Juridique

La Cnil met en demeure des établissements de santé sur l'accès au DPI

La Cnil met en demeure des établissements de santé sur l'accès au DPI
Après plusieurs contrôles, la Cnil met en demeure plusieurs établissements de santé sur leur gestion des accès au DPI. (Crédit Photo: AlarconAudiovisual/Pixabay)

Après plusieurs contrôles, la Cnil a mis en demeure plusieurs établissements de santé sur des accès illégitimes aux données de santé intégrées dans le dossier patient informatisé (DPI). Elle propose des mesures correctrices pour éviter ces manquements.

PublicitéSi la polémique sur la décision de la Cnil de valider le choix de Microsoft pour héberger les données de santé du programme européen EMC2 (y compris celles de l'Assurance Maladie) perdure, le régulateur s'intéresse de près au DPI (dossier patient informatisé). La Commission vient en effet de mettre en demeure plusieurs établissements de santé (sans donner de noms) pour ne pas avoir pris des mesures préservant la sécurité et la confidentialité des informations du DPI. Alertée à plusieurs reprises, la Cnil a mené plusieurs contrôles entre 2020 et 2024. Les résultats montrent plusieurs manquements. « Les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées », souligne-t-elle dans un communiqué. Cela signifie que des professionnels de santé, n'ayant pas de lien de prise en charge avec le patient, ont pu accéder à des données sensibles (comptes rendus de consultations et de séjours hospitaliers, examens biologiques ou radiologiques, prescriptions médicales, etc.). Or la Cnil rappelle que le DPI doit bénéficier de « mesures de sécurité renforcées ».

Des mesures correctrices proposées En dehors des mises en demeure, le régulateur donne des remèdes aux établissements concernés. En premier lieu, il est impératif d'installer une politique d'authentification robuste, notamment avec des mots de passe suffisamment complexes. Par ailleurs, la Commission préconise une gestion plus stricte des habilitations. Elles doivent être accordées de manière spécifique en fonction des métiers exercés, les droits ne sont pas les mêmes entre un médecin et un personnel administratifs.

Les mesures correctrices prévoient des exceptions. Ainsi, en cas d'urgence, la politique d'habilitation doit comprendre un mode « bris de glace » qui permet aux agents administratifs et professionnels de santé d'accéder à d'autres données pour tout patient. Enfin, la Cnil demande un suivi régulier des accès au DPI pour assurer une traçabilité et détecter les accès frauduleux et illégitimes.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Exploitez-vous un ou plusieurs clouds privés pour héberger des applications métiers en production ?