Article – L’importance de protéger le DPI contre les accès non autorisés en interne

Catégorie : Droits des patients, exercice professionnel, responsabilité
Date : 06/05/2024

Aude Charbonnel et Isabelle Génot-Pok, juristes, consultantes Centre de droit JuriSanté du CNEH

Article paru dans la revue Gestions hospitalières, n° 635 – avril 2024

Si les cyberattaques visant des hôpitaux se succèdent et rappellent le risque de désorganisation qu’elles génèrent, il ne faut pas sous-estimer les intrusions en interne dans les dossiers médicaux. Les directions des établissements de santé doivent ainsi veiller à la confidentialité et la sécurité des dossiers des patients et, en tout état de cause, que les données personnelles ne soient accessibles que dans les limites prévues par les textes.

Ce sujet a récemment fait l’objet d’une mise en lumière outre-manche : l’Information Commissioner’s Office (ICO), l’autorité en charge du respect de la réglementation applicable aux données personnelles au Royaume-Uni, a reçu un rapport de violation venant de la London Clinic en mars 2024 après que plusieurs de ses employés ont tenté d’accéder au dossier médical de Kate Middleton. Peu importe le statut de la patiente et sa nationalité, il appartient aux hôpitaux de mettre en place des mesures garantissant que chaque membre de son personnel n’ait accès qu’aux seules données médicales relatives à ses propres patients. Notre Commission nationale de l’informatique et des libertés (Cnil) l’a rappelé en février 2024 en mettant en demeure des établissements de santé en raison du manque de sécurité de leurs dossiers patients informatisés (DPI) [1]. Alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le DPI, la Cnil a procédé, entre 2020 et 2024, à 13 contrôles auprès d’établissements de santé et a constaté que les mesures de sécurité informatique et la gestion des habilitations étaient parfois inadaptées aux besoins des structures, permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier. À noter que la Cnil a prévu des mesures correctrices contre d’autres établissements en 2024 (cf. ENCADRÉ 1).


Que prévoit le cadre juridique ?

Les articles L. 1110-4 et L. 1110-12 du Code de la santé publique (CSP) et leurs textes réglementaires d’application encadrent les notions de secret professionnel, de partage et échange d’informations et d’équipe de soins. Il s’agit d’un dispositif juridique particulièrement complexe qui vise à assurer la continuité et la qualité des soins dans le respect des droits des patients.

Selon l’article R. 1110-1 du CSP, les professionnels participant à la prise en charge d’une même personne peuvent échanger ou partager des informations qui la concernent dans la double limite :

  • des seules informations strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou au suivi médico-social et social ;
  • du périmètre de leurs missions.

L’article L. 1110-12 du CSP précise que l’équipe de soins est un ensemble de professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d’autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes.
Les professionnels susceptibles d’échanger ou de partager des informations relatives à la même personne prise en charge doivent faire partie de la liste établie à l’article R. 1110-2 du CSP.

L’échange consiste pour un professionnel émetteur à communiquer, après que le patient en a été informé et exerce éventuellement son droit d’opposition, des informations nécessaires à un ou plusieurs professionnels destinataires, qui sont identifiés. Le partage, quant à lui, consiste à mettre à disposition de

professionnels, sur une base informatisée de dossiers, les informations relatives à une même personne prise en charge qui leur sont nécessaires pour assurer leurs missions. L’accord du patient pour l’échange et le partage des informations qui le concernent s’exprime juridiquement de deux manières selon les situations :

  • le droit d’opposition (accord implicite, sauf opposition exprimée de la part du patient) ;
  • le recueil de consentement (accord explicite).

Dans une équipe de soins, telle que définie plus haut, les échanges et le partage se réalisent sous le régime juridique de l’accord implicite du patient, sous réserve de son droit d’opposition. En dehors de cette équipe de soins, l’échange et le partage ne peuvent se faire que sous le régime juridique du recueil préalable du consentement exprès du patient.

L’information du patient est en tout état de cause un pré- alable pour que le patient puisse exercer ses droits : droit d’opposition ou expression du consentement. L’information peut être faite par tout moyen, la réglementation n’ayant pas prévu de formalisme particulier. De même, le recueil du consentement, lorsqu’il s’impose, peut se faire par tout moyen, y compris sous forme dématérialisée.

Dans un arrêt du 15 novembre 2022 (n° 441387), le Conseil d’État a rappelé que le consentement du patient était requis pour le partage d’informations hors équipe de soins.





