1. Définition et enjeux
Qu'est-ce que la PGSSI-S ?
La PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) est un corpus documentaire établi par l'Agence du Numérique en Santé (ANS), anciennement ASIP Santé. Elle fixe les règles de sécurité pour l'e-santé et s'impose à tous les acteurs qui traitent des données de santé à caractère personnel.
La PGSSI-S s'applique aux secteurs public et privé, incluant :
- Établissements de santé publics et privés
- Établissements et services médico-sociaux (ESMS)
- Établissements du secteur social
- Professionnels de santé libéraux
- Fournisseurs de services numériques de santé
- Éditeurs de logiciels métiers de santé
Bon à savoir : La PGSSI-S complète le RGPD en précisant les mesures techniques et organisationnelles de sécurité spécifiques au secteur de la santé.
Enjeux pour les ESMS
Pour les établissements et services médico-sociaux, la PGSSI-S est essentielle pour :
- Protéger les données de santé des usagers stockées dans le DUI
- Sécuriser les échanges avec les partenaires (ARS, MDPH, hôpitaux, Mon Espace Santé)
- Garantir la disponibilité des systèmes d'information critiques
- Se prémunir contre les cybermenaces (ransomwares, phishing, intrusions)
- Respecter les obligations du Ségur du numérique
- Faciliter l'interopérabilité avec les systèmes nationaux de santé
Structure du corpus documentaire
La PGSSI-S se compose de plusieurs types de documents :
- Référentiels : exigences opposables, souvent rendues obligatoires par arrêté ministériel
- Guides techniques : recommandations pratiques de mise en œuvre
- Fiches pratiques : synthèses thématiques
- Guides organisationnels : méthodologies d'organisation de la sécurité
Évolution continue : Les documents de la PGSSI-S sont régulièrement mis à jour pour s'adapter aux évolutions technologiques et réglementaires. Consultez régulièrement le site esante.gouv.fr.
2. Obligations et exigences
Mesures de sécurité organisationnelles
La PGSSI-S impose aux ESMS la mise en place de mesures organisationnelles structurantes :
- Nomination d'un RSSI (Responsable de la Sécurité des Systèmes d'Information) ou d'un référent sécurité
- Politique de sécurité des SI : document formalisé et validé par la direction
- Analyse des risques : identification et évaluation des menaces sur le SI
- Plan d'action sécurité : priorisation des mesures de sécurité
- Procédures de sécurité : gestion des incidents, sauvegardes, mises à jour
- Sensibilisation du personnel : formation aux bonnes pratiques de sécurité
- Continuité et reprise d'activité : PCA (Plan de Continuité d'Activité) et PRA (Plan de Reprise d'Activité)
Mesures de sécurité techniques
La PGSSI-S définit des exigences techniques précises, notamment :
Contrôle d'accès et authentification
- Authentification forte pour accéder aux données de santé
- Gestion des habilitations (qui accède à quoi)
- Identifiant unique et personnel pour chaque utilisateur
- Révocation immédiate des accès en cas de départ
- À partir de 2026 : identification électronique de niveau substantiel (eIDAS)
Chiffrement
- Chiffrement des données sensibles en base de données
- Chiffrement des communications (HTTPS, TLS)
- Chiffrement des sauvegardes et archives
- Chiffrement des supports amovibles (clés USB, disques durs externes)
Traçabilité
- Journalisation des accès aux dossiers usagers
- Traçabilité des modifications apportées aux données
- Conservation des logs pendant au moins 6 mois
- Impossibilité de modifier les traces (logs immuables)
Sauvegardes
- Sauvegardes régulières et automatisées
- Stockage des sauvegardes sur site distant (hors ligne)
- Tests de restauration réguliers
- Chiffrement des sauvegardes
Sécurisation des postes de travail
- Antivirus et pare-feu à jour
- Mises à jour de sécurité automatiques
- Verrouillage automatique des sessions
- Interdiction des logiciels non autorisés
Gestion des incidents
- Procédure de détection et de signalement des incidents
- Notification à la CNIL sous 72h en cas de violation de données
- Notification à l'ARS en cas de cyberattaque
- Analyse post-incident et mesures correctives
Niveaux de sécurité
La PGSSI-S définit une approche progressive avec 3 niveaux de sécurité :
- Niveau 1 (NP1) : socle minimal de sécurité pour tous les acteurs
- Niveau 2 (NP2) : niveau intermédiaire pour structures de taille moyenne
- Niveau 3 (NP3) : niveau avancé pour grandes structures et traitements sensibles
Les ESMS de petite taille peuvent se concentrer sur le NP1, tandis que les groupes gestionnaires importants devront viser le NP2 ou NP3.
Approche progressive : La PGSSI-S favorise une démarche d'amélioration continue. Il n'est pas nécessaire d'atteindre immédiatement le niveau 3, mais d'avoir une feuille de route d'amélioration.
