La CNIL met en consultation un projet de recommandation sur la sécurité du dossier patient informatisé (DPI) dans un contexte où les accès, l’hébergement et les habilitations demeurent des enjeux critiques pour les établissements de santé.
La Commission nationale de l’informatique et des libertés (CNIL) a publié le 20 mars 2025 un projet de recommandation sur les conditions de sécurité applicables au dossier patient informatisé (DPI). Ce texte, soumis à consultation publique jusqu’au 16 mai 2025, s’adresse aux établissements de santé publics et privés, mais n’intègre notamment pas les cabinets de professionnels de santé exerçant à titre libéral, ni les solutions d’usage individuel.
Ce projet vise à mettre à jour ses recommandations afin de tenir compte des évolutions techniques, des retours d’expérience et des failles de sécurité recensées ces dernières années dans le secteur de la santé.
Parmi les mesures proposées, la CNIL rappelle un certain nombre de principes de sécurité fondamentaux : chiffrement des données au repos, journalisation des accès, protection contre les logiciels malveillants, gestion des sauvegardes (testées, régulières et chiffrées), etc. Ces exigences, bien que connues, peinent encore à être appliquées de manière homogène, notamment dans les structures de taille intermédiaire ou faiblement dotées en ressources IT.
La CNIL rappelle par ailleurs qu’une authentification multifacteur, laquelle offre une protection supérieure au mot de passe seul et fait état des référentiels de la Politique générale de sécurité des systèmes d’information en santé (PGSSI-S) qui, depuis 2022, requièrent une authentification multifacteur pour tout accès externe au système et à partir de 2026, pour tout accès interne à l’établissement.
Le projet insiste également sur la sécurité physique des systèmes, le cloisonnement des environnements de développement, de test et de production, et la nécessité d’une revue régulière des mesures de sécurité mises en place, par le biais d’audits ou de tests d’intrusion.
Une vigilance accrue sur les accès et les habilitations
Le projet de recommandation met également en lumière la gestion des habilitations, enjeu critique du DPI dans un contexte de respect du secret médical et définition de l’équipe de soins (Articles L1110-4 et L1110-12 du Code de la santé publique).
La CNIL demande une définition claire des profils d’accès selon les fonctions des utilisateurs (soignants, administratifs, prestataires, etc.) et un principe de minimisation des droits : chaque accès doit être strictement nécessaire à la mission exercée.
L’établissement doit pouvoir tracer précisément l’ensemble des accès et mettre en œuvre une révocation immédiate des comptes inactifs ou non justifiés. Le recours à l’authentification forte, notamment par carte CPS, est fortement recommandé.
Le texte souligne également les obligations vis-à-vis des prestataires et sous-traitants, notamment les éditeurs et hébergeurs, qui doivent être formellement encadrés par contrat, en conformité avec l’article 28 du RGPD, ainsi que les dispositions du Code de la santé publique en matière d’hébergement de données de santé. Ces tiers doivent s’engager à respecter les mêmes standards de sécurité que ceux exigés en interne.
Une localisation renforcée des données de santé
La CNIL intègre dans sa recommandation les nouveaux apports du référentiel de certification HDS (hébergeur de données de santé) publié en 2024.
Ce référentiel renforce notamment les exigences en matière de localisation des données, imposant :
- Un hébergement des données sur le territoire de l’Union européenne ;
- L’encadrement des accès à distance qui pourraient être effectués depuis l’extérieur du territoire européen ;
- Une transparence sur les risques que peuvent présenter des réglementations étrangères auxquelles serait soumis l’hébergeur.
Ce recentrage sur la souveraineté numérique traduit une préoccupation constante de protection face aux risques de transferts illicites ou à des législations étrangères intrusives, dans un contexte, au surplus, où le Data Privacy Framework apparaît fragilisé au regard du contexte géopolitique.
Un secteur en mouvement constant
La publication de ce projet de recommandation démontre bien que le secteur de la santé numérique est une préoccupation contemporaine de l’ensemble des acteurs. En effet, ces dernières semaines, c’est également l’Agence du Numérique en Santé (ANS) qui a mis à jour sa FAQ sur l’hébergement de données de santé.
La récurrence des mises à jour réglementaires et des retours d’expérience témoigne de la nécessité de mettre en place un cadre sécurisé du traitement des données de santé dans un contexte où le nombre de violations de données dans le secteur poursuit son augmentation (la CNIL fait état de 16 notifications de violations de données en 2018 contre 196 en 2024) et que les droits fondamentaux des patients, parmi lesquels le respect du secret médical, imposent aux acteurs d’assurer la sécurité des données.
Le cabinet accompagne les établissements et prestataires de santé dans la mise en conformité de leurs systèmes d’information et dans la gestion contractuelle de leurs prestataires (éditeurs, hébergeurs, sous-traitants).
Le cabinet est à votre disposition pour toute question liée à la sécurité du dossier patient informatisé ou à l’hébergement des données de santé.
Pour consulter le projet de recommandation : https://www.cnil.fr/sites/cnil/files/2025-03/projet_de_recommandation_dossier_patient_informatise.pdf
Photo de National Cancer Institute sur Unsplash