https://dsih.fr/articles/5828/la-cnil-publie-un-projet-de-recommandation-pou... Lisez cela déjà dans un premier temps Je nierai reonnaître l'avoir écrit Cédric Cartau RSSI & DPO CHU de NANTES, RSSI du GHT44 Enseignant au CNAM, au CNEH, à l'EHESP, à l'ESIEA et à POLYTECH NANTES Vice-Président du Club RSSI Santé Vice-Président APSSIS Co-fondateur du Club ISO27001 Pays de Loire Co-fondateur du Club RSSI NANTAIS Membre de l'AFCDP, de l'ARCSI, du CESIN, du Club ISO27001 Adresse postale : Hôpital St Jacques - Pôle Investissements, Logistique et Nouvel Hôpital Bâtiment Le Prieuré Saint Jacques de Pirmil - 85, rue St Jacques - 44093 NANTES Cedex 1 +33 2 40 84 60 08 (n° court 5741) / +33 6 19 38 33 51 cedric.cartau@chu-nantes.fr / rssi@chu-nantes.fr / dpo@chu-nantes.fr http://fr.linkedin.com/pub/cédric-cartau/30/651/1a6 ________________________________ De : AUBIN, Thomas par Bureau <bureau@listes.rssi-sante.fr> Envoyé : mardi 22 avril 2025 15:07:51 À : HAMELIN, Cedric Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas Objet : [EXTERNE] [Bureau] Re: Consultation publique sur la recommandation CNIL sur les DPI Bonjour Cédric, Nous allons effectivement coordonner nos retours (Club RSSI/Club DPO), sans pour autant faire une réponse unique, aussi nous sommes preneurs de tes remarques de RSSI 😉 Merci à toi, Bien cordialement. Thomas AUBIN Responsable Bonjour Cédric, Nous allons effectivement coordonner nos retours (Club RSSI/Club DPO), sans pour autant faire une réponse unique, aussi nous sommes preneurs de tes remarques de RSSI 😉 Merci à toi, Bien cordialement. [cid:image002.png@01DBB398.4FA47360] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image003.png@01DBB398.4FA47360] <https://urldefense.com/v3/__https://bluefiles.com/santnumeriquehdf/ghtlmfi-r...> De : HAMELIN, Cedric <Cedric.Hamelin@chu-rouen.fr> Envoyé : mardi 22 avril 2025 14:02 À : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr> Cc : bureau@listes.rssi-sante.fr Objet : RE: Consultation publique sur la recommandation CNIL sur les DPI Bonjour Monsieur le Président ! Ma DPO (Séverine PRETERRE) me disait que le bureau du Club des DPO devait solliciter, si ce n’est pas déjà fait, le bureau du Club des RSSI pour proposer de regrouper les commentaires et faire une réponse commune. Pour info, je lui ai déjà fait un retour donc si besoin. on peut vous faire suivre nos annotations faites en lien avec différentes parties prenantes en interne quand on aura fini. Bonne journée. Cordialement. Cédric HAMELIN Responsable de la Sécurité du Système d'Information Direction de la Sécurité et des Situations Sanitaires Exceptionnelles Direction du Système d’Information Centre Hospitalo-Universitaire de Rouen 1 rue de Germont, 76031 ROUEN Cedex Poste 61357 – 02.32.88.13.57 Fax : 02.32.88.88.32 cedric.hamelin@chu-rouen.fr<mailto:cedric.hamelin@chu-rouen.fr> Standard CHU - 02.32.88.89.90 De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : vendredi 18 avril 2025 07:55 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet : [Club RSSI] - Consultation publique sur la recommandation CNIL sur les DPI Importance : Haute ATTENTION: Cet e-mail provient d’une adresse mail extérieure au CHU de Rouen. Ne cliquez pas sur les liens ou n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de savoir que le contenu est sûr. En cas de doute, transférer le mail à « DSI, Sécurité » pour analyse. Merci de votre vigilance Bonjour à tous, Pour donner suite aux échanges Tchap, le Club se propose de coordonner une réponse à la consultation lancée par le CNIL sur des recommandations de conformité et de sécurité autour du Dossier Patient Informatisé ; Les infos CNIL et les propositions de recommandations sont ici : Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation | CNIL<https://urldefense.com/v3/__https://www.cnil.fr/fr/conformite-et-securite-de...> Pour conduire cette réponse, deux « obligations » : * Avoir une participation de nos membres 😉 ; pour cela, merci de faire, par retour de mail, sous la forme qui vous plaira, vos remarques sur le document avant le Vendredi 9 Mai, délai de rigueur ; * Avoir un noyau qui se constitue et qui agrège/harmonise/met en forme les réponses – Je propose de placer une première itération le Lundi 12 Mai 17h/18h, et si besoin une seconde Jeudi 25 Mai 17h/18h – les candidats à la relecture, merci de vous manifester ; Vous souhaitant d’avance à toutes et tous un bon week-end prolongé, Bien cordialement. Thomas AUBIN Responsable de la Sécurité du Système d’Information Cellule Conformité Numérique Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chu-lille.fr> [cid:image001.png@01DBB398.0C2DA340]<https://urldefense.com/v3/__https://bluefiles.com/santnumeriquehdf/ghtlmfi-r...>

