Projet de recommandation Dossier patient informatisé (DPI) de la CNIL
Article rédigé le 09 juin 2025 par Me Laurence Huin
La Commission Nationale de l’Informatique et des Libertés (« CNIL ») a publié le 16 mars dernier une consultation publique sur son dernier projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI), laquelle prend très prochainement fin le 16 juin prochain.
Ce projet de recommandation propose des fiches thématiques variées autour de la gestion du DPI, telles que notamment une fiche traitant les données composant le DPI, une autre sur la sécurisation des échanges de données, ou encore sur l’information des personnes concernées.
Ces différentes fiches présentent des encadrés illustrant des problèmes constatés par la CNIL lors de ses opérations de contrôle ou à l’occasion de ses actions d’accompagnement auprès des établissements de santé.
À titre d’illustration, la CNIL constate d’une manière générale que les mentions d’information à destination des personnes concernées par les activités de traitement de l’établissement de santé, les patients ou encore les professionnels de santé, sont incomplètes et ne comportent pas l’ensemble des mentions prévues par l’article 13 du règlement général sur la protection des données (« RGPD »).
De même, dans le cadre de sa fiche dédiée aux mesures de sécurité liées aux accédants du DPI, la CNIL relève des manquements en matière d’authentification des utilisateurs habilités allant en contradiction avec les exigences de sécurité prévues par les référentiels d’identification de la Politique générale de sécurité des systèmes d’information en santé (PGSSI-S), notamment en termes d’authentification multi facteurs.
À ce titre, la CNIL rappelle avoir rendu un avis sur ces référentiels, en insistant sur la nécessité de mettre en œuvre une authentification multi facteurs pour tout accès interne, dans les meilleurs délais et « au plus tard » en 2026.
Par ailleurs, la CNIL relève aussi, notamment depuis sa série de contrôles réalisés auprès des établissements de santé, l’existence de nombreux manquements en termes d’habilitation des accès accordés au DPI.
Sur ce point, la CNIL rappelle l’importance de définir une politique de gestion des habilitations prenant notamment en considération le secret professionnel et la notion d’équipe de soins prévue par l’article L.1110-12 du Code de la santé publique.
En revanche, quant à la granularité à adopter dans la détermination des profils d’habilitations, la CNIL apporte peu de précisions et évoque seulement des profils déterminés selon les différents métiers exercés par les membres du personnel, ce qui ne permet pas de prendre en compte les particularités organisationnels des établissements de santé.
En effet, les établissements de santé doivent également pouvoir prendre en considération dans la détermination des profils d’habilitation le cas du recours de plus en plus généralisé à des intérimaires pour compléter les équipes, la mise à disposition entre établissements d’un même groupement, les personnels intervenant sur plusieurs services, etc…
On peut également relever au sein des recommandations de la CNIL en matière d’encadrement des relations avec les sous-traitants et les tiers plusieurs points de vigilance dans la rédaction des clauses du contrat conclu entre l’établissement de santé et le prestataire, notamment de prévoir les conditions de fin et de réversibilité des données de santé, le fait pour le prestataire d’obtenir obligatoirement l’accord préalable et spécifique de l’établissement concernant l’ajout ou la modification d’un sous-traitant ultérieur traitant les données du DPI. Attention donc lors de la passation d’un marché public à ne pas oublier d’intégrer ces différentes exigences au sein des documents du marché.
À noter que la recommandation ne couvre pas, à ce stade, les modalités d’exercice des droits des personnes concernées par un DPI, lesquelles feront, selon la communication de la CNIL, l’objet de travaux ultérieurs, afin notamment de prendre en compte les évolutions introduites par le règlement relatif à l’espace européen des données de santé (EEDS ou EHDS pour European Health Data Space).
Enfin, comme la CNIL a pu le préciser à l’occasion de son webinaire du 16 mai 2025 relatif à la présentation de son projet de recommandation DPI, bien que ce projet de recommandation vise les DPI des établissements du sanitaire, rien n’empêche les acteurs du médico-social de s’appuyer sur ces recommandations pour organiser le fonctionnement de leur dossier usager informatisé (« DUI »), pour lequel un projet de recommandation dédié pourrait à terme être envisagé.
Maître Laurence Huin exerce une activité de conseil et de contentieux auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Depuis novembre 2024, elle est partenaire du pôle Santé Numérique du cabinet Houdart et associés et contribue à ce titre à Datactu.