voir limité à terme aux seuls VPN permettant de bypasser les IP françaises.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.