Bonjour à tous, Merci Cédric pour le document. Je viens de le remplir pour le CHU de Brest. J’ai bien aimé tes commentaires ironiques 😝 Bonne journée. Jean-Sylvain -- Jean-Sylvain CHAVANNE Responsable de la sécurité des systèmes d’information (RSSI) CHU de Brest et du GHT de Bretagne Occidentale De : HAMELIN, Cedric par Bureau <bureau@listes.rssi-sante.fr> Envoyé : mardi 22 avril 2025 16:55 À : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr> Cc : bureau@listes.rssi-sante.fr; HAMELIN, Cedric <Cedric.Hamelin@chu-rouen.fr> Objet : [Bureau] Re: Consultation publique sur la recommandation CNIL sur les DPI MESSAGE EXTERNE : Vérifier impérativement les expéditeurs avant de cliquer sur un lien ou ouvrir une pièce jointe. En cas de doute, contactez la Centrale d'Appels via le Portail<https://portail-demande.chu-brest.fr/servicedesk/customer/portal/2/user/logi...>. Thomas, En pièce jointe le fichier avec nos premières annotations après avoir viré mes commentaires non RSSI et trop ironiques sur le document ☺ Bonne journée. Cordialement. Cédric HAMELIN Responsable de la Sécurité du Système d'Information Direction de la Sécurité et des Situations Sanitaires Exceptionnelles Direction du Système d’Information Centre Hospitalo-Universitaire de Rouen 1 rue de Germont, 76031 ROUEN Cedex Poste 61357 – 02.32.88.13.57 Fax : 02.32.88.88.32 cedric.hamelin@chu-rouen.fr<mailto:cedric.hamelin@chu-rouen.fr> Standard CHU - 02.32.88.89.90 De : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Envoyé : mardi 22 avril 2025 15:08 À : HAMELIN, Cedric <Cedric.Hamelin@chu-rouen.fr<mailto:Cedric.Hamelin@chu-rouen.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> Objet : RE: Consultation publique sur la recommandation CNIL sur les DPI ATTENTION: Cet e-mail provient d’une adresse mail extérieure au CHU de Rouen. Ne cliquez pas sur les liens ou n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de savoir que le contenu est sûr. En cas de doute, transférer le mail à « DSI, Sécurité » pour analyse. Merci de votre vigilance Bonjour Cédric, Nous allons effectivement coordonner nos retours (Club RSSI/Club DPO), sans pour autant faire une réponse unique, aussi nous sommes preneurs de tes remarques de RSSI 😉 Merci à toi, Bien cordialement. [cid:image001.png@01DBB78F.F603C490] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image002.png@01DBB78F.F603C490] <https://bluefiles.com/santnumeriquehdf/ghtlmfi-rssi-ght> De : HAMELIN, Cedric <Cedric.Hamelin@chu-rouen.fr<mailto:Cedric.Hamelin@chu-rouen.fr>> Envoyé : mardi 22 avril 2025 14:02 À : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> Objet : RE: Consultation publique sur la recommandation CNIL sur les DPI Bonjour Monsieur le Président ! Ma DPO (Séverine PRETERRE) me disait que le bureau du Club des DPO devait solliciter, si ce n’est pas déjà fait, le bureau du Club des RSSI pour proposer de regrouper les commentaires et faire une réponse commune. Pour info, je lui ai déjà fait un retour donc si besoin. on peut vous faire suivre nos annotations faites en lien avec différentes parties prenantes en interne quand on aura fini. Bonne journée. Cordialement. Cédric HAMELIN Responsable de la Sécurité du Système d'Information Direction de la Sécurité et des Situations Sanitaires Exceptionnelles Direction du Système d’Information Centre Hospitalo-Universitaire de Rouen 1 rue de Germont, 76031 ROUEN Cedex Poste 61357 – 02.32.88.13.57 Fax : 02.32.88.88.32 cedric.hamelin@chu-rouen.fr<mailto:cedric.hamelin@chu-rouen.fr> Standard CHU - 02.32.88.89.90 De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : vendredi 18 avril 2025 07:55 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet : [Club RSSI] - Consultation publique sur la recommandation CNIL sur les DPI Importance : Haute ATTENTION: Cet e-mail provient d’une adresse mail extérieure au CHU de Rouen. Ne cliquez pas sur les liens ou n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de savoir que le contenu est sûr. En cas de doute, transférer le mail à « DSI, Sécurité » pour analyse. Merci de votre vigilance Bonjour à tous, Pour donner suite aux échanges Tchap, le Club se propose de coordonner une réponse à la consultation lancée par le CNIL sur des recommandations de conformité et de sécurité autour du Dossier Patient Informatisé ; Les infos CNIL et les propositions de recommandations sont ici : Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation | CNIL<https://www.cnil.fr/fr/conformite-et-securite-des-dossiers-medicaux-la-cnil-...