Vous êtes dans : Accueil > Tribunes libres >
La CNIL a diligenté treize contrôles entre 2020 et 2024 auprès d’établissements de santé[1]. Résultat : les mesures mises en œuvre par ces derniers pour garantir la sécurité du dossier patient informatisé (DPI) sont insuffisantes. Plusieurs d’entre eux ont fait l’objet de mise en demeure de prendre des mesures adaptées. La CNIL prévoit des mesures correctrices contre d’autres établissements en 2024.
Par Alice Robert et Alexandre Fievee, Derriennic Associés
La sensibilité du dossier patient informatisé (DPI)
Le dossier patient informatisé (DPI) est le fichier dans lequel est centralisé l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. Il permet aux professionnels de santé de cet établissement d’accéder facilement à leurs informations médicales.
Compte tenu du volume et de la sensibilité des données qu’il contient, le DPI doit, selon la CNIL, faire l’objet de « mesures de sécurité renforcées ».
Des mesures de sécurité souvent inadaptées
Les mesures prises par les établissements de santé concernés ne sont pas satisfaisantes car la politique de gestion des habilitations est trop souvent inadaptée, en ce qu’elle permet notamment à des catégories de personnel desdits établissements de santé d’accéder à des données dont elles n’ont pas besoin de connaître.
Les mesures de sécurité préconisées par la CNIL
Les établissements de santé devraient, selon la CNIL, mettre en place les trois mesures suivantes :
Selon la CNIL, cette deuxième mesure passe par le respect des deux critères suivants :
La CNIL précise, toutefois, consciente des enjeux et des nécessités du métier, que « les habilitations accordées peuvent être complétées d’un mode "bris de glace", qui permet aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient ».
La CNIL prévoit de poursuivre ses contrôles en 2024.
A suivre…
Les plus lus