Phylapp
Confiance numérique et habilitation des professionnels

Les responsabilités des établissements dans la gestion des profils utilisateurs

La responsabilité des établissements dans la gestion des profils utilisateurs est explicitement légale — RGPD, NIS2, HDS — et désormais personnelle pour les dirigeants. La PSSI incluant la politique d'habilitation doit être approuvée au niveau de la direction.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 29 lectures

Points clés

  • La directive NIS2 (UE, 2022) établit une responsabilité directe des organes de direction des entités essentielles (dont les établissements de santé) pour les manquements aux mesures de cybersécurité, incluant la gestion des profils utilisateurs — les dirigeants peuvent être personnellement tenus responsables et faire l'objet de sanctions individuelles.
  • En France, le Code de la santé publique (article L. 1111-8) impose aux établissements de santé de garantir la confidentialité des données de santé, ce qui implique une responsabilité directe du chef d'établissement pour l'adéquation des contrôles d'accès aux données cliniques.
  • La certification HAS (Haute Autorité de Santé) dans sa version V2024 intègre un critère évaluant la gouvernance de la sécurité des systèmes d'information incluant la gestion des droits d'accès — faisant de la gouvernance des profils utilisateurs un critère de certification hospitalière opposable.

La responsabilité des établissements dans la gestion des profils utilisateurs n'est plus une recommandation de bonne pratique mais une obligation légale explicite dans un nombre croissant de cadres réglementaires. Pour les directions d'établissements de santé, comprendre l'étendue de cette responsabilité et les mécanismes par lesquels elle peut être engagée est une nécessité pour dimensionner correctement leur programme de gouvernance des identités.

Cette responsabilité est à la fois institutionnelle (l'établissement comme entité juridique) et personnelle (les dirigeants individuellement) dans les cadres les plus récents. L'argument "c'est une question technique gérée par la DSI" n'est pas un bouclier réglementaire : les autorités de contrôle considèrent que les décisions sur les droits d'accès aux données médicales relèvent de la gouvernance de l'établissement, pas uniquement de l'expertise technique.

Responsabilités réglementaires documentées

Le cadre réglementaire de la responsabilité des établissements dans la gestion des profils utilisateurs comprend plusieurs niveaux : (1) RGPD — le responsable de traitement (l'établissement) est responsable de la mise en place de mesures techniques et organisationnelles appropriées pour protéger les données personnelles, incluant des contrôles d'accès documentés, (2) NIS2 — les entités essentielles (dont les hôpitaux) doivent mettre en place des politiques de contrôle d'accès ; les dirigeants peuvent être tenus responsables du non-respect de ces obligations, (3) HDS — la certification hébergeur de données de santé impose des exigences spécifiques sur la gestion des comptes et des droits d'accès aux données hébergées.

Ces cadres se superposent sans se substituer : un établissement certifié HDS reste soumis au RGPD et à NIS2. Le référentiel le plus exigeant s'applique, et une conformité HDS n'exonère pas des obligations RGPD si les pratiques de gestion des accès sont insuffisantes au regard de ce dernier.

Gouvernance interne de la gestion des profils

La gouvernance interne de la gestion des profils utilisateurs doit être formalisée dans un document de politique de sécurité des systèmes d'information (PSSI) approuvé par la direction. Ce document doit préciser : les rôles responsables de l'attribution et de la révocation des droits d'accès, les délais maximaux pour chaque opération (attribution, révocation, modification), les niveaux d'approbation requis selon la sensibilité des accès demandés, et les mécanismes de contrôle permettant de vérifier que la politique est effectivement appliquée.

La séparation des responsabilités entre la DSI (qui exécute techniquement les opérations d'habilitation), les responsables métier (qui valident les droits nécessaires à leurs équipes) et la direction (qui arbitre les politiques et répond des manquements) est un prérequis de gouvernance. Une DSI qui prend seule les décisions d'habilitation sans validation métier produit des droits techniquement corrects mais fonctionnellement inappropriés.

