Dossier patient informatisé : un accès trop simple aux données de santé ?

Les établissements de santé, de façon accessoire à leur activité, traitent un nombre très important de données personnelles extrêmement sensibles. Ces dernières sont regroupées au sein du « dossier patient informatisé » (DPI), un outil qui nécessite une protection maximale. Une protection parfois insuffisante…

DPI : il faut améliorer la sécurité !

La Commission nationale de l’informatique et des libertés (Cnil) a procédé à plusieurs contrôles dans des établissements de santé des suites de plusieurs plaintes dont elle a été saisie.

L’objet de ces plaintes concerne l’accès aux données personnelles de santé des patients à partir du dossier patient informatisé (DPI).

Ce dossier regroupe, pour chaque établissement, les données médicales de l’ensemble des patients traités et est accessible aux équipes médicales.

La Cnil a constaté que dans de nombreux cas, la sécurité du DPI n’était pas suffisamment assurée. Souvent, en effet, l’ensemble des équipes médicales peut accéder aux dossiers des patients sans qu’un filtre ne soit appliqué.

Pour améliorer la situation, la Cnil propose trois évolutions :

renforcer les processus d’authentification au DPI par l’emploi de mots de passe complexes ;
mettre en place des niveaux d’habilitation afin que les dossiers ne soient consultés que par les professionnels qui ont un intérêt médical pour celui-ci ;
mettre en place une traçabilité des accès aux dossiers des patients.

À l’issue de ces contrôles, la Cnil n’a pas infligé de sanctions, mais a délivré plusieurs mises en demeure.

Sources :

Actualité de la Cnil du 9 février 2024 : « Données de santé : la CNIL rappelle les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé (DPI) »