> Pour conduire cette réponse, deux « obligations » : * Avoir une participation de nos membres 😉 ; pour cela, merci de faire, par retour de mail, sous la forme qui vous plaira, vos remarques sur le document avant le Vendredi 9 Mai, délai de rigueur ; * Avoir un noyau qui se constitue et qui agrège/harmonise/met en forme les réponses – Je propose de placer une première itération le Lundi 12 Mai 17h/18h, et si besoin une seconde Jeudi 25 Mai 17h/18h – les candidats à la relecture, merci de vous manifester ; Vous souhaitant d’avance à toutes et tous un bon week-end prolongé, Bien cordialement. Thomas AUBIN Responsable de la Sécurité du Système d’Information Cellule Conformité Numérique Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chu-lille.fr> [cid:image003.png@01DBB78F.F603C490]<https://bluefiles.com/santnumeriquehdf/ghtlmfi-rssi-ght>

Bonjour, Voici ci-dessous, un « petit » résumé du document. (selon m’a compréhension) Cordialement : Synthèse : Les données composants le DPI sont dissociées en 4 parties (fiche 6) : * Les données administratives du patient et de ses proches (GAM) – l’utilisation de l’INS est une priorité * Les données administratives des professionnels de santé * Les données structurées liées à la prise en charge (DPI) * Les documents du DPI (CR, résultats d’examens, ordonnances, …) Chacune de ces catégories de données doit être chiffrée et cloisonnée par rapport aux autres. Ce qui évite que l’accès à une base permette l’accès aux autres bases. * Le point 57 précise que les données structurées du DPI liées à la prise en charge doivent être cloisonnées par rapport aux données administratives et stockées sous forme pseudonymisée. * Elles ne comportent pas de données directement identifiantes mais sont référencées par l’identifiant permanent du patient (IPP), qui fait le lien avec ses données administratives, et par l’identifiant des professionnels de santé ayant participé à la prise en charge. * Les points 64 et 65 évoquent les accès aux documents du DMP des patients avec une possibilité d’y accéder 3 jours en amont et de supprimer 3 jours en aval. Les bases de données doivent être chiffrées et cloisonnées (fiches 6 et 7). Des sauvegardes doivent être réalisées et solutions de secours sont mises en place (fiche 7). Tous les échanges doivent être sécurisés (fiche 9). La durée de conservation, l’archivage et la suppression des données doivent être conforme à l’article R. 1112-7 du CSP (fiche 8). L’information qui doit être diffusée aux patients, aux proches et aux professionnels (fiche 10) Cette information doit comporter l’ensemble des mentions prévues à l’article 13 ou, le cas échéant, 14 du RGPD. Il devra être indiqué que le droit d’opposition, le droit à la portabilité et le droit à l’effacement des données ne sont pas applicables. L’exercice de ces droit est expliqué dans la fiche 11. Les accès sont nominatifs et à partir de 2026 l’authentification multifacteur devra être en place (Fiche 13). Tous les accès sont gérés via une grille d’habilitation (fiches 12 et 13), ils doivent être tracés et contrôlés de façon régulière (fiche 13). L’accès au dossier d’un patient se fait par l’équipe soins (fiche 12). Le patient peut demander à protéger son identité (fiche 13). Une revue annuelle des habilitations doit être réalisée (fiche 13). Les accès et les relations avec les sous-traitants, destinataires et tiers, doivent être encadrées (fiches 14 et 15). Il en est de même pour toutes les opérations de maintenance (fiche 16). Pour chaque projets concernant le DPI, une analyse d’impact doit être réalisée (fiche 5) et le responsable de traitement doit prendre ses dispositions pour respecter le RGPD (fiches 3 et 4). Descriptif des