Publicité en cours de chargement...
Plusieurs mises en demeure de la Cnil sur la sécurité et la confidentialité de l’accès au DPI
Entre 2020 et 2024, la Cnil, Commission nationale de l’informatique et des libertés, a réalisé 13 contrôles auprès d’établissements de santé à la suite de plusieurs alertes concernant des accès illégitimes aux données de patients contenues dans le dossier patient informatisé.
Une gestion des habilitations inadaptée
Il est en ressorti que la politique de gestion des habilitations était parfois inadaptée aux besoins des établissements. Des professionnels de santé ne participant pas à la prise en charge du patient ont ainsi pu accéder à des informations relatives à ce dernier.
La présidente de la Cnil a ainsi mis en demeure plusieurs établissements, sans donner leur nom, de prendre les mesures permettant de préserver la sécurité et la confidentialité des données du DPI. Des mesures correctrices sont prévues courant 2024 contre d’autres établissements.
Pour rappel, une mise en demeure est une injonction adressée à un responsable de traitement ou à un sous-traitant de cesser un ou plusieurs manquement(s) constaté(s) au règlement général sur la protection des données (RGPD) dans un délai fixé. Elle intervient après une plainte reçue par la Cnil ou un contrôle (en ligne ou sur place) effectué auprès d’un organisme. Une mise en demeure ne constitue pas une sanction.
Elle reprend les faits et les manquements constatés par la Cnil et détaille ce qui est attendu des responsables de traitements ou des sous-traitants concernés pour se mettre en conformité.
Les mesures de sécurité à adopter
Les établissements de santé concernés doivent ainsi mettre en place trois types de protection des dossiers patients informatisés :
- Sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
- Prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères :
- D’une part, le métier exercé. Ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non à ses données médicales, alors qu’un médecin pourra également accéder aux données médicales ;
- D’autre part, les habilitations doivent tenir compte de la notion d’équipe de soins telle que définie par la loi (art. L. 1110-12 du Code de la santé publique), afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.
Recommandations particulières et mode « bris de glace »
Il est par ailleurs recommandé aux établissements de santé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers tels que les dossiers de patients provenant d’un établissement pénitentiaire.
La Cnil insiste également sur les habilitations complémentaires accordées en mode « bris de glace ». En cas d’urgence, il permet aux agents administratifs et professionnels de santé d’avoir accès à d’autres données pour tout patient, ce mode d’urgence devant bien sûr être particulièrement bien tracé et surveillé pour justifier des conditions de son utilisation.
Traçabilité par la journalisation
Le dernier point d’attention est la traçabilité des accès au DPI par la journalisation qui permet de savoir qui s’est connecté à la base, à quel moment et à quoi. Cette traçabilité s’accompagne de contrôles réguliers pour détecter les accès frauduleux ou illégitimes. Un système d’analyse automatique des journaux de connexion permet de repérer les accès qui semblent anormaux, comme un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace ».
Avez-vous apprécié ce contenu ?
A lire également.

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement
16 juin 2025 - 22:32,
Tribune
-Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...

Urgences hospitalières : des outils numériques du Québec qui font la différence
16 juin 2025 - 13:48,
Communiqué
- LGI Solutions Santé,Face à la saturation des urgences hospitalières en France, des solutions concrètes existent. Dans un webinaire organisé par l’entreprise québécoise LGI Solutions Santé, vous découvrirez trois outils numériques conçus pour améliorer la coordination des services, alléger la charge du personnel soignan...

Chimiothérapies : êtes-vous prêt pour la pharmacie du futur ?
16 juin 2025 - 13:31,
Communiqué
- Computer EngineeringAvec des fonctionnalités largement dématérialisées, et des extensions optionnelles très innovantes en termes de réalité augmentée ou de mobilité, l’application Chimio® 6.0 de Computer Engineering ouvre la voie de l’avenir pour les équipes d’oncologie.

MEDTECH_IA 2025 – IA, santé et innovation | Mercredi 18 juin – Domaine de Verchant à Castelnau-le-Lez (Métropole de Montpellier)
12 juin 2025 - 17:56,
Communiqué
- MEDTECH_IAL'intelligence artificielle révolutionne le secteur de la santé, ouvrant des perspectives inédites pour l'innovation et la performance. Mais comment passer de la promesse à la réalité ? Comment redéfinir le parcours de soins ? Medtech_IA, rendez-vous incontournable de la transformation numérique du ...