La commission nationale de l’informatique et des libertés (CNIL) lance une consultation publique sur un projet de recommandation relatif à la conformité et la sécurité des dossiers médicaux.
«Le dossier patient informatisé (DPI) ou dossier médical fait l’objet d’une attention particulière car il centralise l’ensemble des données des patients pris en charge au sein d’un établissement de santé», relève la CNIL. Dès lors, elle estime que le DPI «doit bénéficier de mesures de sécurité renforcées». Les notifications de violation de données personnelles par les centres hospitaliers sont passées de 16 en 2018 à 196 en 2024.
En outre, entre 2020 et 2023, le gendarme des données personnelles a conduit 13 contrôles auprès d’établissements de santé (après avoir été alertée concernant des accès illégitimes aux données de patients) et a constaté des manquements au RGPD, voire au respect du secret professionnel. Des professionnels pouvaient ainsi accéder à des informations non nécessaires à la prise en charge ou consulter le dossier de patients dont ils n’assuraient pas eux-mêmes le suivi. La recommandation élaborée par la CNIL insiste sur la notion d’équipe de soins, «qui détermine l’échange et le partage des informations de santé entre les professionnels intervenant dans la prise en charge du patient et pour laquelle des difficultés d’interprétation juridique se présentent» ; les sous-traitants et leurs obligations ; le niveau d’exigence associé à l’authentification multifacteur et au chiffrement des données. Elle est destinée en particulier aux délégués à la protection des données et à leurs conseils en matière de protection des données personnelles, aux responsables de systèmes d’information ainsi qu’aux directions générales des établissements de santé publics et privés.
