Après avoir mené des contrôles et adressé des mises en demeure à plusieurs établissements de santé, la CNIL a conçu un projet de recommandation visant à garantir la conformité et la sécurité des dossiers patients informatisés (DPI). Ce texte, qui précise également les règles en vigueur, fait l’objet d’une consultation publique ouverte jusqu’au 16 mai 2025.
Contenus des 14 fiches de ce projet :
Dans ce document fourni par la CNIL vous trouverez les recommandations sous forme de fiches avec illustrations qui sont proposées selon cette organisation :
- responsabilité de traitement ;
- base légale ;
- gouvernance, l’analyse d’impact et l’homologation ;
- données composant le DPI ;
- mesures de sécurité générales liées à la conservation des données ;
- durées de conservation ;
- sécurisation des échanges de données ;
- information des personnes concernées ;
- mesures de sécurité liées à l’information et l’exercice des droits ;
- personnel de l’établissement de santé ;
- mesures de sécurité liées aux accédants ;
- sous-traitants, destinataires et tiers ;
- maîtrise des relations avec les sous-traitants et les tiers ;
- sécurisation des opérations de maintenance.
Que faut'il retenir de ses recommandations ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment publié un projet de recommandation visant à renforcer la conformité et la sécurité des dossiers patients informatisés (DPI) au sein des établissements de santé. Ce document est actuellement soumis à consultation publique jusqu’au 16 mai 2025, permettant aux parties prenantes d’apporter leurs contributions. CNIL
Contexte et objectifs du projet
Face à l’augmentation significative des violations de données dans le secteur de la santé — les notifications étant passées de 16 en 2018 à 196 en 2024 — la CNIL a intensifié ses contrôles et adressé des mises en demeure à plusieurs établissements. Ces actions ont révélé des manquements en matière de sécurité et de confidentialité des DPI, notamment des accès non autorisés aux informations des patients. En réponse, la CNIL propose ce projet de recommandation pour aider les établissements à se conformer aux exigences du Règlement Général sur la Protection des Données (RGPD) et assurer une meilleure protection des données de santé. CNIL
Principaux axes du projet de recommandation
Le projet de recommandation de la CNIL aborde plusieurs aspects essentiels pour la sécurisation des DPI :
Responsabilité et gouvernance : Clarification des responsabilités des acteurs impliqués dans la gestion des DPI et mise en place d’une gouvernance adaptée.
Base légale et analyse d’impact : Définition des bases légales pour le traitement des données de santé et réalisation d’analyses d’impact pour évaluer les risques associés.
Mesures de sécurité : Recommandations sur le chiffrement des données, la mise en place de sauvegardes régulières et protégées, ainsi que sur la sécurisation des échanges de données.
Durées de conservation : Précisions sur les durées de conservation des données en fonction de leur nature et des obligations légales.
Information des patients : Obligation d’informer les patients de manière claire et accessible sur l’utilisation de leurs données personnelles.
Ces recommandations visent à fournir un cadre clair et opérationnel pour les établissements de santé, afin de renforcer la protection des données personnelles des patients et de prévenir les incidents de sécurité.
Participation à la consultation publique
La CNIL invite l’ensemble des acteurs concernés — établissements de santé publics et privés, professionnels de santé, délégués à la protection des données (DPO), responsables des systèmes d’information, ainsi que les patients et leurs représentants — à participer à cette consultation publique. Les contributions permettront d’enrichir le projet de recommandation et d’assurer sa pertinence au regard des réalités du terrain. Les modalités de participation sont détaillées sur le site de la CNIL. CNIL+1CNIL+1CNIL
En parallèle, la CNIL organise un webinaire le 1er avril 2025 pour présenter les grandes orientations de ce projet et répondre aux questions des participants. Cet événement s’adresse principalement aux établissements de santé et à leurs DPO, mais reste ouvert à toute personne intéressée. CNIL
En résumé, cette initiative de la CNIL marque une étape importante dans le renforcement de la protection des données de santé, en proposant un cadre adapté aux évolutions technologiques et aux défis actuels en matière de cybersécurité.
Vous pouvez participer à la construction de la participation.
Dans le but de recueillir les avis des professionnels concernés et des utilisateurs du dossier patient informatisé (DPI), la CNIL met en consultation publique son projet de recommandation jusqu’au 16 mai 2025.
Qui peut participer ?
Tous les établissements de santé sont invités à contribuer, notamment via :
Leur délégué à la protection des données (DPO),
Leur conseiller en protection des données personnelles,
Leur médecin responsable de l’information médicale (DIM),
Leur responsable des systèmes d’information (DSI, RSSI).
La CNIL encourage chaque établissement à soumettre une seule contribution et invite également les fédérations, associations et réseaux professionnels à partager des contributions collectives.
Comment participer ?
Les avis peuvent être transmis à la CNIL via un formulaire structuré en plusieurs sections, correspondant aux différentes thématiques de la recommandation.
Il n’est pas nécessaire de répondre à l’ensemble des questions : chaque participant peut choisir les parties qui l’intéressent.
Documentations
Etat de la menace informatique du secteur de la santé (7 novembre 2024) – Source gouvenement
Guide de la sécurité des données personnelles – Source CNIL
Dossier médical partagé en pratique – Source Ameli
Le référentiel général de sécurité version 2.0 : les documents – Source gouvernement
Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité – Source CNIL
Sauvegarde des systèmes d’information | Les fondamentaux – Source gouvernement