fiches : Fiche 3 Page 6 : Responsabilité de traitement * Point 17 : Dans le cadre d’un GHT, un établissement ne devrait pas permettre l’accès par le personnel d’un autre établissement aux données à caractère personnel des patients pris en charge dans cet établissement, sauf si ce personnel peut être qualifié de membre de l’équipe de soins au sens de l’article L. 1110-12 du CSP. Fiche 4 Page 7 : Base légale * Point 18 : Ces traitements sont donc nécessaires au respect d’une obligation légale à laquelle le responsable de traitement est soumis (article 6.1.c) du RGPD). * Point 20 : Au regard de la base légale du traitement de données, la personne ne dispose pas du droit : * de s’opposer au traitement de ses données ; * de demander leur effacement ; * à la portabilité de leurs données. * Les personnes devront être informés de ces limitations à leurs droits. * Point 21 : Le responsable de traitement doit veiller à assurer la confidentialité des données du DPI notamment en rendant possible la restriction des accès à l’identité réelle du patient (par exemple, pour protéger la vie privée d’une personnalité publique, d’un patient dont des proches exercent dans l’établissement ; voir la Fiche 13 – Partie B). Fiche 5 Page 8 : Analyse d’impact et homologation * Point 25 : DPI doit faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) afin de s’assurer de la confidentialité, l’intégrité et la disponibilité des données. Révision annuelle. * Point 28 : Une homologation de sécurité doit être réalisée. * Analyse des incidents à minima annuelle et plan d’action * Contraintes Entité Essentielle au sens de la directive NIS 2. Fiche 6 Page 10 : Données composant le DPI * Point 33 : L’identification des personnes prises en charge doit être réalisée conformément au référentiel « Identifiant national de santé » ainsi que le référentiel national d’identitovigilance. Les données administratives relatives au patient et à ses proches (Page 10) * Point 38 : INS - Un numéro d’identifiant permanent du patient (IPP) ou un numéro d’identifiant de l’épisode de soin (IEP) peuvent être utilisés localement sous réserve que les données concernant la santé soient référencées par l’INS. * Point 39 : Les données administratives relatives aux patients pouvant être traitées incluent en particulier : * nom, prénoms ; * genre, civilité ; * date et lieu de naissance ; * date et lieu de décès ; * coordonnées téléphoniques, électroniques et adresse de résidence ; * photographie, sous réserve du respect du droit à l’image ; * régime d’affiliation à l’assurance maladie obligatoire et à l’assurance complémentaire (mutuelle, assurance privée). * Point 40 : Les données relatives aux proches du patient : * Si le patient a désigné une personne de confiance définie à l’article L. 1111-6 du CSP ou a désigné une personne à prévenir, les données suivantes peuvent être traitées : * nom, prénoms ; * civilité ; * coordonnées téléphoniques et électroniques. * Si le patient est une personne mineure ou personne majeure faisant l’objet d’une mesure de protection, les données suivantes peuvent être traitées : * nom, prénoms ; * civilité ; * lien de rattachement (titulaire de l’autorité parentale, tuteur, curateur, mandataire) ; * coordonnées téléphoniques et électroniques. * Point 42 : Les données administratives des patients et de leurs proches doivent être stockées de manière cloisonnée par rapport aux données de santé liées à la prise en charge des patients. * Ce cloisonnement permet d’utiliser les données administratives pour d’autres finalités que la prise en charge sanitaire, notamment la facturation des prestations, sans divulguer l’ensemble des données de santé (seule la codification des actes et médicaments est transmise). * Les données sont chiffrées à l’aide de clés spécifiques. * Point 46 : Le NIR et l’INS constituent, par leur nature et leur usage, des identifiants qui doivent faire l’objet d’une protection renforcée, en particulier des habilitations d’accès spécifiques et une traçabilité renforcée. Les données administratives relatives aux professionnels de santé (Page 12) * Point 48 : Les professionnels concernés sont les suivants : * les professionnels exerçant dans l’établissement de santé au sein duquel la personne a été prise en charge sous réserve qu’ils aient participé à