santé, soins |
14/04/2007
Sur les conditions d’ouverture du dossier médical personnel DMP :
La CNIL a constaté que certains hébergeurs transféraient les identifiants de patients aux établissements de soins par voie électronique sans protection particulière. Certains centres d’appel, en cas de perte des identifiants permettant la consultation ou l’alimentation des DMP, envoyaient un mot de passe par courrier électronique non crypté au patient, ou lui communiquaient ce mot de passe par téléphone. Ces pratiques sont de nature à compromettre la confidentialité de ces informations.
Les modalités pratiques retenues pour permettre au patient de désigner nominativement les professionnels de santé autorisés à consulter et à alimenter le DMP se sont parfois traduites par des désignations collectives d’établissements ou de cabinets médicaux. La CNIL a relevé que les patients n’étaient pas tous parfaitement informés que l’accès aux données médicales contenues dans leur DMP nécessitait une connexion internet. De plus, il leur a été parfois indiqué que l’accès à ces données était possible par l’intermédiaire du centre d’appel de l’hébergeur, alors que ce dernier a pour seule fonction d’assister techniquement les patients ou de leur permettre de modifier les données administratives les concernant, leur mot de passe ou la composition de leur cercle de confiance.
Sur le fonctionnement du DMP :
L’insuffisance des mesures d’identification-d’authentification mises en œuvre dans les centres d’appel a été relevée, l’authentification des patients ne s’opérant pas systématiquement par une interrogation à partir des questions défis qui ont été renseignées par les patients lors de leur inscription.
De plus, des hébergeurs proposent, pour les établissements de soins n’ayant pas équipé leurs professionnels de santé de CPS (carte de professionnel de santé), un accès aux DMP depuis leur site internet sur la base d’un simple identifiant et d’un mot de passe. Cette solution ne saurait être acceptée et est manifestement contraire aux décisions de la CNIL du 21 mars et du 30 mai 2006.
Il a toutefois été vérifié que les personnels administratifs et techniques, tant de l’hébergeur que des centres d’appel, n’ont pas accès aux données de santé contenues dans les DMP.
S’agissant du nouveau droit de masquage qui permet au patient de rendre inaccessibles à certains professionnels de santé des données présentes dans son DMP, la CNIL n’a pu mesurer son application effective.
La Commission a toutefois relevé que, dans certains cas, cette fonction de masquage pouvait être exercée par le médecin traitement.
L’appréciation des dispositifs de sécurité proposés par chaque hébergeur était l’un des points essentiels des avis que la Commission a rendus le 21 mars 2006. C’est pourquoi elle constituait un des aspects principaux des contrôles de la CNIL.
S’agissant du chiffrement complet des bases de données mises en œuvre, et non pas uniquement celui des canaux de communication, les missions de contrôle montrent que cette recommandation de la CNIL n’a pas été systématiquement mise en œuvre.
En outre, l’expérimentation a révelé une importante faille de sécurité sur le site internet d’un hébergeur, où l'accès au DMP par les patients reposait sur des identifiants et mots de passe identiques et facilement déductibles. Bien que résolue dans de brefs délais, cette faille a démontré l’intérêt qui s’attache à la définition d’un mot de passe "robuste".