Obligations de documentation et traçabilité

La documentation est une composante essentielle de la responsabilité : en cas d'incident ou d'audit, l'établissement doit être en mesure de démontrer qu'il disposait de politiques appropriées, qu'elles étaient effectivement appliquées et que les anomalies identifiées étaient traitées. Cette documentation inclut les journaux d'attribution et de révocation des droits, les résultats des recertifications périodiques, les rapports d'audit des comptes actifs et les procès-verbaux des revues de sécurité présentant l'état des habilitations.

L'absence de documentation est fréquemment citée par les autorités de contrôle comme un facteur aggravant dans les sanctions : un établissement qui a subi un incident et ne peut pas démontrer qu'il avait mis en place des contrôles adaptés encourt des sanctions plus lourdes qu'un établissement dont les contrôles documentés ont été contournés malgré leur existence.

Cas institutionnel : Responsabilité des dirigeants — NIS2 et établissements de santé (UE, 2024)

La transposition de la directive NIS2 dans les droits nationaux des États membres (deadline octobre 2024) a introduit dans plusieurs pays (Allemagne, France, Pays-Bas, Belgique) une responsabilité personnelle explicite des dirigeants des entités essentielles pour les manquements aux obligations de cybersécurité. En France, l'article 20 de la loi de transposition NIS2 (en cours d'adoption à la date de rédaction) prévoit que les organes de direction doivent approuver les mesures de gestion des risques cybersécurité et peuvent être tenus responsables de leur non-mise en œuvre. Pour les établissements de santé, cela signifie que la PSSI — incluant la politique de gestion des profils utilisateurs — doit être présentée et approuvée formellement par la direction de l'établissement, pas seulement par la DSI.

Responsabilités des établissements dans la gestion des profils — cadres documentés
États-Unis — HHS OCR et responsabilité des dirigeants HIPAA (2023)
Le HHS Office for Civil Rights a précisé dans son plan stratégique 2023-2027 son intention d'intensifier les investigations sur les établissements de santé dont les lacunes en matière de contrôle d'accès contribuent à des violations répétées. Plusieurs CEO et COO d'établissements de santé ont été nommés personnellement dans des plans de correction imposés par le HHS, établissant un précédent sur la responsabilité individuelle des dirigeants dans la gestion des profils utilisateurs.
Union européenne — CNIL et responsabilité des établissements (2022-2023)
La CNIL a prononcé plusieurs sanctions en 2022-2023 contre des établissements de santé pour insuffisance des contrôles d'accès, en précisant systématiquement dans ses délibérations que la responsabilité incombe au responsable de traitement (l'établissement et ses dirigeants) et non à la seule équipe technique. Ces délibérations établissent une jurisprudence directement applicable à l'obligation de gouvernance des profils utilisateurs par les directions d'établissements.
Asie — PDPC Singapore et établissements de santé (2021-2023)
La Personal Data Protection Commission de Singapour a publié plusieurs décisions contre des établissements de santé pour insuffisance des contrôles d'accès aux dossiers patients, incluant des sanctions financières et des obligations comportementales (désignation d'un DPO, programme d'audit annuel). Les décisions précisent explicitement que la responsabilité de la gouvernance des données de santé, y compris les habilitations d'accès, incombe à la direction de l'organisation et ne peut pas être entièrement déléguée aux équipes techniques.

Articles similaires

L’accréditation des praticiens est un enjeu de sécurité organisationnelle

L'accréditation des praticiens est un enjeu de sécurité organisationnelle directement porté par la direction : comptes non désactivés, droits hérités et accès prestataires persistants sont les vecteurs d'intrusion les plus fréquents dans les systèmes de santé.

24 mai 2026 7 min

Pourquoi l’identité professionnelle est un maillon critique du numérique en santé

L'identité professionnelle numérique est le maillon critique de la sécurité des systèmes de santé : usurpation d'identifiants, comptes partagés et droits persistants fragilisent toutes les protections techniques en aval.

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des habilitations des professionnels

Les erreurs de gestion des habilitations — comptes non désactivés à la sortie, accumulation de droits, profils trop larges, comptes prestataires oubliés — constituent les vecteurs d'accès les plus exploités dans les incidents des systèmes de santé.

24 mai 2026 7 min
WhatsApp