top of page
dM - 5_edited_edited_edited.png
sans plan_edited.png
Screenshot 2026-06-07 23_edited.png

Décryptage de la nouvelle norme CAN/DGSI 103-2 : Quel impact pour les TI et la conformité légale en santé ?

  • Photo du rédacteur: Digitech Marketing
    Digitech Marketing
  • 28 mai
  • 3 min de lecture

Le secteur de la santé au Canada vient de franchir une étape cruciale en matière de protection des données. La plus récente révision de la norme CAN/DGSI 103-2 (Confiance et identité numérique – Partie 2 : Prestation de services de santé) a été officiellement publiée.


L'objectif de cette norme nationale ? Fixer les exigences minimales pour sécuriser l'échange de renseignements médicaux entre les systèmes et jeter les bases d'un réseau de santé interopérable et véritablement axé sur le patient.


Pour les cliniques, les hôpitaux et les fournisseurs de technologies en santé (HealthTech), cette mise à jour n'est pas qu'un détail administratif. Elle redéfinit les règles du jeu technique et légal. Voici ce que vous devez savoir pour rester conforme.


💻 La perspective TI : Une architecture redessinée pour la sécurité

Du point de vue technologique, la norme CAN/DGSI 103-2 exige une refonte de la façon dont les systèmes de santé gèrent l'identité et les accès. Fini les bases de données monolithiques où tout est mélangé ; la norme impose désormais des cloisons étanches et des mécanismes cryptographiques avancés.

  • Séparation stricte de l'infrastructure et du consentement : L'une des exigences phares de la norme est l'obligation de séparer techniquement la politique de contrôle d'accès (et les directives de consentement) de l'infrastructure réseau sous-jacente. Le consentement ne doit plus être géré par les mêmes tuyaux que ceux qui font circuler la donnée.

  • Pseudonymisation par conception : Pour contrôler les correspondances dans un réseau de santé fédéré, la norme exige l'utilisation d'« identificateurs pseudonymes par paires ». Cela empêche le traçage non autorisé d'un patient à travers différents systèmes.

  • Cryptographie avancée et minimisation des données : Toute partie impliquée dans la transmission de données a désormais l'obligation technique d'utiliser de la cryptographie avancée. Le but ? Garantir que les systèmes ne s'échangent que le « strict minimum d’information nécessaire » à leur finalité, bloquant ainsi toute divulgation d'informations superflues.


⚖️ La perspective Juridique : Le consentement absolu de l'utilisateur

Sur le plan de la conformité légale, la norme s'arrime directement aux principes des lois sur la protection des renseignements personnels, incluant la très stricte Loi 25 au Québec. Elle vient consolider le pouvoir décisionnel entre les mains du patient (le « propriétaire de ressource »).

  • Contrôle total du patient : Le modèle de confiance de la norme place l'utilisateur au centre. Les organisations doivent permettre au patient de gérer activement les politiques de contrôle d'accès pour les ressources qui le concernent.

  • Révocation dynamique : Il ne suffit plus d'obtenir un consentement statique lors de l'ouverture du dossier. Le patient doit avoir la liberté de choisir son fournisseur d'identité et de pouvoir « invoquer ou de révoquer des éléments consentis à sa guise ».

  • Aucune donnée superflue pour consentir : Fait intéressant pour les services de conformité : un administrateur ne peut exiger aucun renseignement personnel supplémentaire pour simplement consigner une directive de consentement.


🚀 Comment s'y préparer ? L'avantage de l'Architecture Stateless

Cette nouvelle mouture de la norme CAN/DGSI 103-2 vient confirmer une tendance lourde : les systèmes qui accumulent des données (les « pots de miel ») ou qui font circuler des données non chiffrées sont voués à disparaître.


Pour les organisations de santé, la meilleure façon de répondre à ces exigences rigoureuses (séparation du consentement, cryptographie avancée, limitation stricte au minimum nécessaire) est d'adopter des modèles de traitement sans état (Stateless) couplés à des filtres Zéro PII. En interceptant et en nettoyant les flux de données personnelles avant qu'ils ne soient traités ou échangés, on réduit drastiquement la surface de risque légal.


Chez Digitech Marketing, nous aidons les professionnels et les organisations à implanter ces garde-fous architecturaux de nouvelle génération. Assurez-vous que vos systèmes ne font pas que promettre la confidentialité, mais qu'ils la garantissent par design (Secure by Design).


Garder vos structures conformes n'est pas un projet juridique passif, c'est une architecture dynamique.

Lien vers la norme :


Besoin d'auditer vos systèmes de santé ou vos solutions d'IA face à ces nouvelles normes ?

Digitech Marketing inc.


bottom of page