VigiDPI et la conformité
PGSSI-S
La PGSSI-S impose aux établissements de santé une traçabilité rigoureuse de chaque accès aux dossiers patients. VigiDPI automatise cette obligation et ajoute la couche de détection active que les guides ANS recommandent.
Qu'est-ce que la PGSSI-S ?
La Politique Générale de Sécurité des Systèmes d'Information de Santé est le cadre de référence publié par l'Agence du Numérique en Santé (ANS) — anciennement ASIP Santé — pour sécuriser les systèmes traitant des données de santé à caractère personnel.
Elle s'applique à l'ensemble des acteurs du système de santé : établissements de santé publics et privés, professionnels de santé libéraux, éditeurs de logiciels de santé et hébergeurs de données de santé (HDS). Sa base légale principale est l'article L. 1110-4 du Code de la santé publique, renforcé par l'arrêté du 26 février 2021 qui rend son application obligatoire pour les systèmes d'information hospitaliers.
La PGSSI-S se décompose en plusieurs guides thématiques. Pour la surveillance des accès aux dossiers patients, deux guides sont particulièrement déterminants : le Guide Traçabilité des accès aux données de santé et le Référentiel d'imputabilité, tous deux publiés par l'ANS et opposables en cas de contrôle CNIL.
Contexte réglementaire
La CNIL contrôle le respect de ces obligations dans le cadre du RGPD (Art. 32). En cas de violation constatée — accès non tracé, log altéré, absence de revue — les sanctions peuvent atteindre 10 M € ou 2 % du CA mondial pour les manquements aux mesures de sécurité (Art. 32), et jusqu'à 20 M € ou 4 % en cas de violation des droits fondamentaux des personnes (Art. 83 RGPD). L'amende Dedalus Biologie (1,5 M €, 2022) illustre la sévérité des contrôles dans le secteur santé.
Les trois obligations fondamentales
Issues du guide ANS Traçabilité et de l'arrêté du 26 février 2021.
Traçabilité nominative de chaque accès
Tout accès à un dossier patient — consultation, modification, impression, export — doit être enregistré avec l'identité de l'utilisateur, l'horodatage précis, la nature de l'action et l'identifiant du patient. L'arrêté du 26 février 2021 rend cette obligation applicable à tous les SI des établissements de santé.
CSP L. 1110-4 · Arrêté 26/02/2021 · Guide ANS Traçabilité
Revue et surveillance des journaux d'accès
La seule collecte des logs ne suffit pas. Les établissements doivent mettre en place une procédure de revue périodique des journaux, avec détection des accès anormaux et alerte. Le guide ANS Traçabilité recommande une revue a posteriori automatisée, complétée par une analyse humaine des alertes.
Guide ANS Traçabilité § Revue des journaux · PGSSI-S v1.1
Imputabilité et droit d'accès du patient
Chaque accès doit être imputable à une personne physique identifiée — les comptes génériques partagés sont prohibés. Par ailleurs, le patient peut demander à l'établissement la liste de toutes les personnes ayant accédé à son dossier (CSP L. 1111-7). L'établissement doit être en mesure de produire cet historique dans un délai raisonnable.
CSP L. 1111-7 · Référentiel d'imputabilité ANS · RGPD Art. 15
Le référentiel d'imputabilité ANS : les 8 champs requis
Le référentiel d'imputabilité publié par l'ANS définit les champs minimaux que chaque entrée de journal d'accès doit contenir pour être considérée comme imputable à une personne physique identifiée. VigiDPI normalise chaque événement DPI dans ce format canonique.
| Champ requis | Précision ANS | Champ VigiDPI |
|---|---|---|
| Identifiant de l'utilisateur | RPPS recommandé pour les professionnels de santé | actor_id + RPPS (champ optionnel) |
| Date et heure de l'action | Horodatage UTC, précision à la seconde | occurred_at (ISO 8601 avec offset) |
| Identifiant du patient | INS (Identité Nationale de Santé) recommandé | patient_id + INS (champ optionnel) |
| Nature de l'action | Lecture, modification, suppression, export, impression | action (read / search / update / export / break_glass) |
| Application ou module accédé | Nom du module DPI concerné | module (care / labs / imaging / admin) |
| Poste de travail | Identifiant ou adresse IP du terminal | workstation_id |
| Unité organisationnelle | Service ou UF de rattachement de l'acteur | org_unit_id |
| Résultat de l'action | Succès ou échec de l'opération | outcome (success / failure) |
Source : Référentiel d'imputabilité — Agence du Numérique en Santé (ANS)
Couverture PGSSI-S par VigiDPI
Le tableau ci-dessous présente chaque exigence et son mode de couverture. Il ne constitue pas un avis juridique : la conformité réelle dépend de votre contexte d'établissement et de votre déploiement spécifique.
Traçabilité des 8 champs du référentiel d'imputabilité ANS
CouvertChaque événement ingéré est normalisé vers un format canonique structuré contenant les 8 champs requis, signé par un hash SHA-256 garantissant l'intégrité.
Référentiel d'imputabilité ANS
Identification nominative de l'acteur
CouvertL'acteur est identifié par son identifiant métier. Le champ RPPS est supporté nativement pour les professionnels de santé inscrits au RASS.
PGSSI-S — Gestion des habilitations
Identification du patient par INS
CouvertLe patient_id supporte le format INS (NIR 15 chiffres). Le champ ins est stocké en complément de l'identifiant technique du DPI.
