Phylapp
Confiance numérique et habilitation des professionnels

Les conséquences d’une usurpation d’identité professionnelle

L'usurpation d'identité professionnelle dans les systèmes de santé numériques expose l'établissement à des responsabilités légales directes et compromet la sécurité des patients : prescriptions frauduleuses, accès aux dossiers et modifications non autorisées.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Aux États-Unis, des cas documentés d'usurpation d'identité de médecins pour obtenir des prescriptions de stupéfiants ont conduit à des poursuites pénales et à des révocations de licence — illustrant que les conséquences d'une usurpation d'identité professionnelle dépassent le périmètre numérique et engagent directement la responsabilité légale des praticiens dont l'identité a été usurpée.
  • En France, l'utilisation frauduleuse d'une carte CPx constitue un délit pénal (article 226-19 du Code pénal) et peut engager la responsabilité disciplinaire du praticien dont l'identité a été utilisée si des négligences dans la protection de ses identifiants sont établies.
  • L'Ordre National des Médecins (France) a traité en 2023 plusieurs cas de praticiens dont les numéros RPPS avaient été utilisés pour émettre des ordonnances frauduleuses via des plateformes de téléconsultation insuffisamment sécurisées — une forme d'usurpation d'identité professionnelle facilitée par des mécanismes d'authentification insuffisants.

L'usurpation d'identité professionnelle dans le domaine de la santé est une menace aux conséquences particulièrement graves : elle peut mettre en danger des patients (prescriptions frauduleuses, accès non autorisé à des données cliniques, modifications de dossiers), engager la responsabilité pénale et civile des praticiens dont l'identité a été usurpée, et porter atteinte à la confiance dans les systèmes de santé numériques.

Formes d'usurpation d'identité professionnelle

L'usurpation d'identité professionnelle prend plusieurs formes dans le contexte numérique : (1) utilisation des identifiants d'un praticien par un tiers (vol de mot de passe, utilisation du poste laissé déverrouillé), (2) usurpation du numéro RPPS ou de l'identité professionnelle pour accéder à des services numériques sans les identifiants réels du praticien (exploitation de contrôles d'authentification insuffisants), (3) ingénierie sociale ciblant les équipes IT pour obtenir la création ou la modification de comptes professionnels, (4) usurpation externe utilisant l'identité d'un praticien réel pour créer des contenus frauduleux (fausses ordonnances, faux certificats numériques).

Conséquences pour l'établissement

Pour l'établissement, une usurpation d'identité professionnelle dans ses systèmes génère plusieurs types de conséquences : responsabilité légale pour les actes réalisés frauduleusement via ses systèmes (l'établissement a une obligation de sécurité des moyens d'identification), coûts forensiques pour déterminer l'étendue des accès frauduleux, notifications obligatoires aux régulateurs et aux patients si des données médicales ont été consultées ou modifiées, et impact réputationnel auprès des praticiens dont la confiance dans les outils numériques de l'établissement est ébranlée.

Mesures de prévention

La prévention de l'usurpation d'identité professionnelle passe par l'authentification forte (MFA, carte CPx), la sensibilisation des praticiens aux bonnes pratiques (verrouillage des postes, non-partage des identifiants, signalement des tentatives de phishing), la détection des comportements anormaux (connexions simultanées depuis plusieurs localisations, accès à des horaires inhabituels), et la procédure de signalement et de réponse rapide en cas d'usurpation suspectée.

Cas documenté : Usurpation d'identité médicale sur plateformes de téléconsultation (France/International, 2022-2023)

Plusieurs enquêtes journalistiques et rapports de l'Ordre des Médecins ont documenté entre 2022 et 2023 des cas d'utilisation frauduleuse de numéros RPPS de médecins réels sur des plateformes de téléconsultation peu ou pas régulées. Des prescriptions de médicaments (dont des anxiolytiques et des antidouleurs) ont été émises sous l'identité de médecins qui n'avaient jamais exercé sur ces plateformes. La quasi-totalité des cas exploitait l'absence de vérification réelle des identifiants professionnels lors de l'inscription sur ces plateformes — un contrôle d'accréditation insuffisant permettant l'usurpation d'identité à grande échelle. Les plateformes impliquées ont été mises en demeure par l'Ordre des Médecins et ont dû renforcer leurs processus de vérification.

Usurpation d'identité professionnelle — cas documentés
États-Unis — DEA et usurpation d'identité prescripteur (2022)
La Drug Enforcement Administration (DEA) a documenté en 2022 une augmentation de 40 % des incidents d'usurpation d'identité de médecins pour l'émission frauduleuse d'ordonnances de substances contrôlées via des systèmes de prescription électronique. Ces incidents exploitaient des mécanismes d'authentification insuffisants dans certains systèmes de prescription. La DEA a renforcé ses exigences d'authentification forte pour les prescriptions électroniques de substances contrôlées (EPCS rules).
Union européenne — Ordres professionnels et identité numérique (2023)
Les ordres professionnels de santé de plusieurs pays européens (France, Belgique, Pays-Bas) ont signalé en 2023 des tentatives d'usurpation d'identité professionnelle à des fins de fraude à l'assurance maladie. Ces incidents ont conduit à des recommandations conjointes pour le renforcement des mécanismes de vérification des identités professionnelles dans les systèmes de facturation et de remboursement, et pour l'adoption plus rapide des identités eIDAS qualifiées pour les professionnels de santé.
Asie — MOH Singapour et identités médicales (2022)
Le Ministry of Health de Singapour a renforcé en 2022 ses exigences de vérification des identités professionnelles pour les plateformes de télémédecine après la détection de plusieurs cas d'exercice frauduleux sous des identités médicales empruntées. Les nouvelles exigences imposent une vérification en temps réel contre le Singapore Medical Council Register pour tout praticien s'inscrivant sur une plateforme de télémédecine — une mesure directement corrective face aux usurpations documentées.

Articles similaires

L’accréditation des praticiens est un enjeu de sécurité organisationnelle

L'accréditation des praticiens est un enjeu de sécurité organisationnelle directement porté par la direction : comptes non désactivés, droits hérités et accès prestataires persistants sont les vecteurs d'intrusion les plus fréquents dans les systèmes de santé.

24 mai 2026 7 min

Pourquoi l’identité professionnelle est un maillon critique du numérique en santé

L'identité professionnelle numérique est le maillon critique de la sécurité des systèmes de santé : usurpation d'identifiants, comptes partagés et droits persistants fragilisent toutes les protections techniques en aval.

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des habilitations des professionnels

Les erreurs de gestion des habilitations — comptes non désactivés à la sortie, accumulation de droits, profils trop larges, comptes prestataires oubliés — constituent les vecteurs d'accès les plus exploités dans les incidents des systèmes de santé.

24 mai 2026 7 min
WhatsApp