Face aux vagues de cyberattaques largement médiatisées ces derniers mois, la sécurité des systèmes d’information et la protection des données personnelles sensibles sont devenues des priorités absolues, en particulier dans le secteur de la santé. Dans ce contexte, la réglementation européenne, toujours plus exigeante, vient accentuer la pression sur les établissements pour qu’ils atteignent un niveau de conformité élevé. Parmi les sujets particulièrement sensibles figure le dossier patient informatisé (DPI). Ce système, incontournable dans le quotidien des professionnels de santé, suscite de nombreuses questions. D’après les tendances de recherche identifiées via Answer The Public, les interrogations les plus fréquentes sont :
Pourquoi un dossier patient informatisé ?
Qui peut consulter le dossier patient ?
Qui peut demander ou accéder au dossier médical d’un patient ?
Qui a l’accès au dossier patient ?
La CNIL, dans son rapport annuel, revient justement sur ce sujet, à la suite de plusieurs mises en demeure adressées à des établissements de santé en 2024. Voici un point d’étape utile pour les responsables d’établissements et professionnels de santé.
Comprendre le DPI et son fonctionnement.
Qu’est-ce qu’un dossier patient informatisé ?
Le DPI est un outil numérique centralisant toutes les informations médicales relatives à un patient. Il contient notamment :
les comptes rendus de consultations et d’hospitalisations,
les résultats d’examens biologiques et radiologiques,
les prescriptions médicales.
Pourquoi utiliser un DPI ?
Le DPI facilite l’accès rapide et complet aux données médicales par les professionnels de santé autorisés. Il vise à garantir la continuité et la qualité des soins tout au long du parcours de santé. Il permet une meilleure coordination entre les acteurs du soin, optimise la prise en charge des patients et réduit les risques d’erreurs médicales.
Qui peut consulter le dossier patient ?
Seules les personnes habilitées peuvent accéder au DPI. L’accès est strictement encadré par la loi, afin de garantir le respect du secret médical. Il faut considérer que seuls les professionnels directement impliqués dans la prise en charge du patient peuvent consulter ses données médicales (cf. article L1110-4 du Code de la Santé Publique).
Comment garantir que seules les personnes autorisées accèdent au DPI ?
Une gestion rigoureuse des habilitations
Définir des habilitations précises selon le rôle de chaque utilisateur ;
Assurer une traçabilité complète des accès : qui s’est connecté, quand, et à quelles données ;
Effectuer des contrôles réguliers pour détecter les accès anormaux ou frauduleux
Avoir la possibilité de recourir au mode mode « bris de glace » en cas d’urgence pour permettre un accès élargi. Ce type d’accès doit faire l’objet d’une traçabilité renforcée et être soumis à un contrôle a posteriori.
Les mesures de sécurité essentielles
Au-delà de la stricte gestion des habilitations, la sécurité du dossier patient informatisé repose sur une politique globale de sécurité du système d'information, conforme aux standards actuels et régulièrement mise à jour. Conformément à l'article 32 du RGPD, cette politique de sécurité doit mettre en place des mesures techniques et organisationnelles apropriées au niveau de risque du traitement. Il est par exemple important de sécuriser le stockage des données en organisant une séparation rigoureuse entre les différentes catégories : les données administratives du patient, son identifiant national de santé, les données de santé, les documents médicaux ainsi que les informations concernant les professionnels de santé. De même, la confidentialité des échanges avec le patient doit également être assurée, notamment par la remise d'une note d'information claire sur ses droits, et en facilitant un accès transparent et sécurisé à son dossier médical. Enfin, des précautions spécifiques doivent être prises pour certains profils particulièrement sensibles — comme les patients pris en charge en milieu pénitentiaire — afin de renforcer la confidentialité de leurs données et d’éviter tout risque de stigmatisation ou de discrimination.
Affaire à suivre
Des précisions concernant le DPI seront probablement apportées très prochainement. En effet, face aux manquements observés lors de ses contrôles et aux besoins récurrents des établissements de santé, la CNIL annonce pour le premier trimestre 2025 le lancement d’une consultation publique sur un projet de guide opérationnel. Ce guide contiendra 14 fiches pratiques, illustrées d’exemples concrets, pour accompagner les professionnels dans la sécurisation du DPI.
