Publicité en cours de chargement...
Plusieurs mises en demeure de la Cnil sur la sécurité et la confidentialité de l’accès au DPI
Entre 2020 et 2024, la Cnil, Commission nationale de l’informatique et des libertés, a réalisé 13 contrôles auprès d’établissements de santé à la suite de plusieurs alertes concernant des accès illégitimes aux données de patients contenues dans le dossier patient informatisé.
Une gestion des habilitations inadaptée
Il est en ressorti que la politique de gestion des habilitations était parfois inadaptée aux besoins des établissements. Des professionnels de santé ne participant pas à la prise en charge du patient ont ainsi pu accéder à des informations relatives à ce dernier.
La présidente de la Cnil a ainsi mis en demeure plusieurs établissements, sans donner leur nom, de prendre les mesures permettant de préserver la sécurité et la confidentialité des données du DPI. Des mesures correctrices sont prévues courant 2024 contre d’autres établissements.
Pour rappel, une mise en demeure est une injonction adressée à un responsable de traitement ou à un sous-traitant de cesser un ou plusieurs manquement(s) constaté(s) au règlement général sur la protection des données (RGPD) dans un délai fixé. Elle intervient après une plainte reçue par la Cnil ou un contrôle (en ligne ou sur place) effectué auprès d’un organisme. Une mise en demeure ne constitue pas une sanction.
Elle reprend les faits et les manquements constatés par la Cnil et détaille ce qui est attendu des responsables de traitements ou des sous-traitants concernés pour se mettre en conformité.
Les mesures de sécurité à adopter
Les établissements de santé concernés doivent ainsi mettre en place trois types de protection des dossiers patients informatisés :
- Sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
- Prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères :
- D’une part, le métier exercé. Ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non à ses données médicales, alors qu’un médecin pourra également accéder aux données médicales ;
- D’autre part, les habilitations doivent tenir compte de la notion d’équipe de soins telle que définie par la loi (art. L. 1110-12 du Code de la santé publique), afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.
Recommandations particulières et mode « bris de glace »
Il est par ailleurs recommandé aux établissements de santé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers tels que les dossiers de patients provenant d’un établissement pénitentiaire.
La Cnil insiste également sur les habilitations complémentaires accordées en mode « bris de glace ». En cas d’urgence, il permet aux agents administratifs et professionnels de santé d’avoir accès à d’autres données pour tout patient, ce mode d’urgence devant bien sûr être particulièrement bien tracé et surveillé pour justifier des conditions de son utilisation.
Traçabilité par la journalisation
Le dernier point d’attention est la traçabilité des accès au DPI par la journalisation qui permet de savoir qui s’est connecté à la base, à quel moment et à quoi. Cette traçabilité s’accompagne de contrôles réguliers pour détecter les accès frauduleux ou illégitimes. Un système d’analyse automatique des journaux de connexion permet de repérer les accès qui semblent anormaux, comme un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace ».
Avez-vous apprécié ce contenu ?
A lire également.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...