La Cnil s’est penchée sur le problème de l’accès par les personnels d’un établissement de santé aux dossiers patients informatisés. S’il s’appuie sur des constats faits dans des établissements hospitaliers, le rappel-avertissement de la Cnil vise tous les acteurs de santé ayant des dossiers informatisés sur le système d’information (SI). Les laboratoires de biologie médicale sont donc directement concernés.
Des trous dans la raquette
Au regard « de la sensibilité et du volume des données qu’il contient, le DPI doit bénéficier de mesures de sécurité renforcées », rappelle la Cnil dans une note du 9 février dernier, intitulée « Données de santé : la Cnil rappelle les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé ». Or, il y a des trous dans la raquette, pointe la Commission.
Alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le DPI, elle a donc procédé, entre 2020 et 2024, à treize contrôles d’établissements de santé. Verdict : « Ils ont permis de constater que les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées aux besoins des établissements, en permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier. »
Les principaux manquements constatés sont l’absence de complexité des mots de passe et de mise à jour systématique des droits d’accès, une politique de gestion des habilitations définie de manière trop large sans prendre en compte la notion d’équipe de soins ou encore, une traçabilité des accès inadéquate.
La nécessité de mesures correctrices
Suite à ce constat peu flatteur, la Cnil a mis en demeure plusieurs établissements de prendre les dispositions permettant de préserver la sécurité et la confidentialité des données du DPI. Elle prévoit, en outre, des mesures correctrices contre d’autres établissements, articulées autour de trois axes :
- Sécuriser les accès au système grâce à une politique d’authentification robuste, notamment des mots de passe suffisamment complexes et l’interdiction des comptes partagés entre plusieurs utilisateurs.
- Prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Pour la Cnil, il convient ici de combiner deux critères. Tout d’abord, le métier exercé : par exemple, un agent responsable de l’accueil des patients dans la structure ne peut consulter que le dossier administratif du patient et non ses données médicales. Ensuite, la notion d’équipe de soins, telle que définie par la loi, afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués aient accès aux informations couvertes par le secret médical. Néanmoins, ces habilitations peuvent être complétées d’un mode « bris de glace » permettant aux agents administratifs et aux professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données et ce, pour tout patient.
- Tracer quotidiennement les accès au DPI. A savoir, indiquer qui s’est connecté à la base de données, à quel moment et qui a accédé à quoi. « Des contrôles réguliers de ces accès doivent être opérés afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. Il est vivement recommandé de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux, par exemple, un nombre trop élevé de dossiers consultés ou un usage fréquent du mode bris de glace », préconise la Cnil.
Enjeu juridique
Des préconisations à prendre au sérieux et qui engagent à vérifier les dispositions en place dans votre laboratoire :
- Rappelons qu’en fonction des manquements constatés, la Cnil peut mettre en demeure un organisme de prendre des mesures de mise en conformité nécessaires, notamment vis-à-vis du Règlement général sur la protection des données (RGPD). Et ce, dans un délai qu’elle fixe.
- La Commission est également habilitée à engager directement une procédure de sanction qui se traduira par le prononcé de mesures correctrices, une amende (qui peut aller jusqu’à 2 % du chiffre d’affaires annuel mondial) ou encore, une injonction de mettre en conformité le traitement. Enfin, elle suit les mesures de mise en conformité prises par les établissements de santé.
Une recommandation DPI à venir
A noter que la Commission élabore en ce moment une recommandation complète sur la conformité et la sécurité des solutions propres aux DPI. Elle reprend sa doctrine sur les données de santé et intègre les résultats des contrôles qu’elle a opéré, en particulier quant à la gestion des habilitations dans le cadre de l’équipe de soins. Ce document doit bientôt être soumis à consultation publique avant son adoption par le collège de la Cnil.