Blog Données personnelles
La CNIL met en demeure plusieurs établissements de santé sur des accès illégitimes au dossier patient informatisé et propose des recommandations pour éviter ces manquements
Le dossier patient informatisé (DPI) se définit comme la fonction d’un système d’information hospitalier qui a vocation à stocker l’ensemble des documents liés au parcours de soins du patient au sein d’un établissement de santé. Le DPI centralise donc l’ensemble des données de santé des patients pris en charges au sein d’un établissement de santé et permet aux professionnels de santé d’accéder facilement à ces données.
Entre 2020 et 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a effectué 13 contrôles dans des établissements de santé, en réponse à des alertes relatives à des accès illégitimes à des dossiers patients informatisés (DPI) dans ces établissements. A l’issue de ces contrôles, la CNIL a en effet relevé l’existence de ces accès illégitimes, la gestion des accès des DPI dans les établissements concernés permettant à des professionnels de santé n’étant pas impliqués dans la prise en charge d’un patient d’accéder à des données de santé contenues dans son DPI.
Suite à ce constat, la CNIL met aujourd’hui en demeure ces établissements de santé pour ne pas avoir pris des mesures préservant la sécurité et la confidentialité des données du DPI. De plus, elle rappelle plus généralement à l’ordre les professionnels de santé et met à leur disposition des recommandations sur l’accès au DPI afin d’éviter ces manquements.
Les matrices d’habilitation et les mesures de sécurité informatique des DPI pointées du doigt par la CNIL comme les origines de ces manquements…
Selon la CNIL, la politique de gestion des habilitations (appelée également : « matrice des habilitations ») des personnes autorisées à accéder aux données du DPI selon leur relation avec le patient était parfois inadaptée aux besoins des établissements qu’elle a contrôlés. Plusieurs de ces établissements permettaient en effet à des professionnels de santé n’étant pas impliqués dans le parcours de soin d’un patient de consulter plusieurs données sensibles de son DPI, notamment les comptes rendus de consultations, les lettres de liaisons, les résultats d’examens biologiques ou radiologiques ou encore les prescriptions médicales. En parallèle de ce manquement relatif à la matrice d’habilitation, la CNIL relève également des faiblesses dans les mesures de sécurité informatique adoptées par les établissements de santé concernés pour protéger les DPI de leurs patients.
Au regard de la sensibilité [1] et du volume de données que contiennent les DPI, la CNIL rappelle que ces derniers doivent bénéficier de mesures de sécurité renforcées. Elle met alors en demeure les établissements de santé concernés et les enjoint à adopter des mesures correctrices afin d’assurer que « les données des patients ne soient accessibles qu’aux professionnels de santé justifiant du besoin d’en connaître ».
Les mesures correctrices imposées par la CNIL afin d’éviter ces manquements…
Afin de remédier à la problématique posée par ces accès illégitimes, la CNIL demande aux établissements de santé de mettre en place une triple protection des DPI.
En premier lieu, elle leur demande de sécuriser les accès au système du DPI à travers une politique d’authentification robuste, notamment en imposant des mots de passe suffisamment complexes.
En second lieu, elle leur recommande une gestion plus stricte des habilitations, « pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître ». D’une part, les habilitations doivent en effet être accordées de manière spécifique en fonction du métier exercé, les droits d’accès ne devant notamment pas être les mêmes entre un médecin et un agent administratif. D’autre part, la CNIL préconise que les habilitations prennent en compte la notion d’équipe de soins, telle que définir par l’article L. 1110-12 du Code de la santé publique, afin que seuls les professionnels effectivement impliqués dans le parcours de soin du patient puissent accéder aux données contenues par le DPI. La CNIL recommande en outre que des mesures de confidentialité renforcées soient adoptées pour certains dossiers particuliers, donnant l’exemple des dossiers de patients provenant d’un établissement pénitentiaire. Enfin, elle recommande de compléter les habilitations accordées d’un mode d’accès « bris de glace », permettant dans une situation d’urgence (par exemple, lorsque les intérêts vitaux d’un patient sont menacés) aux agents administratifs et professionnels de santé d’avoir accès à d’autres données de santé pour tout patient. Elle indique néanmoins que ces accès « bris de glace » doivent faire l’objet d’une traçabilité et d’une surveillance renforcées afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.
Enfin, en dernier lieu, la CNIL demande un suivi régulier des accès au DPI pour assurer une traçabilité et détecter les éventuels accès frauduleux et illégitimes. Elle recommande notamment le suivi des personnes s’étant connectées à la base de données mais également des types de données auxquelles ces personnes ont eu accès. Enfin, la CNIL recommande aux établissements de santé de disposer d’un système d’analyse automatique des journaux de connexion des DPI afin de repérer les accès qui semblent anormaux (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace »).
Jeanne BOSSI MALAFOSSE, associée, et Grégoire PETYT, stagiaire
[1] Les données de santé étant identifiées comme des données sensibles par l’article 9 du RGPD