À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la Cnil a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI).
Le dossier patient informatisé (DPI) ou dossier médical fait l’objet d’une attention particulière de la Cnil car il centralise l’ensemble des données des patients pris en charge au sein d’un établissement de santé.
“Au regard de la sensibilité et du volume des données qu’il contient (comptes rendus de consultations, examens biologiques, prescriptions médicales, etc.), le DPI doit bénéficier de mesures de sécurité renforcées”, indique l’autorité qui lance une consultation publique.
La Cnil rappelle que les notifications de violation de données personnelles par les centres hospitaliers sont passées de 16 en 2018 à 196 en 2024. L’année dernière, les exfiltrations massives de données ont également connu une ampleur inédite (33 millions pour deux prestataires de tiers payant en février, 750 000 pour un établissement francilien en novembre). Et certaines cyberattaques ont conduit au blocage complet du système d’information de plusieurs grands établissements.
Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu’au 16 mai 2025.
