La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)

Le mag numéro 10 | 22 nov. 2013
  
Manuel Metz, Chargé de mission expert au pôle technique et sécurité de l’ASIP Santé, revient pour Le Mag sur ce document structurant pour l’ensemble du secteur e-santé en France.


Qu’est-ce que la PGSSI-S ?


La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) désigne un ensemble de documents qui traitent de la sécurisation de données de santé dans le domaine de la santé et à terme médico-social et social. Ces documents sont destinés aux utilisateurs des systèmes informatiques dans l’exercice de leur profession et aux industriels qui leurs proposent solutions et services informatisés : professionnels de santé, techniciens informatiques, directeur des systèmes d’information, responsable des admissions en établissement de soins…etc.

L’ASIP Santé a été missionnée par la Délégation à la stratégie des systèmes d'information de santé (DSSIS) en juillet 2011 pour structurer et construire cet ensemble documentaire. La construction a ensuite suivi 3 étapes : élaboration, mise en concertation publique (via esante.gouv.fr) et enfin publication officielle d’une version amendée des différents commentaires reçus, toujours sur le site web de l’ASIP Santé.


 

A quoi sert-elle ?


La raison d’être de la PGSSI-S est avant tout d’assurer la protection et la confidentialité des données de santé et contribuer à une meilleure prise en charge des patients.

Pour cela, ce corpus d’une cinquantaine de pages poursuit deux objectifs : pour les professionnels du secteur de la santé, c’est la garantie d’une meilleure utilisation des outils informatiques, qui protège leur responsabilité ainsi que les données de santé de leurs patients. Pour les industriels, c’est un document de référence pour faire évoluer leur offre de produits et la conformer à des normes internationales en matière de sécurité. En outre, la mention de la conformité à des documents PGSSI-S est un gage de sérieux pour les futurs clients des éditeurs de logiciels. Comme le Cadre d’interopérabilité des systèmes d’information de santé, la PGSSI-S est un outil des pouvoirs publics pour contribuer à structurer la e-santé en France et à assurer la qualité de l’offre industrielle en matière d’informatique de santé.


 

Comment cela se présente-t-il ?


La PGSSI-S est constituée de deux types de documents :

Des documents à vocation normative qui, à terme, pourront être rendus opposables par arrêté ministériel. Ils présentent le cadre général de développement de systèmes d’information, les normes et référentiels à respecter. L’ASIP Santé a par exemple publié en juillet dernier le « Référentiel d’authentification des acteurs de santé », qui permet de choisir des moyens d’authentification (ex. mot de passe, carte de professionnel de santé…) d’un niveau de sécurité adapté aux usages.

Des documents d’information et d’aide pour une utilisation sécurisée de l’informatique de santé : Des guides pratiques, par exemple dans quelles conditions permettre l’accès à son système d’information dans le cadre d’une télémaintenance, et des guides d’aide à la mise en œuvre de la sécurité. Par exemple, le mémento de sécurité informatique pour les professionnels de santé en exercice libéral, qui propose des règles simples (l’importance de la sécurisation des locaux, la politique des mots de passe, …).