Plusieurs mises en demeure de la Cnil sur la sécurité et la confidentialité de l’accès au DPI

Entre 2020 et 2024, la Cnil, Commission nationale de l’informatique et des libertés, a réalisé 13 contrôles auprès d’établissements de santé à la suite de plusieurs alertes concernant des accès illégitimes aux données de patients contenues dans le dossier patient informatisé.

Une gestion des habilitations inadaptée

Il est en ressorti que la politique de gestion des habilitations était parfois inadaptée aux besoins des établissements. Des professionnels de santé ne participant pas à la prise en charge du patient ont ainsi pu accéder à des informations relatives à ce dernier.

La présidente de la Cnil a ainsi mis en demeure plusieurs établissements, sans donner leur nom, de prendre les mesures permettant de préserver la sécurité et la confidentialité des données du DPI. Des mesures correctrices sont prévues courant 2024 contre d’autres établissements.

Pour rappel, une mise en demeure est une injonction adressée à un responsable de traitement ou à un sous-traitant de cesser un ou plusieurs manquement(s) constaté(s) au règlement général sur la protection des données (RGPD) dans un délai fixé. Elle intervient après une plainte reçue par la Cnil ou un contrôle (en ligne ou sur place) effectué auprès d’un organisme. Une mise en demeure ne constitue pas une sanction.

Elle reprend les faits et les manquements constatés par la Cnil et détaille ce qui est attendu des responsables de traitements ou des sous-traitants concernés pour se mettre en conformité.

Les mesures de sécurité à adopter

Les établissements de santé concernés doivent ainsi mettre en place trois types de protection des dossiers patients informatisés :

• Sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
• Prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères :
• D’une part, le métier exercé. Ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non à ses données médicales, alors qu’un médecin pourra également accéder aux données médicales ;
• D’autre part, les habilitations doivent tenir compte de la notion d’équipe de soins telle que définie par la loi (art. L. 1110-12 du Code de la santé publique), afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

Recommandations particulières et mode « bris de glace »

Il est par ailleurs recommandé aux établissements de santé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers tels que les dossiers de patients provenant d’un établissement pénitentiaire.

La Cnil insiste également sur les habilitations complémentaires accordées en mode « bris de glace ». En cas d’urgence, il permet aux agents administratifs et professionnels de santé d’avoir accès à d’autres données pour tout patient, ce mode d’urgence devant bien sûr être particulièrement bien tracé et surveillé pour justifier des conditions de son utilisation.

Traçabilité par la journalisation

Le dernier point d’attention est la traçabilité des accès au DPI par la journalisation qui permet de savoir qui s’est connecté à la base, à quel moment et à quoi. Cette traçabilité s’accompagne de contrôles réguliers pour détecter les accès frauduleux ou illégitimes. Un système d’analyse automatique des journaux de connexion permet de repérer les accès qui semblent anormaux, comme un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace ».