Projet de loi SREN : vers une régulation renforcée de l’espace numérique

Parce qu’elle « mesure un risque important pour la sécurité des données de santé, dans un contexte où les établissements de santé et leurs sous-traitants sont régulièrement victimes de violations de données », la Commission nationale de l’informatique et des libertés (Cnil) a récemment reprécisé les obligations garantissant la confidentialité du dossier patient informatisé (DPI). Et ce, après avoir dressé de nombreux constats de carence sur le sujet. Avec une menace : une sanction pouvant monter jusqu’à 2% du chiffre d’affaires de l’établissement.

Le dossier patient informatisé (DPI) est défini par l’agence du numérique en santé (ANS) comme la fonction d’un système informatique hospitalier (SIH) qui a vocation à stocker l’ensemble des documents liés au parcours de soins du patient au sein de l’établissement de soins. Il contient donc les différents éléments devant alimenter le dossier médical partagé (DMP), lesquels sont transmis via messageries sécurisées de santé (MSSanté) et désormais stockés au sein de mon espace santé. On l’aura compris, il permet aux professionnels de santé d’accéder facilement aux informations médicales d’un patient et de mieux coordonner son parcours.

Les logiciels dédiés doivent se conformer aux règles

Par ailleurs, dans le but de moderniser les SIH et de favoriser un partage fluide et sécurisé des données de santé, « le Ségur du numérique (cf. encadré plus bas) en santé encourage l’utilisation de solutions logicielles qui respectent certaines exigences techniques, fonctionnelles et ergonomiques », explique l’ANS. Dans ce cadre, les logiciels de type DPI doivent principalement respecter les fonctions suivantes :

- l’alimentation du DMP stocke l’ensemble des documents liés au parcours de soins du patient au sein de l’établissement : lettres de liaison de sortie d’hospitalisation, ordonnances de sortie, comptes-rendus opératoires, comptes-rendus de biologie et d’imagerie, etc. Plus largement, il s’agit de gérer les informations nécessaires et utiles à la prise en charge et au suivi du patient, mais également à la traçabilité des soins et des actions entreprises ;
- la portabilité des données de santé (export standard et documentation) ;
- la couverture des risques de sécurité des systèmes d’informations (SSI).

La rigueur fait défaut  dans la gestion des accès aux données

Par conséquent, au regard « de la sensibilité et du volume des données qu’il contient, le DPI doit bénéficier de mesures de sécurité renforcées », déclare la Cnil dans une note du 9 février dernier, intitulée « Données de santé : la Cnil rappelle les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé ». Or, il y a « des trous dans la raquette », pointe la Commission.

Alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le DPI, elle a donc procédé, entre 2020 et 2024, à treize contrôles d’établissements de santé. Verdict : ces contrôles « ont permis de constater que les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées aux besoins des établissements ». En cause, le fait que « des professionnels de santé ne participant pas à la prise en charge du patient [peuvent] accéder à des informations relatives à ce dernier. »

Les principaux manquements constatés sont : l’absence de complexité des mots de passe et de mise à jour systématique des droits d’accès ; une politique de gestion des habilitations définie de manière trop large sans prendre en compte la notion d’équipe de soins ; ou encore, une traçabilité des accès inadéquate.

Les difficultés multifactorielles s’additionnent

Les difficultés pratiques rencontrées par les établissements de santé pour faire progresser leur niveau de sécurité en la matière sont « multifactorielles », poursuit la Cnil. Elle pointe, pêle-mêle, la nécessité de faciliter la conduite du changement auprès des professionnels de santé et personnels des établissements de santé, lesquels sont soumis à « des modalités d’utilisation des outils informatiques jugées contraignantes et peu adaptées à leur travail » ; un faible équipement technique sur le terrain ; la difficulté chronique d’obtenir les financements nécessaires ; la dépendance vis-à-vis des éditeurs ; des solutions installées en établissement souvent incompatibles avec certaines exigences légales et réglementaires, etc.

La Cnil demande des transformations

Suite à ce constat peu flatteur, la Cnil a mis en demeure plusieurs établissements de prendre les dispositions permettant de préserver la sécurité et la confidentialité des données du DPI. Elle prévoit, en outre, des mesures correctrices contre d’autres établissements en 2024 articulées autour de trois axes. Le premier consiste à sécuriser les accès au système grâce à une politique d’authentification robuste, notamment des mots de passe suffisamment complexes et l’interdiction des comptes partagés entre plusieurs utilisateurs.

Le second consiste à prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Pour la Cnil, il convient ici de combiner deux critères. Tout d’abord, le métier exercé : par exemple, un agent responsable de l’accueil des patients dans la structure ne peut consulter que le dossier administratif du patient et non ses données médicales. Ensuite, la notion d’équipe de soins, telle que définie par la loi, afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués aient accès aux informations couvertes par le secret médical.

Néanmoins, ces habilitations peuvent être complétées d’un mode « bris de glace » permettant aux agents administratifs et aux professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données, et ce, pour tout patient. Pour autant, l’activation de ce mode « doit être particulièrement bien tracée et surveillée pour que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation », insiste la Cnil. Elle recommande par ailleurs de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers tels les DPI de patients provenant d’un établissement pénitentiaire.

Enfin, troisième axe de mesures correctrices évoqué par la Commission : tracer quotidiennement les accès au DPI. À savoir, indiquer qui s’est connecté à la base de données, à quel moment et qui a accédé à quoi. « Des contrôles réguliers de ces accès doivent être opérés afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. Il est vivement recommandé de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux », préconise la Cnil. Par exemple, précise-t-elle, un nombre trop élevé de dossiers consultés ou un usage fréquent du mode bris de glace ».

Proscrire les mauvaises pratiques passibles de sanctions

« D’un point de vue éthique, les enjeux sont importants, explique Alexandre Fievée, avocat au sein du cabinet Derriennic Associés. Le respect de la sécurité, notamment de la confidentialité des données de santé, doit être au centre des préoccupations des professionnels de santé en vue, notamment, de garder un haut niveau de confiance entre eux et leurs patients. De même, d’un point de vue juridique, les enjeux sont énormes. En application du RGPD, la sanction encourue en cas de manquement à l’obligation de sécurité est de 2 % du chiffre d’affaires annuel mondial » de l’établissement. De quoi inciter à une vigilance accrue.

Rappelons qu’en fonction des manquements constatés, la Cnil peut mettre en demeure un organisme de prendre des mesures de mise en conformité nécessaires, notamment vis-à-vis du Règlement général sur la protection des données (RGPD). Et ce, dans un délai qu’elle fixe. La Commission est également habilitée à engager directement une procédure de sanction qui se traduira par le prononcé de mesures correctrices, une amende ou encore, une injonction de mettre en conformité le traitement. Enfin, elle suit les mesures de mise en conformité prises par les établissements de santé.

Toutefois, les décisions de la Cnil sont susceptibles de faire l’objet d’un recours devant le Conseil d'état dans un délai de deux mois qui suivent leur notification.

À signaler que la Commission élabore une recommandation complète sur la conformité et la sécurité des solutions propres aux dossiers patients informatisés (DPI). Elle reprend sa doctrine sur les données de santé et intègre les résultats des contrôles qu’elle a opérés, en particulier quant à la gestion des habilitations dans le cadre de l’équipe de soins. Ce document sera bientôt soumis à consultation publique avant son adoption par le collège de la Cnil.

Alexandre Terrini (Agence Pi+)