Pourriez-vous revenir sur la création du Club RSSI Santé ?
Thomas Aubin : La création officielle du Club RSSI Santé en association loi 1901 remonte à 2023. Mais cette structuration est l’aboutissement d’une dynamique bien plus ancienne. Depuis plusieurs années, des RSSI hospitaliers échangeaient déjà de manière informelle. À l’origine, il s’agissait surtout de partager des retours d’expériences entre pairs confrontés aux mêmes problématiques. La création de l’association a permis de formaliser et d’institutionnaliser cette démarche, mais aussi de porter une voix unifiée auprès des instances nationales. Nous avons également fait le choix d’une présidence tournante, limitée à deux ans et non renouvelable, afin de préserver une vision réellement collective.
Parmi vos actions, le « clausier de sécurité » revient régulièrement. Est-ce un projet initié dès la création du Club ?
Oui, ce travail s’inscrit dans la continuité d’initiatives antérieures. Il trouve son origine à l’Assistance Publique - Hôpitaux de Marseille (AP-HM), où Philippe Touron et ses équipes avaient commencé à identifier des exigences de sécurité applicables aux marchés publics. Le Club RSSI Santé a ensuite enrichi et structuré cette base pour en faire un référentiel partagé. Le document a été rendu public à partir de 2024 sous licence ouverte. Progressivement, il a évolué vers un « clausier de conformité numérique », intégrant au-delà de la sécurité des enjeux comme le RGPD, avec l’appui d’autres acteurs, notamment le réseau des DPO hospitaliers et l’AFIB. L’ambition est d’harmoniser nos exigences à l’échelle nationale, y compris auprès des centrales d’achat avec la collaboration de la CAIH/UniHA.
À quand remonte la dernière version du clausier et comment évolue-t-il dans le temps ?
La dernière version date de mai 2025. Nous avons fait le choix d’un rythme de mise à jour annuel. Même si les enjeux évoluent rapidement, ce type de document demande un travail approfondi à chaque révision. Chaque nouvelle version intègre à la fois les évolutions réglementaires – nationales comme européennes – et des mesures enrichies, en fonction de l’actualité du moment. En 2025, nous avons introduit un premier volet dédié à l’intelligence artificielle, couvrant des sujets majeurs comme la conformité à l’AI Act, la transparence des modèles, l’information sur les biais ou encore la souveraineté des données. La version 2026 ira plus loin, pour répondre à la montée en maturité des établissements et la diffusion de ces technologies.
Quels seront les principaux axes d’évolution du clausier en 2026 ?
Nous avons engagé un important travail de clarification et d’harmonisation. Certains points ont été simplifiés ou précisés à partir des retours des établissements et des industriels, afin de rendre le document plus opérationnel. Le véritable enjeu, désormais, porte sur l’intégration du clausier dans les processus d’achats. Nous travaillons à des propositions pour faciliter son utilisation dans les marchés publics, afin qu’il devienne un levier concret d’évaluation et d’exigences vis-à-vis des prestataires, tout en restant compatible avec les contraintes et les pratiques des établissements.
Disposez-vous de retours sur son utilisation ?
Oui, plusieurs établissements se sont déjà approprié le clausier, avec des niveaux d’intégration variables. L’objectif est d’aller vers une adoption la plus large possible, car il constitue un socle commun de sécurité bénéfique à tous. Pour les établissements, il permet de structurer les exigences et de gagner en maturité. Pour les prestataires, il simplifie les réponses aux appels d’offres : une fois leur niveau de conformité établi, ils peuvent le réutiliser d’un marché à l’autre.
Au-delà du clausier, quelles sont les principales actions du Club RSSI ?
Notre fonctionnement repose sur trois piliers. D’abord, l’échange entre pairs, véritable raison d’être du collectif : discussions quotidiennes, réunions trimestrielles et même un dispositif de mentorat pour accompagner les nouveaux RSSI dans un environnement complexe. Ensuite, le lien avec les institutions nationales (ANS, ANSSI, CNIL…), avec une participation active aux consultations publiques et aux réflexions réglementaires, afin de porter une vision terrain. Enfin, nous avons des groupes de travail thématiques qui produisent des livrables concrets pour la communauté (gestion de crise, analyse de risques, cloud, etc.). Cette organisation favorise à la fois le partage d’expertise et une production collective adaptée à un environnement en constante évolution.
Quelles sont aujourd’hui vos priorités ?
À court terme, la révision du clausier reste la priorité majeure. C’est un chantier exigeant, d’autant qu’il repose sur un engagement bénévole des membres. En parallèle, le Club RSSI Santé continue de se développer, comptant aujourd’hui plus de 110 membres issus d’établissements publics de santé. Notre objectif est d’élargir encore cette communauté, idéalement avec un représentant par GHT, afin de renforcer le maillage territorial et les échanges. Nous constatons d’ailleurs une augmentation nette des sollicitations et des partages d’expérience, ce qui confirme l’utilité du collectif. Enfin, l’actualité réglementaire, notamment autour de NIS 2 ou du programme CaRE, alimente fortement nos travaux et nos échanges avec les institutions. Dans ce contexte, nous restons attentifs à préserver nos fondamentaux – partage, production collective, ancrage terrain et lien avec les acteurs nationaux – afin de maintenir la pertinence de nos missions.
Où en est la directive NIS 2 et quel sera son impact pour les établissements de santé ?
La directive NIS 2 est en cours de transposition dans le cadre de la loi Résilience. Cela dit, la publication récente du référentiel associé par l’ANSSI permet déjà aux établissements de se préparer. Les RSSI peuvent ainsi anticiper les exigences, quitte à ajuster certains éléments à la marge lorsque le cadre sera définitivement stabilisé. Par ailleurs, d’autres dispositifs structurants avancent en parallèle, comme le programme CaRE ou les projets liés à l’identification numérique. Dans ce contexte de complexification, le partage d’expérience entre pairs apparaît plus que jamais essentiel pour accompagner les transformations.
> Article paru dans Hospitalia #73, édition de mai 2026, à lire ici
Thomas Aubin : La création officielle du Club RSSI Santé en association loi 1901 remonte à 2023. Mais cette structuration est l’aboutissement d’une dynamique bien plus ancienne. Depuis plusieurs années, des RSSI hospitaliers échangeaient déjà de manière informelle. À l’origine, il s’agissait surtout de partager des retours d’expériences entre pairs confrontés aux mêmes problématiques. La création de l’association a permis de formaliser et d’institutionnaliser cette démarche, mais aussi de porter une voix unifiée auprès des instances nationales. Nous avons également fait le choix d’une présidence tournante, limitée à deux ans et non renouvelable, afin de préserver une vision réellement collective.
Parmi vos actions, le « clausier de sécurité » revient régulièrement. Est-ce un projet initié dès la création du Club ?
Oui, ce travail s’inscrit dans la continuité d’initiatives antérieures. Il trouve son origine à l’Assistance Publique - Hôpitaux de Marseille (AP-HM), où Philippe Touron et ses équipes avaient commencé à identifier des exigences de sécurité applicables aux marchés publics. Le Club RSSI Santé a ensuite enrichi et structuré cette base pour en faire un référentiel partagé. Le document a été rendu public à partir de 2024 sous licence ouverte. Progressivement, il a évolué vers un « clausier de conformité numérique », intégrant au-delà de la sécurité des enjeux comme le RGPD, avec l’appui d’autres acteurs, notamment le réseau des DPO hospitaliers et l’AFIB. L’ambition est d’harmoniser nos exigences à l’échelle nationale, y compris auprès des centrales d’achat avec la collaboration de la CAIH/UniHA.
À quand remonte la dernière version du clausier et comment évolue-t-il dans le temps ?
La dernière version date de mai 2025. Nous avons fait le choix d’un rythme de mise à jour annuel. Même si les enjeux évoluent rapidement, ce type de document demande un travail approfondi à chaque révision. Chaque nouvelle version intègre à la fois les évolutions réglementaires – nationales comme européennes – et des mesures enrichies, en fonction de l’actualité du moment. En 2025, nous avons introduit un premier volet dédié à l’intelligence artificielle, couvrant des sujets majeurs comme la conformité à l’AI Act, la transparence des modèles, l’information sur les biais ou encore la souveraineté des données. La version 2026 ira plus loin, pour répondre à la montée en maturité des établissements et la diffusion de ces technologies.
Quels seront les principaux axes d’évolution du clausier en 2026 ?
Nous avons engagé un important travail de clarification et d’harmonisation. Certains points ont été simplifiés ou précisés à partir des retours des établissements et des industriels, afin de rendre le document plus opérationnel. Le véritable enjeu, désormais, porte sur l’intégration du clausier dans les processus d’achats. Nous travaillons à des propositions pour faciliter son utilisation dans les marchés publics, afin qu’il devienne un levier concret d’évaluation et d’exigences vis-à-vis des prestataires, tout en restant compatible avec les contraintes et les pratiques des établissements.
Disposez-vous de retours sur son utilisation ?
Oui, plusieurs établissements se sont déjà approprié le clausier, avec des niveaux d’intégration variables. L’objectif est d’aller vers une adoption la plus large possible, car il constitue un socle commun de sécurité bénéfique à tous. Pour les établissements, il permet de structurer les exigences et de gagner en maturité. Pour les prestataires, il simplifie les réponses aux appels d’offres : une fois leur niveau de conformité établi, ils peuvent le réutiliser d’un marché à l’autre.
Au-delà du clausier, quelles sont les principales actions du Club RSSI ?
Notre fonctionnement repose sur trois piliers. D’abord, l’échange entre pairs, véritable raison d’être du collectif : discussions quotidiennes, réunions trimestrielles et même un dispositif de mentorat pour accompagner les nouveaux RSSI dans un environnement complexe. Ensuite, le lien avec les institutions nationales (ANS, ANSSI, CNIL…), avec une participation active aux consultations publiques et aux réflexions réglementaires, afin de porter une vision terrain. Enfin, nous avons des groupes de travail thématiques qui produisent des livrables concrets pour la communauté (gestion de crise, analyse de risques, cloud, etc.). Cette organisation favorise à la fois le partage d’expertise et une production collective adaptée à un environnement en constante évolution.
Quelles sont aujourd’hui vos priorités ?
À court terme, la révision du clausier reste la priorité majeure. C’est un chantier exigeant, d’autant qu’il repose sur un engagement bénévole des membres. En parallèle, le Club RSSI Santé continue de se développer, comptant aujourd’hui plus de 110 membres issus d’établissements publics de santé. Notre objectif est d’élargir encore cette communauté, idéalement avec un représentant par GHT, afin de renforcer le maillage territorial et les échanges. Nous constatons d’ailleurs une augmentation nette des sollicitations et des partages d’expérience, ce qui confirme l’utilité du collectif. Enfin, l’actualité réglementaire, notamment autour de NIS 2 ou du programme CaRE, alimente fortement nos travaux et nos échanges avec les institutions. Dans ce contexte, nous restons attentifs à préserver nos fondamentaux – partage, production collective, ancrage terrain et lien avec les acteurs nationaux – afin de maintenir la pertinence de nos missions.
Où en est la directive NIS 2 et quel sera son impact pour les établissements de santé ?
La directive NIS 2 est en cours de transposition dans le cadre de la loi Résilience. Cela dit, la publication récente du référentiel associé par l’ANSSI permet déjà aux établissements de se préparer. Les RSSI peuvent ainsi anticiper les exigences, quitte à ajuster certains éléments à la marge lorsque le cadre sera définitivement stabilisé. Par ailleurs, d’autres dispositifs structurants avancent en parallèle, comme le programme CaRE ou les projets liés à l’identification numérique. Dans ce contexte de complexification, le partage d’expérience entre pairs apparaît plus que jamais essentiel pour accompagner les transformations.
> Article paru dans Hospitalia #73, édition de mai 2026, à lire ici