Dans une communication récente, la CNIL a mis en avant l’insuffisance des mesures mises en œuvre par les établissements de santé visant à garantir la sécurité de leurs dossiers patients informatisés (DPI). Le grief principal est le suivant : trop de personnel au sein de ces organismes aurait accès aux données de santé des patients. Les enjeux éthiques et juridiques sont énormes. Des mesures d’amélioration sont proposées par la CNIL, valables pour toutes les structures de soins où de nombreuses personnes ont accès aux dossiers des patients. Nos avocats en droit de la e-santé vous éclairent.
La sensibilité du dossier patient informatisé (DPI)
Le dossier patient informatisé (DPI), fichier dans lequel est centralisé l’ensemble des données de santé des patients pris en charge par l’établissement de santé ou toute structure de soins, permet aux professionnels de santé de ce lieu d’exercice d’accéder facilement à leurs informations médicales.
Compte tenu du volume et de la sensibilité des données qu’il contient, le DPI doit, selon la CNIL, faire l’objet de « mesures de sécurité renforcées« . Mais, force est de constater que ces mesures sont bien souvent insuffisantes, ne serait-ce qu’en raison de l’application d’une politique de gestion des habilitations inadaptée, permettant notamment à des catégories de personnels d’accéder à des données qu’elles n’ont pas besoin de connaître.
Les mesures de sécurité préconisées par la CNIL
Afin de renforcer la sécurité du dossier patient informatisé, la CNIL préconise le choix de règles répondant à l’exigence selon laquelle un professionnel de santé ou un agent/personnel ne peut accéder qu’aux données qu’il a strictement besoin de connaître.
Dans la définition de ces règles, deux critères peuvent être retenus :
- Le critère du « métier exercé », qui signifie qu’un agent/personnel responsable de l’accueil des patients dans la structure de soins ne doit accéder « qu’au dossier administratif du patient et non aux données médicales », alors qu’un médecin ou un professionnel de santé pourra, bien entendu, accéder au dossier administratif mais « également aux données médicales » ;
- Le critère de l’ »équipe de soins« [telle que définie par la loi (art. L.1110-12 du Code de la santé publique)], qui signifie que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués doivent pouvoir avoir accès aux données couvertes par le secret médical.
Consciente des enjeux et des nécessités du métier et des situations d’urgence dans lesquelles se trouve confronté le personnel de ces établissements, la CNIL précise toutefois que les habilitations accordées peuvent être complétées d’un « mode bris de glace », afin de permettre aux agents/personnels administratifs et professionnels de santé d’avoir accès à d’autres données pour tout patient.
D’autres mesures peuvent venir compléter cet arsenal, comme la mise en place d’une politique d’authentification robuste, qui devrait prévoir a minima :
- (i) un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs
- et (ii) le recours à des mots de passe suffisamment complexes.
L’implémentation d’un dispositif de journalisation permettant de tracer les accès au DPI est également recommandée par la CNIL : « cette traçabilité doit non seulement permettre d’indiquer qui s’est connecté à la base de données à quel moment, mais, plus précisément, qui a accédé à quoi. Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. Il est vivement recommandé de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux. »
Les enjeux
D’un point de vue éthique, les enjeux sont tout aussi importants. Le respect de la sécurité (et notamment de la confidentialité des données de santé) doit être au centre des préoccupations des professionnels de santé, en vue notamment de garder un haut niveau de confiance entre eux et leurs patients.
D’un point de vue juridique, les enjeux sont énormes. En application du RGPD, la sanction encourue, en cas de manquement à l’obligation de sécurité, est de 2% du chiffre d’affaires annuel mondial. D’ailleurs, dans une affaire récente, l’autorité espagnole de protection des données n’a pas hésité à sanctionner un hôpital qui n’avait pas mis en place les mesures permettant de limiter l’accès au dossier clinique aux seuls professionnels de santé ayant besoin d’en connaître (AEPD, décision n°PS/00587/2021).
En France, à la suite des contrôles réalisés depuis 2020, plusieurs établissements de santé ont fait l’objet de mise en demeure de prendre des mesures adaptées. La CNIL prévoit, pour 2024, des mesures correctrices contre d’autres établissements disposant de DPI.
A suivre…
Source : ici