Dossier patient informatisé : un accès trop simple aux données de santé ?

DPI : il faut améliorer la sécurité !

La Commission nationale de l’informatique et des libertés (Cnil) a procédé à plusieurs contrôles dans des établissements de santé des suites de plusieurs plaintes dont elle a été saisie.

L’objet de ces plaintes concerne l’accès aux données personnelles de santé des patients à partir du dossier patient informatisé (DPI).

Ce dossier regroupe, pour chaque établissement, les données médicales de l’ensemble des patients traités et est accessible aux équipes médicales.

La Cnil a constaté que dans de nombreux cas, la sécurité du DPI n’était pas suffisamment assurée. Souvent, en effet, l’ensemble des équipes médicales peut accéder aux dossiers des patients sans qu’un filtre ne soit appliqué.

Pour améliorer la situation, la Cnil propose trois évolutions :

• renforcer les processus d’authentification au DPI par l’emploi de mots de passe complexes ;
• mettre en place des niveaux d’habilitation afin que les dossiers ne soient consultés que par les professionnels qui ont un intérêt médical pour celui-ci ;
• mettre en place une traçabilité des accès aux dossiers des patients.

À l’issue de ces contrôles, la Cnil n’a pas infligé de sanctions, mais a délivré plusieurs mises en demeure.