Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation

La sécurité des données de santé est au cœur des travaux menés par la CNIL depuis plusieurs années.

Le dossier patient informatisé (DPI) ou dossier médical fait l’objet d’une attention particulière car il centralise l’ensemble des données des patients pris en charge au sein d’un établissement de santé.

Au regard de la sensibilité et du volume des données qu’il contient (comptes rendus de consultations, examens biologiques, prescriptions médicales, etc.), le DPI doit bénéficier de mesures de sécurité renforcées.

Des risques et des manquements avérés

Les notifications de violation de données personnelles par les centres hospitaliers sont passées de 16 en 2018 à 196 en 2024. L’année dernière, les exfiltrations massives de données ont également connu une ampleur inédite (33 millions pour deux prestataires de tiers payant en février, 750 000 pour un établissement francilien en novembre). Certaines cyberattaques ont conduit au blocage complet du système d’information de plusieurs grands établissements.

La CNIL a également été alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans leurs DPI. Elle a ainsi conduit 13 contrôles auprès d’établissements de santé entre 2020 et 2023 et a constaté des manquements à l’obligation d’assurer la sécurité et la confidentialité des données (article 32 du règlement général sur la protection des données ou RGPD), voire des manquements au respect du secret professionnel. Des professionnels de santé pouvaient ainsi accéder à des informations non nécessaires à la prise en charge de leur patient ou consulter le dossier d’un patient dont ils n’assuraient pas la prise en charge. La CNIL a mis en demeure les établissements concernés de prendre les mesures pour sécuriser leur DPI.

Un projet de recommandation soumis à consultation publique

Un accompagnement des établissements de santé

Compte tenu de ses constats et pour accompagner l’ensemble des établissements de santé, la CNIL a élaboré un document consolidant les règles applicables au DPI ainsi que ses recommandations juridiques et techniques.

La recommandation est destinée en particulier aux délégués à la protection des données (DPO) et à leurs conseils en matière de protection des données personnelles, aux responsables de systèmes d’information (DSI, RSSI) et aux directions générales des établissements de santé publics et privés. 

La recommandation insiste notamment sur :

• la notion d’équipe de soins, définie dans le code de la santé publique, qui détermine l’échange et le partage des informations de santé entre les professionnels intervenant dans la prise en charge du patient et pour laquelle des difficultés d’interprétation juridique se présentent ;
• les sous-traitants et leurs obligations ;
• le niveau d’exigence associé à l’authentification multifacteur et au chiffrement des données.

Il permet de s’assurer que les systèmes sont sûrs et conformes à la règlementation applicable ou de mobiliser les moyens nécessaires pour atteindre cet objectif.

Consulter le projet de recommandation

14 fiches illustrées d’exemples concrets

Pour faciliter sa lecture et son utilisation pratique, la recommandation s’organise en plusieurs fiches thématiques :

• responsabilité de traitement ;
• base légale ;
• gouvernance, l’analyse d’impact et l’homologation ;
• données composant le DPI ;
• mesures de sécurité générales liées à la conservation des données ;
• durées de conservation ;
• sécurisation des échanges de données ; 
• information des personnes concernées ;
• mesures de sécurité liées à l’information et l’exercice des droits ;
• personnel de l’établissement de santé ;
• mesures de sécurité liées aux accédants ; 
• sous-traitants, destinataires et tiers ; 
• maîtrise des relations avec les sous-traitants et les tiers ;
• sécurisation des opérations de maintenance.

Dans ces différentes fiches, des encadrés illustrent les problèmes constatés lors des contrôles ou à l’occasion des actions d’accompagnement, afin d’introduire et d’appuyer les règles à appliquer et les mesures à mettre en œuvre pour y remédier.

Enfin, la recommandation ne couvre pas, à ce stade, les modalités d’exercice des droits des personnes concernées par un DPI : elles feront l’objet de travaux ultérieurs, afin notamment de prendre en compte les évolutions introduites par le règlement relatif à l’espace européen des données de santé.

Comment contribuer à la construction de la recommandation ?

Afin de recueillir les avis et remarques des acteurs auxquels il est destiné et des personnes concernées par le DPI, la recommandation est soumise à une consultation publique jusqu’au 16 mai 2025.

Qui peut contribuer ?

Tous les établissements ainsi que leur délégué à la protection des données (DPO), leur conseil en matière de protection des données personnelles, leur médecin responsable de l’information médicale (DIM) et leurs responsables des systèmes d’information (DSI, RSSI) peuvent participer à cette consultation.

La CNIL recommande de soumettre une contribution par établissement de santé.

Elle invite également les fédérations, associations ou têtes de réseaux à soumettre des contributions collectives.

Comment se déroule cette consultation ?

Les contributions peuvent être adressées à la CNIL grâce à un formulaire organisé en plusieurs parties, qui correspondent aux différentes fiches de la recommandation.

Il n’est pas obligatoire de répondre à l’ensemble des questions pour participer à la consultation publique. Vous pouvez choisir les parties auxquelles vous souhaitez répondre.

Participer à la consultation