Conformité et sécurité des dossiers médicaux : ce que propose la CNIL

Pourquoi ce projet de consultation ?

Plusieurs raisons expliquent l’initiative de la CNIL.

Tout d’abord, le fait que le Dossier patient informatisé (DPI) contient un volume significatif de données sensibles, en ce qu’il centralise l’ensemble des données des patients pris en charge au sein d’un établissement de santé.

Ensuite, parce que ces organismes sont souvent victimes de violations de données (196 notifications émanant des centres hospitaliers, en 2024) et que les conséquences peuvent être considérables, en cas notamment de cyberattaques, pour la santé des patients (blocage complet du SI de plusieurs établissements).

Enfin, parce que la CNIL connaît les difficultés que rencontrent les établissements de santé à assurer de manière effective la confidentialité des données et le respect du secret médical, eu égard notamment aux règles d’habilitations et d’accès à un dossier patient en vigueur au sein de l’organisme.

Quel est son objectif ?

Selon la CNIL, il s’agit « compte tenu de ces constats et pour accompagner l’ensemble des établissements de santé », d’élaborer « un document consolidant les règles applicables au DPI ainsi que ses recommandations juridiques et techniques ».

Que faut-il en retenir ?

Ce document de 47 pages se compose de 15 fiches.

En bref :

• Il ne s’adresse qu’aux traitements mis en œuvre par un établissement de santé (défini à l’article L. 6111-1 du Code de la santé publique (« CSP »)), à des fins d’enregistrement et de conservation des données personnelles à l’occasion d’une prise en charge sanitaire, médico-social ou des actions nécessaires à la coordination de ces prises en charge.
• Ces traitements ont pour base légale l’obligation légale (articles R. 1112-2 et R. 1112-7 du CSP) et reposent sur l’exception visée à l’article 9.2.h) du RGPD (traitements réalisés « aux fins de médecine préventive, de diagnostics médicaux, de la de la prise en charge sanitaire ou sociale (…) »).
• Les données administratives des patients et de leurs proches doivent être stockées de manière cloisonnée par rapport aux données de santé liées à la prise en charge des patients.
• Le NIR et l’INS constituent, par leur nature et leur usage, des identifiants qui doivent faire l’objet d’une protection renforcée, en particulier des habilitations d’accès spécifiques et une traçabilité renforcée. « Ils pourraient faire l’objet d’un chiffrement spécifique au sein de la base administrative », indique la CNIL.
• Les données structurées du DPI liées à la prise en charge doivent être cloisonnées (par rapport aux données administratives) et stockées sous forme pseudonymisée.
• Les données du DPI doivent faire l’objet d’un plan assurant une sauvegarde régulière des données, permettant leur restauration et la reprise d’activité en cas d’incident, étant précisé que la CNIL recommande que cette sauvegarde soit chiffrée.
• Les données doivent être conservées en base active pendant 20 ans à compter du dernier passage dans l’établissement et 10 ans à compter du décès de la personne (si celui-ci est intervenu moins de 10 ans après son dernier passage).
• Il est recommandé de formaliser une procédure concernant l’opportunité d’archiver les données en base intermédiaire.
• Sont précisées les conditions dans lesquelles (i) les membres de l’équipe de soins et (ii) le personnel ne relevant pas de l’équipe de soins peuvent avoir accès aux données.
• Des mesures de sécurité liées aux accédant sont également recommandées concernant les comptes utilisateurs et l’authentification multifacteur, la gestion des habilitations et la traçabilité des accès.

Qui peut contribuer ?

Ce document est soumis à la consultation publique jusqu’au 16 mai 2025.

Tous les établissements ainsi que leur délégué à la protection des données (DPO), leur conseil en matière de protection des données personnelles, leur médecin responsable de l’information médicale (DIM) et leurs responsables des systèmes d’information (DSI, RSSI) peuvent participer à cette consultation.

A suivre…