Protection des données de santé : la CNIL procède à une piqure de rappel

Document précédent
Document suivant

Publié en février 2024

Informations médicales Professionnels de santé CNIL Protection des données Dossier patient informatisé (DPI)

Voir également :

Le dossier patient informatisé (DPI) centralise l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. Il permet aux professionnels de santé d’accéder facilement à leurs informations médicales.

Au regard de la sensibilité et du volume des données qu’il contient (comptes rendus de consultations et de séjours hospitaliers, examens biologiques ou radiologiques, prescriptions médicales, etc.), le DPI doit bénéficier de mesures de sécurité renforcées.

Aux termes de contrôles menés dans différents établissements de santé, la CNIL rappelle fermement que tout le monde n'a pas accès aux données du patient.

À travers les mesures correctrices qu’elle a prononcées, la CNIL demande aux établissements de santé de mettre en place trois types de protection des dossiers patient informatisés :

- sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;

- prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères :

  • d’une part, le métier exercé : ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non aux données médicales, alors qu’un médecin accèdera également aux données médicales ;
  • d’autre part, les habilitations doivent tenir compte de la notion d’équipe de soins, telle que définie par la loi (art. L. 1110-12 du code de la santé publique), afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d’un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d’un mode « bris de glace », qui permet aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient. L’utilisation de ce mode « bris de glace » doit être particulièrement bien tracé et surveillé pour que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

- Enfin, il est nécessaire de tracer les accès au DPI (journalisation) : cette traçabilité doit non seulement permettre d’indiquer qui s’est connecté à la base de données à quel moment, mais, plus précisément, qui a accédé à quoi. Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. Il est vivement recommandé de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace »).