"Des données de santé qui doivent être particulièrement protégées
Le dossier patient informatisé (DPI) centralise l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. Il permet aux professionnels de santé d’accéder facilement à leurs informations médicales.
Au regard de la sensibilité et du volume des données qu’il contient (comptes rendus de consultations et de séjours hospitaliers, examens biologiques ou radiologiques, prescriptions médicales, etc.), le DPI doit bénéficier de mesures de sécurité renforcées.
Les contrôles effectués
Alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le DPI, la CNIL a procédé, entre 2020 et 2024, à 13 contrôles auprès d’ établissements de santé.
Ces contrôles ont permis de constater que les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées aux besoins des établissements, en permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier.
À la suite de ces contrôles, la présidente de la CNIL a mis en demeure plusieurs établissements de prendre les mesures permettant de préserver la sécurité et la confidentialité des données du DPI. La CNIL prévoit des mesures correctrices contre d’autres établissements en 2024.
Les mesures de sécurité à mettre en œuvre
À travers les mesures correctrices qu’elle a prononcées, la CNIL demande aux établissements de santé de mettre en place trois types de protection des dossiers patient informatisés :
sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères..."
Lire la suite
Données de santé : la CNIL rappelle les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé (DPI)
CNIL, 20/02/2024
Partagé par :
Beesens TEAM