Cybersecurity

PGSSI-S : la politique de sécurité des SI de santé expliquée (guide 2026)

PGSSI-S : référentiels opposables (art. L.1470-5 CSP), guides ANS, INS, MSSanté, signalement des incidents, programme CaRE. Guide 2026 pour DSI et RSSI santé.

En une phrase. La PGSSI-S (politique générale de sécurité des systèmes d’information de santé) est le corpus national de référentiels et de guides, piloté par l’Agence du Numérique en Santé (ANS), qui fixe les règles de sécurité applicables aux SI du secteur santé et médico-social français ; certains de ses référentiels, approuvés par arrêté sur le fondement du code de la santé publique, sont juridiquement opposables aux établissements, professionnels et éditeurs.

Contrairement à une PSSI d’entreprise — document interne propre à une organisation (voir notre guide de rédaction d’une PSSI) — la PGSSI-S est une politique nationale : un cadre commun que chaque acteur de santé décline. Elle est devenue incontournable avec la numérisation massive du secteur (Mon espace santé, téléconsultation) et la multiplication des cyberattaques contre les hôpitaux (Rouen 2019, Dax et Villefranche-sur-Saône 2021, CHSF de Corbeil-Essonnes 2022 avec exfiltration et publication de données de patients).

Ce guide présente l’architecture de la PGSSI-S, les référentiels opposables, les obligations de signalement d’incidents et le programme de financement CaRE.

Points clés

  • Corpus piloté par l’ANS (ex-ASIP Santé), organisé en principes fondateurs, référentiels et guides pratiques.
  • Fondement d’opposabilité : les référentiels de sécurité et d’interopérabilité approuvés par arrêté s’imposent aux acteurs (code de la santé publique, notamment art. L.1470-5).
  • INS : le référentiel identifiant national de santé est obligatoire depuis le 1er janvier 2021 pour référencer les données de santé.
  • Signalement des incidents : obligation pour les établissements de santé depuis le décret n° 2016-1214 du 12 septembre 2016 (art. L.1111-8-2 CSP), via le portail national de l’ANS.
  • Programme CaRE (2023) : plan national de renforcement cyber des établissements, doté de 250 M€ sur 2023-2025 dans le cadre d’une ambition de 750 M€ d’ici 2027.

1. Architecture de la PGSSI-S

Le corpus, publié sur esante.gouv.fr, s’organise en trois étages :

  1. Principes fondateurs : le document chapeau qui fixe les objectifs (disponibilité, intégrité, confidentialité, auditabilité des SI de santé) et la gradation des exigences par paliers.
  2. Référentiels : documents normatifs, dont certains rendus opposables par arrêté — identification électronique des acteurs, identifiant national de santé (INS), force probante, imagerie.
  3. Guides pratiques : recommandations opérationnelles — sécurisation des dispositifs médicaux connectés, télémaintenance, plans de continuité, gestion des habilitations, destruction des supports.

S’y ajoutent les services socles nationaux dont l’usage est réglementé : MSSanté (messageries sécurisées de santé), Pro Santé Connect (identification électronique des professionnels via e-CPS), Mon espace santé côté usagers.

2. Ce qui est juridiquement opposable

Le code de la santé publique permet de rendre les référentiels d’interopérabilité et de sécurité opposables par arrêté. Trois obligations structurantes :

L’INS

Depuis le 1er janvier 2021, toute donnée de santé doit être référencée avec l’identité nationale de santé (matricule INS + traits d’identité qualifiés). Le référentiel INS impose des exigences de qualification de l’identité et s’accompagne du référentiel national d’identitovigilance (RNIV). Les éditeurs de logiciels de santé doivent être « INS-compatibles ».

L’identification électronique

Le référentiel d’identification électronique des acteurs de santé encadre les moyens d’authentification (cartes CPS/e-CPS, Pro Santé Connect), avec des niveaux de garantie alignés sur eIDAS — voir notre guide eIDAS.

Le signalement des incidents

Les établissements de santé, hôpitaux des armées, laboratoires de biologie médicale et centres de radiothérapie doivent signaler sans délai les incidents graves de sécurité des systèmes d’information (art. L.1111-8-2 CSP, décret n° 2016-1214), via le portail national de signalement de l’ANS. Le dispositif alimente le CERT Santé, qui assure appui et veille. Cette obligation se cumule avec la notification de violation de données à la CNIL sous 72 h lorsque des données personnelles sont compromises, et désormais avec les obligations NIS2 pour les établissements entrant dans son périmètre — le secteur santé est un secteur hautement critique de l’annexe I.

