Accès aux dossiers médicaux : attention aux règles d’habilitation !

L’accès aux dossiers médicaux est strictement encadré et ce, notamment au regard de la règlementation relative au secret médical, mais aussi de la règlementation sur la protection des données personnelles. C’est au visa de cette deuxième règlementation que l’établissement de santé a été sanctionné.

L’affaire : une politique d’habilitation mal définie et inefficace

L’établissement de santé avait défini une politique d’habilitation en vue de restreindre l’accès aux dossiers médicaux (lequel se réalisait  via le logiciel de gestion dudit établissement).

Des règles d’habilitation distinctes étaient prévues selon le type de soins (urgences et soins programmés) et le profil du personnel (médecin, infirmier, personnel administratif) concernés.

Mais, en pratique, ces règles d’habilitation se sont avérées inadaptées et inefficientes. En particulier, les médecins et les infirmiers pouvaient accéder aux dossiers médicaux de l’ensemble des patients de l’établissement et ce, sans distinction selon le service concerné ni le statut des patients (anciens ou actuels). De plus, le personnel administratif pouvait accéder à des informations figurant dans les dossiers médicaux sans pour autant que ces informations soient strictement nécessaires à la réalisation de leurs missions.

La sanction : une amende pour non-respect du RGPD

Ainsi, lorsque l’établissement a fait l’objet d’un contrôle par une autorité de protection des données[2], plusieurs manquements au RGPD ont été constatés, tels que le non-respect du principe de la protection des données « dès la conception », du principe de minimisation, de la limitation des finalités ou encore de la sécurité du traitement des données des patients.

Selon l’autorité de contrôle, l’établissement de santé aurait dû appliquer les règles suivantes :

- Mettre en œuvre une politique d’habilitation permettant de limiter l’accès aux dossiers médicaux au « seul personnel de santé susceptible d’intervenir au fil du temps dans le processus de soin du patient ou qui, en fonction des services fournis et des parcours cliniques activés, pouvait effectivement être impliqué dans le parcours de traitement du patient » ;

- Enregistrer automatiquement les accès et les opérations réalisées sur les dossiers médicaux afin de pouvoir contrôler, a posteriori, les opérations réalisées par le personnel ;

- Installer un système de détection des anomalies afin de pouvoir déclencher un audit si un comportement anormal ou à risque est détecté.

Quels enseignements pour les établissements de santé ?

Il ne suffit pas de définir une politique d’habilitation, encore faut-il que celle-ci soit adaptée, appliquée et effective.  
Pour ce faire, l’accès aux dossiers médicaux doit être strictement apprécié en fonction du « besoin d’en connaître ».

Aussi, toute politique d’habilitation doit être correctement configurée, régulièrement réévaluée, dûment contrôlée et pleinement documentée.