Points clés
- La directive NIS2 impose explicitement que les organes de direction des entités essentielles approuvent et supervisent les mesures de gestion des risques de cybersécurité — intégrer l'accréditation dans la gouvernance globale est donc une exigence légale et non une recommandation optionnelle pour les établissements de santé.
- Le rapport Goldacre (Royaume-Uni, 2022) sur la gouvernance des données de santé a recommandé que la gestion des habilitations d'accès aux données médicales soit supervisée par un comité de gouvernance des données au niveau de la direction, distinct du comité IT — une distinction qui élève l'accréditation au rang de décision de gouvernance stratégique.
- L'ISO 27001:2022 (contrôle 5.18) impose une revue régulière des droits d'accès comme contrôle obligatoire dans tout système de management de la sécurité de l'information certifié — faisant de la gouvernance des habilitations un critère d'audit de certification.
Intégrer l'accréditation dans la gouvernance globale de l'établissement signifie faire sortir la gestion des habilitations du périmètre exclusif de la DSI pour en faire un processus transversal impliquant la direction générale, la direction médicale, la direction des ressources humaines et les représentants des professionnels de santé. Cette transversalité est la condition d'une accréditation qui reflète les réalités organisationnelles et cliniques plutôt que les seules contraintes techniques.
Gouvernance croisée de l'accréditation
Une gouvernance croisée de l'accréditation réunit les parties prenantes qui ont chacune une légitimité et une responsabilité distinctes : la direction générale qui arbitre les priorités et répond des manquements réglementaires, la direction médicale qui valide les niveaux d'accès nécessaires aux différents profils de praticiens, la DRH qui maintient le référentiel des fonctions et déclenche les événements de cycle de vie (arrivée, départ, mutation), la DSI qui exécute techniquement les opérations d'habilitation et maintient les outils, et le DPO qui veille à la conformité RGPD des traitements d'accès.
Cette gouvernance doit être formalisée dans un comité dédié ou dans le comité de sécurité existant, avec des réunions à fréquence définie, un ordre du jour type incluant les indicateurs d'habilitation et des comptes rendus documentant les décisions.
Articulation avec la politique de sécurité globale
La politique d'accréditation ne doit pas être un document isolé mais s'articuler avec la PSSI de l'établissement, la charte informatique, la politique de protection des données et les procédures RH. Ces documents forment un ensemble cohérent qui définit le cadre dans lequel les habilitations sont gérées. Les incohérences entre ces documents — par exemple une charte informatique interdisant les comptes partagés mais des procédures RH ne mentionnant pas la gestion des accès lors des mutations — sont des sources de lacunes opérationnelles.
Gouvernance des habilitations dans les groupements et coopérations
La complexité de la gouvernance des habilitations augmente dans les groupements hospitaliers de territoire (GHT) et les coopérations entre établissements : des professionnels intervenant dans plusieurs structures du groupement doivent disposer d'accès dans chacune, synchronisés et cohérents. La gouvernance partagée des habilitations dans un GHT impose une politique commune, des processus harmonisés et un annuaire fédéré — des investissements dont la direction du groupement doit prendre l'initiative.
Cas institutionnel : Gouvernance des identités numériques dans les GHT — France (2022-2024)
Les Groupements Hospitaliers de Territoire (GHT) créés par la loi de modernisation du système de santé de 2016 ont posé un défi de gouvernance des identités : les professionnels intervenant dans plusieurs établissements du groupement ont besoin d'accès cohérents à des systèmes hétérogènes. Plusieurs GHT ont engagé depuis 2022 des programmes d'annuaire fédéré permettant de gérer les identités professionnelles au niveau du groupement et de les propager vers les systèmes de chaque établissement. Ces programmes nécessitent une gouvernance décisionnelle au niveau de la direction du GHT — illustrant que l'accréditation dans des structures complexes est un enjeu de gouvernance stratégique avant d'être un projet technique.
Les Conditions of Participation des Centers for Medicare & Medicaid Services (CMS) imposent aux hôpitaux participant aux programmes fédéraux de documenter leur gouvernance des droits d'accès aux informations médicales. Les enquêtes CMS vérifient régulièrement que la gouvernance des accès est supervisée au niveau de la direction et pas seulement déléguée aux équipes techniques, avec des conséquences sur le statut de participation aux programmes en cas de lacunes constatées.
La certification HAS dans sa version 2024 évalue explicitement la gouvernance du système d'information de l'établissement, incluant un critère sur la supervision des droits d'accès aux données médicales par les instances de gouvernance. Ce critère est évalué lors des visites de certification et peut conditionner l'obtention ou le renouvellement de la certification — faisant de la gouvernance des habilitations un enjeu de certification hospitalière.
La Joint Commission International (JCI), référence mondiale de certification hospitalière avec plus de 1 300 établissements certifiés dans 100 pays, inclut dans ses standards 2023 des critères explicites sur la gouvernance des accès aux données médicales. Les établissements certifiés JCI en Asie (Singapour, Corée du Sud, Émirats arabes unis, Thaïlande) doivent démontrer que leurs politiques d'habilitation sont approuvées et supervisées par la direction — un standard international applicable indépendamment de la juridiction locale.