Exigences 2026
À partir de 2026, de nouvelles exigences entreront en vigueur :
- Identification électronique : moyens d'identification électronique de niveau substantiel eIDAS pour accéder aux données de santé
- Double authentification : authentification multi-facteurs (MFA) obligatoire pour les accès distants
- Homologation renforcée : obligation d'homologation de sécurité pour tous les SI traitant des données de santé
3. Mise en œuvre et homologation
Démarche de mise en conformité PGSSI-S
La mise en conformité avec la PGSSI-S suit une démarche structurée en plusieurs étapes :
- Désigner un responsable : nommer un RSSI ou un référent sécurité
- Cartographier le SI : recenser les applications, serveurs, données
- Analyser les risques : utiliser la méthode EBIOS ou équivalent
- Définir le plan d'action : prioriser les mesures à mettre en œuvre
- Mettre en œuvre les mesures : déploiement technique et organisationnel
- Homologuer le SI : obtenir l'attestation d'homologation
- Maintenir en condition de sécurité : surveillance continue et amélioration
Homologation de sécurité
L'homologation de sécurité est une démarche obligatoire pour les systèmes d'information traitant des données de santé. Elle consiste à :
- Réaliser une analyse de risques formalisée
- Définir un plan de traitement des risques
- Obtenir une décision d'homologation signée par l'autorité d'homologation (directeur)
- Renouveler l'homologation tous les 3 ans ou en cas de modification majeure
Dossier d'homologation : Le dossier d'homologation comprend : la politique de sécurité, l'analyse de risques, le plan de traitement des risques, la décision d'homologation et les procédures de sécurité.
Rôle du RSSI
Le Responsable de la Sécurité des Systèmes d'Information (RSSI) ou référent sécurité a pour missions :
- Élaborer et maintenir la politique de sécurité des SI
- Piloter l'analyse des risques et le plan d'action sécurité
- Coordonner l'homologation des systèmes d'information
- Superviser la gestion des incidents de sécurité
- Sensibiliser et former les personnels
- Assurer la veille sur les menaces et vulnérabilités
- Être l'interlocuteur de l'ARS et de l'ANSSI en matière de sécurité
Continuité et reprise d'activité
La PGSSI-S exige la mise en place de dispositifs de continuité d'activité :
- PCA (Plan de Continuité d'Activité) : maintien des activités critiques en cas d'incident majeur
- PRA (Plan de Reprise d'Activité) : restauration des systèmes et données après sinistre
- RTO (Recovery Time Objective) : durée maximale d'interruption acceptable
- RPO (Recovery Point Objective) : perte de données maximale acceptable
- Tests réguliers : simulation de crise et tests de restauration
Importance critique : La cybermenace est en forte augmentation dans le secteur médico-social. Un PCA/PRA efficace peut faire la différence entre une interruption de quelques heures et une paralysie de plusieurs semaines.
4. Cadre réglementaire
Textes applicables
- Article L.1110-4 du Code de la santé publique ↗ - Secret médical et protection des données
- Article L.1111-8 du Code de la santé publique ↗ - Hébergement des données de santé
- Décret n° 2021-848 du 29 juin 2021 ↗ - Obligations de sécurité des systèmes d'information de santé
Référentiels PGSSI-S
- Référentiel d'identification électronique (à paraître en 2026)
- Référentiel sur les modalités d'échange (messageries sécurisées de santé)
- Référentiel sur la fonction d'archivage des documents de santé
- Référentiels sectoriels (établissements de santé, ESMS, cabinets libéraux)
Lien avec le Ségur du numérique
Le Ségur du numérique en santé impose aux ESMS la conformité à la PGSSI-S pour bénéficier du financement des DUI interopérables. Les exigences incluent :
- Respect des référentiels de sécurité PGSSI-S
- Homologation de sécurité du DUI
- Utilisation de moyens d'authentification conformes
- Messagerie sécurisée de santé (MSSanté)
Financement : La conformité à la PGSSI-S est un prérequis pour obtenir les financements du Ségur numérique (jusqu'à 28 000€ par établissement).
5. Ressources utiles
Sites officiels
Agence du Numérique en Santé (ANS)
Corpus documentaire complet de la PGSSI-S, référentiels, guides et fiches pratiques
Accéder au site esante.gouv.fr →Corpus documentaire PGSSI-S
Formation et accompagnement
- Plateforme de formation ANS ↗ : modules e-learning gratuits sur la PGSSI-S
- Support ANS ↗ : assistance technique et méthodologique
- Accompagnement des ARS : dispositifs d'appui régionaux
Veille et alertes
- CERT-FR (ANSSI) ↗ : bulletins d'alerte sur les vulnérabilités
- Cyberveille Santé ↗ : veille sectorielle sur les cybermenaces santé
- Newsletter ANS ↗ : actualités du numérique en santé
Contact
Agence du Numérique en Santé (ANS)
Tour Montparnasse
33 avenue du Maine
75015 Paris
contact@esante.gouv.fr
Formulaire de contact ↗
6. Services liés
Sécurité et conformité
Besoin d'aide pour votre conformité PGSSI-S ?
INTELIGIA vous accompagne dans l'analyse de risques, l'homologation de vos SI et la mise en place des mesures de sécurité PGSSI-S.