Données de santé : la CNIL rappelle les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé (DPI)
La CNIL a mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé, rappelant que les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître.
Des données de santé qui doivent être particulièrement protégées
Le dossier patient informatisé (DPI) centralise l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. Il permet aux professionnels de santé d’accéder facilement à leurs informations médicales.
Au regard de la sensibilité et du volume des données qu’il contient (comptes rendus de consultations et de séjours hospitaliers, examens biologiques ou radiologiques, prescriptions médicales, etc.), le DPI doit bénéficier de mesures de sécurité renforcées.
Les contrôles effectués
Alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le DPI, la CNIL a procédé, entre 2020 et 2024, à 13 contrôles auprès d’ établissements de santé.
Ces contrôles ont permis de constater que les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées aux besoins des établissements, en permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier.
À la suite de ces contrôles, la présidente de la CNIL a mis en demeure plusieurs établissements de prendre les mesures permettant de préserver la sécurité et la confidentialité des données du DPI. La CNIL prévoit des mesures correctrices contre d’autres établissements en 2024.
Les mesures de sécurité à mettre en œuvre
À travers les mesures correctrices qu’elle a prononcées, la CNIL demande aux établissements de santé de mettre en place trois types de protection des dossiers patient informatisés :
- sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
- prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères :
- d’une part, le métier exercé : ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non aux données médicales, alors qu’un médecin accèdera également aux données médicales ;
- d’autre part, les habilitations doivent tenir compte de la notion d’équipe de soins, telle que définie par la loi (art. L. 1110-12 du code de la santé publique), afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.
En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d’un établissement pénitentiaire).
Les habilitations accordées peuvent être complétées d’un mode « bris de glace », qui permet aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient. L’utilisation de ce mode « bris de glace » doit être particulièrement bien tracé et surveillé pour que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.
- Enfin, il est nécessaire de tracer les accès au DPI (journalisation) : cette traçabilité doit non seulement permettre d’indiquer qui s’est connecté à la base de données à quel moment, mais, plus précisément, qui a accédé à quoi. Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. Il est vivement recommandé de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace »).
Textes de référence
- Article 9 du RGPD - Données sensibles
- Article 32 du RGPD - Sécurité du traitement
- Article L.1110-12 du Code de la santé publique (équipe de soin) - Légifrance
- Article L.1110-4 du Code de la santé publique – Respect de la vie privée du patient - Légifrance
- PGSSI-S, Référentiel d'identification électronique « acteurs des secteurs sanitaire, médico-social et social [personnes physiques] » - esante.gouv.fr