Référentiel INS — ANS
Revue automatisée des journaux et détection des anomalies
CouvertAnalyse en temps réel de chaque événement par un moteur de règles : accès VIP, hors garde, hors unité, sans séjour actif, volume anormal, export massif, break-glass non déclaré, accès post-sortie.
Guide Traçabilité ANS — Revue des journaux
Alerte et workflow de traitement des accès suspects
CouvertChaque anomalie déclenche une demande de justification par email. Le soignant répond via un portail sécurisé. Le DPO valide ou escalade vers NON_CONFORME.
PGSSI-S v1.1 — Procédures de contrôle
Conservation configurable des journaux
ConfigurableDurée de rétention paramétrable par l'établissement. Les bonnes pratiques sectorielles recommandent une conservation d'au moins 12 à 36 mois pour les journaux d'accès. La durée doit être calibrée selon le délai de prescription applicable et les obligations contractuelles de l'hébergeur.
Recommandations CNIL · Guide ANS Traçabilité
Intégrité et non-répudiation des logs
CouvertChaque événement canonique est protégé par un hash SHA-256 calculé sur l'ensemble des champs (algorithme déterministe). Toute altération est détectable.
Guide Traçabilité ANS — Intégrité
Production de l'historique des accès sur demande patient
CouvertL'API expose l'historique complet des accès par patient, filtrable par période, exportable en JSON ou CSV pour répondre à une demande d'exercice de droits.
CSP L. 1111-7 · RGPD Art. 15
Rapport CNIL structuré (Art. 32 RGPD)
CouvertRapport de conformité exportable : statistiques par règle, taux de justification, délai médian de traitement. Hash d'intégrité du rapport inclus.
RGPD Art. 32 · Délibération CNIL
Draft de notification de violation (Art. 33 RGPD)
CouvertPour chaque dossier qualifié NON_CONFORME, un brouillon de notification CNIL est généré automatiquement (nature, catégories, conséquences, mesures, délai 72 h).
RGPD Art. 33 · Guide CNIL
Mesures de sécurité opérateurs essentiels (NIS2)
CouvertVigiDPI contribue aux mesures de détection d'incidents et de journalisation imposées aux entités essentielles du secteur santé par la directive NIS2, dont la transposition en droit français est en cours (délai initial : octobre 2024).
Directive 2022/2555 — Art. 21
Articulation avec le RGPD et la directive NIS2
- Art. 5(1)f Intégrité et confidentialité — mesures techniques appropriées
- Art. 25 Privacy by design — traçabilité intégrée dès la conception
- Art. 32 Mesures de sécurité — base des exigences de traçabilité CNIL
- Art. 33 Notification à la CNIL sous 72 h en cas de violation
- Art. 15 Droit d'accès — historique des consultations du dossier
La directive NIS2 (délai de transposition : octobre 2024) classe les établissements de santé comme entités essentielles soumises à des obligations renforcées de cybersécurité et de détection d'incidents. Sa transposition en droit français est en cours.
- → Surveillance continue des accès aux SI critiques
- → Détection et notification des incidents sous 24 h (alerte préliminaire)
- → Journalisation et traçabilité des actions sur les SI
- → Contrôle des accès et gestion des privilèges
Droit du patient à l'historique des accès (CSP L. 1111-7)
Le Code de la santé publique reconnaît au patient le droit d'obtenir de l'établissement la liste de toutes les personnes physiques ayant accédé à son dossier médical. Ce droit, distinct du droit d'accès RGPD, crée une obligation de production dans un délai raisonnable. VigiDPI expose cette liste via son API, filtrable par patient et par période, exploitable par le DPO ou le service des droits des patients.
Textes de référence
Sources officielles consultées pour l'élaboration de VigiDPI.
Code de la santé publique — L. 1110-4
Secret médical et confidentialité des données de santé à caractère personnel.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Code de la santé publique — L. 1111-7
Droit d'accès du patient à son dossier médical et à l'historique des consultations.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Arrêté du 26 février 2021 (NOR : SSAH2100652A)
Référentiel de sécurité des systèmes d'information des établissements de santé.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Guide PGSSI-S — Traçabilité des accès aux données de santé
Référentiel ANS définissant les exigences de traçabilité des DPI (version 1.1).
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Référentiel d'imputabilité des accès — ANS
Champs obligatoires dans les journaux d'accès pour garantir l'imputabilité.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Référentiel INS — Identité Nationale de Santé
Spécification de l'identifiant national patient utilisé dans les journaux d'accès.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
RGPD — Règlement (UE) 2016/679
Articles 5, 25, 32, 33 et 34 relatifs à la sécurité et à la notification des violations.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Directive NIS2 — 2022/2555/UE
Mesures de cybersécurité pour les entités essentielles du secteur santé.
esante.gouv.fr / legifrance.gouv.fr / eur-lex.europa.eu →
Avertissement : Cette page présente le positionnement de VigiDPI au regard des principaux textes réglementaires. Elle ne constitue pas un avis juridique. La conformité d'un établissement dépend de sa situation propre, de son périmètre SI et de ses procédures internes. Nous vous recommandons de consulter votre DPO et, le cas échéant, un conseil spécialisé en droit de la santé numérique.
Voir VigiDPI sur votre type de DPI ?
En 20 minutes, nous vous montrons comment VigiDPI se connecte à votre DPI et quelles alertes auraient été levées sur un jeu de données réaliste.