Si la polémique sur la décision de la Cnil de valider le choix de Microsoft pour héberger les données de santé du programme européen EMC2 (y compris celles de l’Assurance Maladie) perdure, le régulateur s’intéresse de près au DPI (dossier patient informatisé). La Commission vient en effet de mettre en demeure plusieurs établissements de santé (sans donner de noms) pour ne pas avoir pris des mesures préservant la sécurité et la confidentialité des informations du DPI.
Alertée à plusieurs reprises, la Cnil a mené plusieurs contrôles entre 2020 et 2024. Les résultats montrent plusieurs manquements. « Les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées », souligne-t-elle dans un communiqué. Cela signifie que des professionnels de santé, n’ayant pas de lien de prise en charge avec le patient, ont pu accéder à des données sensibles (comptes rendus de consultations et de séjours hospitaliers, examens biologiques ou radiologiques, prescriptions médicales, etc). Or la Cnil rappelle que le DPI doit bénéficier de « mesures de sécurité renforcées ».
Des mesures correctrices proposées
En dehors des mises en demeure, le régulateur donne des remèdes aux établissements concernés. En premier lieu, il est impératif d’installer une politique d’authentification robuste, notamment avec des mots de passe suffisamment complexes. Par ailleurs, la Commission préconise une gestion plus stricte des habilitations. Elles doivent être accordées de manière spécifique en fonction des métiers exercés, les droits ne sont pas les mêmes entre un médecin et un personnel administratifs.
Les mesures correctrices prévoient des exceptions. Ainsi, en cas d’urgence, la politique d’habilitation doit comprendre un mode « bris de glace » qui permet aux agents administratifs et professionnels de santé accès à d’autres données pour tout patient. Enfin, la Cnil demande un suivi régulier des accès au DPI pour assurer une traçabilité et détecter les accès frauduleux et illégitimes.