Publicité en cours de chargement...

Publicité en cours de chargement...

Identité numérique : quel apport pour les SI de santé ?

21 sept. 2021 - 11:02,
Tribune - Cédric Cartau
L’identité numérique (IdNum) est certainement un sujet dont on va entendre parler dans les prochains mois et les prochaines années.

N’importe qui peut se créer un compte sur n’importe quelle plateforme en ligne. Dans pas mal de cas, peu importe l’identité de la personne physique qui se trouve derrière ce compte (tant que rien de répréhensible n’est commis s’entend) : choisissez de vous présenter sur Instagram sous le pseudo d’un personnage de manga si cela vous chante. Mais il existe plusieurs cas d’usage où la vérification de l’identité de la personne en ligne est primordiale : refaire une carte grise, accéder à ses comptes bancaires, déclarer ses impôts, etc. D’où l’intérêt d’une IdNum.

Une IdNum suppose au moins quatre éléments : un compte (identifiant et mot de passe) sur une plateforme agréée, un processus de vérification d’identité en face à face, un média pour une authentification à double facteur (MFA, smartphone le plus souvent) et un service d’IdNum invocable par des protocoles ouverts (API, etc.). Certes, il existe déjà FranceConnect (qui permet de se connecter à la CPAM avec son compte impots.gouv.fr ou l’inverse), mais dont l’IdNum n’a pas été créée en respectant le deuxième et le troisième élément (face-à-face et mise en œuvre de la MFA). FranceConnect est bien une identité numérique, mais dont le niveau de confiance n’est pas au niveau de ce que l’on peut atteindre avec un face-à-face et la MFA. À terme, la création de plateformes d’IdNum est donc dans la logique des choses pour l’accès à certains services qui délégueront l’action technique d’identification/authentification à une plateforme d’IdNum agréée.

Dans le monde de la santé, l’IdNum est utile dans deux contextes bien distincts : identifier de manière sûre à la fois les patients et les professionnels de santé qui accèdent à des données médicales nominatives dans les cas d’usage autorisés par le Code de la santé publique, et qui au demeurant dépassent largement le strict contexte de la prise en charge médicale.

Pour ce qui concerne les patients, disposer d’une IdNum permet de sécuriser et de fluidifier plusieurs processus. Une préadmission en ligne peut être ainsi facilement mise en place : une admission nécessite un face-à-face entre un admissionniste et un patient, mais une identité numérique préalablement validée par une autorité externe raccourcit d’autant l’admission (sans pour autant éliminer l’entretien en vis-à-vis, attendu qu’il existe des cas d’usurpation d’identité par les patients eux-mêmes, certes rares mais très dangereux). On pense aussi à l’accès d’un patient à son DMP ou à son dossier patient de GHT (sans identité numérique, quasiment aucun CH/CHU/GHT ne dispose de moyens RH pour assurer les créations de comptes avec la gestion des mots de passe oubliés, des comptes verrouillés, etc.). L’ouverture massive des DP aux patients eux-mêmes ne pourra être réalisée sans IdNum généralisée sur le territoire, et il y a fort à parier que les grandes plateformes (de prise de RDV, par exemple) se connecteront rapidement à ces fournisseurs d’IdNum.

Pour les professionnels de santé, l’enjeu est différent. Puisqu’ils sont déjà tous identifiés dans des annuaires nationaux (RPPS, entre autres), la mise en place d’un service d’IdNum est plus simple. En revanche, le bénéfice est largement moindre : d’une part, le médecin X qui utilise sa carte CPS et une authentification sur un service externe pour accéder au DPI de son établissement devra obligatoirement renseigner cette IdNum sur ledit DPI (sinon n’importe quel médecin y aurait accès) et, d’autre part, cela n’empêchera nullement les indiscrétions (le professionnel X qui accède aux données médicales du patient Y qu’il ne prend pas en charge par simple curiosité), point qui ne peut être réglé que par la question des habilitations, forcément locale au DPI. Cela ne simplifiera pas (ni ne complexifiera, du reste) l’accès de praticiens hors établissement au DPI de l’établissement (partenariats médicaux, continuité de prise en charge, etc.) dans la mesure où il faudra de toute manière identifier ces praticiens externes dans la base locale du DPI.

Il n’en reste pas moins que le recours à des plateformes d’IdNum soulève d’autres questions. En tout premier lieu, la responsabilité en cas d’accès illégitime à une donnée patient (les cas d’indiscrétion cités plus haut), pour laquelle, à ce jour, la Cnil considère qu’elle relève avant tout de l’établissement en sa qualité de responsable de traitement. À notre connaissance, quand un cas identique se produit sur le DMP (qui requiert une authentification CPS) la Cnil ne pointe pas du doigt le responsable de traitement de la plateforme DMP (l’État), mais le praticien : en toute logique, le recours à une plateforme d’IdNum externe pour un accès au DPI devrait décharger les établissements de toute responsabilité en cas d’accès indu pour les mêmes raisons.

Ensuite, et c’est un grand classique dans l’IT en général et dans la santé en particulier, le recours à une plateforme d’IdNum externe ne doit surtout pas évacuer la question du fonctionnement dégradé en cas de panne de la même plateforme. Quand le seul moyen physique que posséderont les professionnels de santé pour se connecter au DPI interne sera une carte CPS avec une authentification sur un portail de type Pro Santé Connect, comment assurer cet accès quand ce service d’identification électronique sera en panne ? On retourne au bon vieux login/password local ? Comment le distribuer ? Comment s’assurer qu’il n’y a pas détournement d’usage, etc.

Enfin, il faut replacer ce débat dans le contexte plus général de l’anonymat en ligne. D’un côté, il est normal que l’on puisse créer un compte sur un réseau social quelconque sans forcément avoir à décliner une pièce d’identité officielle, mais, de l’autre, l’anonymat est indissociablement lié depuis quelques années à la question du harcèlement et de la diffamation en ligne, sujets sur lesquels l’ensemble de la classe politique rêve de répercuter dans le monde « virtuel » ce qui existe déjà dans le monde physique, à savoir la carte d’identité. Qu’une carte d’identité numérique soit utile et nécessaire pour accéder à des services tels que les impôts ou la banque ne fait débat pour personne. Une dérive largement prévisible consisterait à exiger des Gafam le recours à des plateformes d’IdNum avant toute création de compte sur un site comme Facebook. Bon, en même temps, si l’inscription à Ashley Madison requiert l’usage d’une IdNum officielle, le site va forcément fermer son accès en France… ou le voir limité à terme aux seuls VPN permettant de bypasser les IP françaises.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.