3. PGSSI-S, HDS, RGPD : trois couches distinctes

Les trois régimes se cumulent sans se confondre :

  • PGSSI-S : règles nationales de sécurité et d’interopérabilité des SI de santé (comment sécuriser et faire communiquer les systèmes).
  • Certification HDS : certification obligatoire de l’hébergeur de données de santé pour compte de tiers.
  • RGPD : licéité et gouvernance du traitement des données de santé, données sensibles de l’article 9 — AIPD, durées de conservation, droits des patients, encadrement des sous-traitants (voir notre guide RGPD et données de santé).

Un projet de télésurveillance, par exemple, devra : héberger chez un HDS, référencer les patients à l’INS, authentifier les professionnels via Pro Santé Connect, mener une AIPD, et signaler ses incidents à la fois à l’ANS et à la CNIL. La cartographie unique des traitements et des systèmes est le seul moyen de tenir ces exigences ensemble — c’est précisément ce que Legiscope automatise en croisant registre RGPD, actifs SI et obligations sectorielles.

4. Le programme CaRE et la trajectoire 2026

Après l’attaque du CHSF de Corbeil-Essonnes (août 2022, rançon demandée de 10 M$, données de patients publiées), l’État a lancé fin 2023 le programme CaRE (Cybersécurité accélération et Résilience des Établissements) : 250 M€ sur 2023-2025, dans une ambition affichée de 750 M€ d’ici 2027, pilotée par l’ANS et la délégation au numérique en santé. Axes : exposition sur Internet (audits et remédiation des domaines exposés), annuaires Active Directory, continuité d’activité et exercices de crise, financements conditionnés à des indicateurs de sécurité.

Pour un établissement, la feuille de route 2026 réaliste :

  1. Cartographier le SI et les flux (méthode de cartographie) ;
  2. Décliner la PGSSI-S dans une PSSI d’établissement à jour ;
  3. Traiter les fondamentaux : MFA, sauvegardes déconnectées, cloisonnement AD — le socle du guide d’hygiène ANSSI ;
  4. Tester un plan de continuité d’activité en mode dégradé (fonctionnement sans SI pendant 72 h) ;
  5. Préparer NIS2 : enregistrement, gouvernance, notification 24 h/72 h — les établissements de santé comptent parmi les entités essentielles de la directive.

FAQ

La PGSSI-S s’applique-t-elle aux éditeurs de logiciels de santé ?

Oui, indirectement et de plus en plus directement : les référentiels opposables (INS, identification électronique) conditionnent la mise sur le marché effective des logiciels, et les dispositifs de référencement (Ségur numérique, Mon espace santé) imposent la conformité aux exigences ANS. Un éditeur non conforme est de facto exclu des financements Ségur.

Quelle différence entre PGSSI-S et PSSI ?

La PGSSI-S est la politique nationale du secteur santé, opposable pour partie ; la PSSI est le document interne par lequel chaque organisation décline ses règles de sécurité. Un établissement de santé doit avoir sa propre PSSI, conforme à la PGSSI-S.

Qui doit signaler les incidents de sécurité SI en santé ?

Les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie (art. L.1111-8-2 CSP), sans délai, via le portail de signalement de l’ANS. Le CERT Santé apporte un appui à la remédiation. La notification CNIL reste due en parallèle en cas de violation de données personnelles.

La PGSSI-S impose-t-elle un hébergement HDS ?

Ce sont deux obligations distinctes mais convergentes : l’obligation HDS découle de l’article L.1111-8 CSP dès qu’il y a hébergement de données de santé pour compte de tiers ; la PGSSI-S fixe les règles de sécurité des systèmes. Tout projet sérieux applique les deux.

Conclusion

La PGSSI-S a transformé la sécurité des SI de santé d’un sujet de recommandations en un cadre partiellement opposable, financé (CaRE, Ségur) et contrôlé. Pour les DSI et RSSI du secteur, la difficulté n’est plus de savoir quoi faire — les référentiels sont publics et précis — mais d’orchestrer les couches : PGSSI-S, HDS, RGPD, bientôt NIS2. Ceux qui tiennent une cartographie unique et un socle documentaire mutualisé absorberont ces exigences ; les autres les subiront audit après audit.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →