Ce qu'un agent IA doit journaliser en environnement de santé

Un agent IA opérant sur des données de santé doit produire une piste d'audit complète : qui a déclenché l'action, sur quelle donnée, avec quel résultat, et pendant combien de temps cette information est conservée. Cette exigence n'est pas optionnelle : elle est la condition même d'une mise en production conforme.

Les exigences minimales en environnement HDS incluent : journalisation des accès aux données patient (lecture et écriture), traçabilité des appels API externes (téléservices Assurance Maladie, portails AMC, LGO, SIH), horodatage signé non répudiable, et conservation séparée des logs techniques et métiers.

La distinction technique/métier est importante. Les logs techniques (latence, erreurs, performance) servent à l'exploitation et peuvent être conservés sur des durées courtes. Les logs métiers (accès patient, modification de facture, envoi de relance) servent à l'audit et doivent être conservés selon des règles strictes, parfois plusieurs années.

La traçabilité doit aussi distinguer l'identité humaine de l'identité agent. Quand un agent agit pour le compte d'un utilisateur, le log doit refléter cette double identité : l'utilisateur qui a déclenché ou supervisé l'action, et l'agent qui l'a exécutée. Cette double trace est indispensable en cas de contestation.

Le contrôle d'accès doit être granulaire. Un agent ne doit avoir accès qu'aux données strictement nécessaires à sa mission, et ces accès doivent être révocables à tout moment. Les permissions doivent être tracées au même titre que les actions.

Les appels aux modèles de langage doivent eux-mêmes être journalisés : prompt envoyé, réponse reçue, modèle utilisé, version, paramètres. Cette traçabilité est essentielle pour reproduire un comportement passé en cas d'audit ou de contestation.

La conservation doit respecter les durées légales (référentiel HDS, arrêtés sectoriels) et permettre la purge sélective. Une demande d'effacement RGPD doit pouvoir être exécutée sans détruire l'audit trail global.

L'export et la consultation des logs doivent être possibles sans intervention de l'éditeur. Un DPO doit pouvoir extraire en autonomie l'historique d'accès à un dossier patient sur demande.

Sans ces fondations, l'audit annuel HDS et les contrôles CNIL deviennent impossibles à passer sereinement. Et au-delà de la conformité, c'est la confiance interne qui est en jeu : une équipe ne déploie un agent que si elle peut comprendre et expliquer chacune de ses actions.

Granit publie sa grille de journalisation en open documentation, pour permettre à chaque DPO et RSSI de vérifier la conformité avant signature.