Bonjour Visiteur | Connectez vous
fermer

Actualités sur le Web
20 août
Un jugement du tribunal administratif de Melun en date du 3 novembre 2015 vient rappeler les strictes conditions posées par la loi à la mise à (...)
20 août
Commençons par quelques chiffres pour montrer l'importance de la question : selon le Gouvernement, 1,4 million de salariés auraient été (...)
20 août
Les Juridiction civiles sont celles qui statuent en matière civile et commerciale à l'exception des juridictions pénales. En pratique, (...)
La CNIL contrôle le dossier médical personnel
La CNIL contrôle le dossier médical personnel
21 avril 2007

La CNIL a contrôlé sur place les principaux acteurs de l’expérimentation du DMP : hébergeurs, centres hospitaliers, réseaux de santé, médecins libéraux et centres d’appel. A l’issue de ces contrôles, la CNIL souligne que la courte durée d’expérimentation du DMP ne permet pas de mesurer son fonctionnement effectif et que les mesures de sécurité doivent être renforcées.


14/04/2007 - En bref

La CNIL a contrôlé sur place les principaux acteurs de l’expérimentation du DMP : hébergeurs, centres hospitaliers, réseaux de santé, médecins libéraux et centres d’appel. A l’issue de ces contrôles, la CNIL souligne que la courte durée d’expérimentation du DMP ne permet pas de mesurer son fonctionnement effectif et que les mesures de sécurité doivent être renforcées.


Sur les conditions d’ouverture du dossier médical personnel DMP :

La CNIL a constaté que certains hébergeurs transféraient les identifiants de patients aux établissements de soins par voie électronique sans protection particulière. Certains centres d’appel, en cas de perte des identifiants permettant la consultation ou l’alimentation des DMP, envoyaient un mot de passe par courrier électronique non crypté au patient, ou lui communiquaient ce mot de passe par téléphone. Ces pratiques sont de nature à compromettre la confidentialité de ces informations.

Les modalités pratiques retenues pour permettre au patient de désigner nominativement les professionnels de santé autorisés à consulter et à alimenter le DMP se sont parfois traduites par des désignations collectives d’établissements ou de cabinets médicaux.

La CNIL a relevé que les patients n’étaient pas tous parfaitement informés que l’accès aux données médicales contenues dans leur DMP nécessitait une connexion internet. De plus, il leur a été parfois indiqué que l’accès à ces données était possible par l’intermédiaire du centre d’appel de l’hébergeur, alors que ce dernier a pour seule fonction d’assister techniquement les patients ou de leur permettre de modifier les données administratives les concernant, leur mot de passe ou la composition de leur cercle de confiance.

Sur le fonctionnement du DMP :

L’insuffisance des mesures d’identification-d’authentification mises en œuvre dans les centres d’appel a été relevée, l’authentification des patients ne s’opérant pas systématiquement par une interrogation à partir des questions défis qui ont été renseignées par les patients lors de leur inscription.

De plus, des hébergeurs proposent, pour les établissements de soins n’ayant pas équipé leurs professionnels de santé de CPS (carte de professionnel de santé), un accès aux DMP depuis leur site internet sur la base d’un simple identifiant et d’un mot de passe. Cette solution ne saurait être acceptée et est manifestement contraire aux décisions de la CNIL du 21 mars et du 30 mai 2006.

Il a toutefois été vérifié que les personnels administratifs et techniques, tant de l’hébergeur que des centres d’appel, n’ont pas accès aux données de santé contenues dans les DMP.

S’agissant du nouveau droit de masquage qui permet au patient de rendre inaccessibles à certains professionnels de santé des données présentes dans son DMP, la CNIL n’a pu mesurer son application effective.

La Commission a toutefois relevé que, dans certains cas, cette fonction de masquage pouvait être exercée par le médecin traitement.

L’appréciation des dispositifs de sécurité proposés par chaque hébergeur était l’un des points essentiels des avis que la Commission a rendus le 21 mars 2006. C’est pourquoi elle constituait un des aspects principaux des contrôles de la CNIL.

S’agissant du chiffrement complet des bases de données mises en œuvre, et non pas uniquement celui des canaux de communication, les missions de contrôle montrent que cette recommandation de la CNIL n’a pas été systématiquement mise en œuvre.

En outre, l’expérimentation a révelé une importante faille de sécurité sur le site internet d’un hébergeur, où l’accès au DMP par les patients reposait sur des identifiants et mots de passe identiques et facilement déductibles. Bien que résolue dans de brefs délais, cette faille a démontré l’intérêt qui s’attache à la définition d’un mot de passe « robuste ».

Dernière modification : 16/04/07

PDF - 197.5 ko
Approfondir
Conclusions des missions de contrôles relatives à l’expérimentation du DMP


A voir aussi...

0 | 5 | 10 | 15 | 20 | 25 | 30 | 35 | 40 | ... | 390

SAMBA ©2015
Espace privé | Plan du site | Suivre la vie du site RSS 2.0