Encadré 1

Les failles de sécurité

L’article 4.6 de la loi Informatique et Libertés dispose que les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée, y compris la protection contre des traitements non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées. La faille de sécurité se définit par tout incident de sécurité, d’origine malveillante ou non, et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Exemples de faille de sécurité interne

Accès illicites intentionnels aux données personnelles rendus possibles par l’organisation même des droits d’accès

  • Une secrétaire médicale qui a accès à l’ensemble des dossiers de par une organisation des droits d’accès « métier » au DPI et qui consulte le dossiermédical d’une collègue hospitalisée dans un service dont elle ne fait pas partie.
  • Un médecin ayant accès de par sa qualité professionnelle à l’ensemble des dossiers médicaux et qui consulte celui de la fille d’un de ses amis à sa demande alors qu’elle n’est pas hospitalisée dans son service*.
  • Un médecin (nucléaire) qui utilise ses identifiants professionnels pour accéder à un répertoire de données de santé sensibles sans raison médicale et supprime plus de 4 500 fichiers (pour mémoire, ce médecin a été condamné pour modification et suppression frauduleuse de données à caractère personnel et médical à trois mois de prison avec sursis par le tribunal judiciaire de Créteil en mars 2024).

* À titre d’illustration, le Garante per la protezione Dei Dati Personali (GDDP), homologue italien de la Cnil, a condamné en février 2024 une société gérant plusieurs hôpitaux à 75000 euros d’amende suite à des accès non autorisés à des dossiers médicaux par son personnel.

Accès illicites involontaires aux données personnelles compromettant leur confidentialité

Des personnels d’un service d’archives qui accèdent aux motifs médicaux de prise en charge des patients du fait du système de prise de rendez-vous mal paramétré ou mal utilisé par les secrétaires. Alors que seule l’information concernant le service de prise en charge doit leur être accessible pour transmettre les dossiers.

Que dit la Cnil ?

Le paramétrage du DPI est essentiel et ne doit pas permettre un accès à tous les professionnels au prétexte qu’ils travaillent au sein de l’hôpital (ou encore qu’ils sont soumis au secret professionnel, idée toujours faussement véhiculée parmi les professionnels) ! La confidentialité des données, pour laquelle l’établissement est tenu d’une obligation qui peut être qualifiée de résultat (art. L. 1112-1 III du CSP), doit être garantie. La Cnil préconise la mise en œuvre de trois types de protection des DPI [2]:

  • Sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
  • Prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement n’accède qu’aux dossiers qu’il a à connaître. Cette politique d’habilitation doit combiner deux critères :
    • le métier exercé : la Cnil donne l’exemple d’un agent responsable de l’accueil des patients dans la structure qui ne doit accéder qu’au dossier administratif du patient et non aux données médicales, alors qu’un médecin accédera aussi aux données médicales ;
    • les habilitations doivent tenir compte de la notion d’équipe de soins telle que définie par la loi, afin que seuls les professionnels directement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

Certains dossiers potentiellement encore plus sensibles (par exemple les dossiers de patients provenant d’un établissement pénitentiaire) doivent bénéficier de mesures de confidentialité renforcées. Par ailleurs, les habilitations accordées peuvent être complétées d’un mode « bris de glace », afin de permettre aux personnels, en cas d’urgence, d’avoir accès à d’autres données pour tout patient. L’utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée pour que toute personne y ayant recours puisse être identifiée et, le cas échéant, justifier des conditions de son utilisation.

● Tracer les accès au DPI (journalisation) : cette traçabilité doit non seulement permettre d’indiquer qui s’est connecté à la base de données et à quel moment mais aussi qui a accédé à quoi. Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. La Cnil recommande vivement de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux (par exemple un nombre trop élevé de dossiers consultés ou un usage fréquent du mode « bris de glace »).

Une charte informatique de traçabilité d’accès au dossier informatisé devrait être instituée dans tous les établissements de santé afin de sensibiliser les professionnels sur l’existence :

  • d’un contrôle institutionnel a priori (le contrôle des accès) ;
  • d’un contrôle institutionnel a posteriori (la justification de l’accès au DPI) ;
  • de sanctions institutionnelles en cas d’accès non prévu par les textes (mise en œuvre de la responsabilité disciplinaire).

L’enjeu est de parvenir à construire une culture partagée de la confidentialité, égale voire supérieure à celle de la disponibilité des données (cf. ENCADRÉ 2), élément essentiel de la gestion des risques concernant le DPI. À noter que tout accès non autorisé au dossier médical informatisé expose son auteur à des sanctions, mais aussi le directeur de l’établissement de santé, en sa qualité de responsable du traitement au sens du Règlement européen à la protection des données (RGPD).

Quelle(s) personne(s) ressources ?

Le directeur de l’établissement doit prendre, à la fois, les mesures techniques et organisationnelles nécessaires pour protéger les données contenues dans les dossiers médicaux informatisés contre toute perte ou destruction, tout accès non autorisé ou toute divulgation non autorisée (cf. ENCADRÉ 1). Il doit s’assurer que les principes fondamentaux de la protection des données personnelles tels qu’édictés par le RGPD sont respectés. Pour l’aider, un acteur essentiel : le délégué à la protection des données (DPO) qu’il a désigné. Qualifié de « chef d’orchestre » par la Cnil, le DPO, en charge de mener la mise en conformité de la structure au RGPD, doit veiller à ce que la protection des données à caractère personnel au sein de l’établissement, donc du dossier patient, soit effective. Si le DPO doit acquérir les connaissances nécessaires, tant juridiques que techniques, pour conseiller le responsable de traitement (le directeur de la structure), ce dernier demeure le seul garant de la sécurité du dossier patient. Aussi, afin que le DPO puisse accomplir ses missions dans les meilleures conditions possibles auprès du responsable de traitement, l’article 38 du RGPD rappelle qu’il est de sa responsabilité de :

  • veiller à ce que le DPO soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel, notamment dès le début de tous les projets impliquant des données à caractère personnel ;
  • de l’aider à exercer ses missions en lui fournissant les ressources nécessaires, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement ;
  • de lui permettre d’entretenir ses connaissances spécialisées (ex : des formations adaptées, un abonnement aux revues spécialisées…).

Par ailleurs, il doit s’assurer que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le DPO ne doit donc pas être un simple affichage, une mission parmi tant d’autres que l’on attribue à celui ou celle qui semble en avoir moins à assurer. C’est une réelle fonction, essentielle au plus haut point ! Il est essentiel de reconnaître la légitimité de sa place, de son rôle et de ses conseils. La Cnil a ainsi sanctionné un organisme du secteur social d’une amende de 10 000 euros pour des manquements à l’article 38 du RGPD. Dans cette affaire, « le délégué n’était en effet pas en mesure d’exercer correctement ses missions, notamment par le fait qu’il n’était pas assez associé aux questions relatives à la protection des données personnelles et ses fonctions manquaient de visibilité pour les employés de l’organisme [3] ». À noter aussi que la Cnil a infligé une amende de 5 000 euros à une structure qui n’avait pas désigné de DPO [4], rappelant que la désignation d’un délégué à la protection des données (DPO) n’est pas une option !

Encadré 2

Le principe du DICP/T

Dans le cadre de la gestion des données à caractère personnel, le principe du DICP/T est essentiel. À savoir :

  • la disponibilité (D) de la donnée nécessaire à tout moment pour les professionnels de l’équipe de soins ;
  • l’intégrité (I) de la donnée : disposer d’une donnée intacte non altérée durant le délai de conservation ;
  • la confidentialité (C) de la donnée, donc sa protection au regard des règles du secret professionnel  ;
  • la preuve (P) ou la trace (T) des accès et leur justification.

Au regard des réflexions et avis de la Cnil, le risque de la non-confidentialité ne peut être de moindre importance que celui de la non-disponibilité, malgré le raisonnement souvent tenu par les professionnels pour lesquels disposer de la donnée est un élément plus essentiel que sa protection.


Conclusion

La confiance du patient est essentielle au développement du DPI qui, par l’accès aux données, les partages et les échanges qu’il permet, offre des bénéfices indiscutables en termes de qualité et de continuité des soins. Il est essentiel que les établissements de santé ne sapent pas cette confiance en négligeant les mesures de protection en interne. De façon générale, ils doivent apporter la même attention à l’ensemble des autres données à caractère personnel qu’ils recueillent, détiennent, gèrent et conservent, à savoir celles de ses personnels. Viendra le temps où la Cnil se penchera aussi sur la protection de ces données tout aussi sensibles que celles des patients !


Notes

[1] https://www.cnil.fr/fr/donnees-desante-la-cnil-rappelle-les-mesuresde-securite-et-de-confidentialitepour-lacces-au

[2] Ibid

[3]https://www.cnil.fr/fr/sanctionset-mesures-correctrices-la-cnilpresente-le-bilan-2023-de-sonaction-repressive

[4] https://www.cnil.fr/fr/non-designation-dun-deleguela-protection-des-donnees-la-cnilsanctionne-la-commune-de-kourou