la prise en charge de la personne ; * le médecin traitant du patient ; * les professionnels de santé hors établissement de santé, qui ont pris en charge la personne dans le cadre de l’épisode de soin. * Point 49 : Les données à caractère personnel pouvant être traitées sont notamment les suivantes : * données d’identification : nom, prénom, titre ; * fonction, service et unité d’exercice ; * coordonnées professionnelles (adresse électronique et numéro de téléphone professionnels) ; * numéro ADELI ou numéro RPPS. * Point 50 : Les données administratives des professionnels de santé doivent être stockées de manière cloisonnée. Les données structurées liées à la prise en charge (Page 12) * Point 52 : Il convient de traiter uniquement les données utiles pour son suivi. En tout état de cause, il appartient au professionnel de santé prenant en charge la personne d’apprécier les données nécessaires pour l’exercice de ses missions. * Point 53 : Les données liées à la prise en charge peuvent provenir : * de la personne elle-même ; * d’un professionnel de santé ayant participé à la prise en charge de la personne ; * d’un tiers (par exemple un proche du patient). * Point 54 : Données concernées : * poids, taille ; * sexe ; * caractéristiques des rendez-vous médicaux (date, service, professionnel de santé) ; * données relatives à un acte médical, paramédical, de biologie médicale, etc. ; * données relatives aux effets et événements indésirables ; * données relatives aux produits de santé utilisés dans la prise en charge de la personne ou prescrits (notamment date d’administration ou d’utilisation, dénomination du produit, posologie, etc.) ; * observations médicales et paramédicales ; * données issues de dispositifs médicaux ou d’appareils de mesure ; * données relatives aux transfusions sanguines ; * antécédents personnels et/ou familiaux, maladies ou événements associés (dont les données liées aux vaccinations antérieures) ; * allergies connues ; * photographie et/ou vidéo et/ou enregistrement vocal recueillis dans des conditions conformes aux dispositions applicables en matière de droit à l'image et de droit à la voix. Il conviendra de déterminer si l’identification de la personne est nécessaire à la prise en charge ; * consommation de tabac, alcool, drogues ; * statut vital et cause du décès ; * selon le contexte : * données génétiques ; * orientation et vie sexuelle ; * données révélant l’origine ethnique ; * données relatives à la situation familiale (situation matrimoniale, nombre d’enfants) ; * données relatives à la vie professionnelle (profession, conditions de travail) ; * déplacements (p. ex. : vers le lieu de soin : mode, durée) ; * habitudes de vie et comportements, par exemple : dépendance (seul, en institution, autonome, grabataire), assistance (aide-ménagère, familiale), exercice physique (intensité, fréquence, durée), régime et comportement alimentaire, loisirs ; mode de vie (p.ex. : urbain, semi-urbain, nomade, sédentaire), habitat (maison particulière, immeuble, étage, ascenseur, etc.) ; * échelle de qualité de vie ou autres informations sur la qualité de vie de la personne ; * exposition à des risques sanitaires connus (physiques, chimiques, biologiques et environnementaux, etc.) ; * participation à une recherche impliquant la personne humaine, dès lors que celle-ci est susceptible d’avoir un impact sur la prise en charge. * Point 55 : DPI doit a minima contenir les informations mentionnées à l’article R. 1112-2 du CSP. * Point 57 : Les données structurées du DPI liées à la prise en charge doivent être cloisonnées par rapport aux données administratives et stockées sous forme pseudonymisée. * Elles ne comportent pas de données directement identifiantes mais sont référencées par l’identifiant permanent du patient (IPP), qui fait le lien avec ses données administratives, et par l’identifiant des professionnels de santé ayant participé à la prise en charge. La CNIL recommande que l’IPP soit généré via une méthode qui ne permette pas à un tiers de le déduire à partir de traits d’identité du patient ni à partir de son historique médical dans l’établissement. Les documents du DPI (Page 14) * Point 58 : Les données à caractère personnel peuvent figurer sur des documents dans un format informatique non structuré au sein de documents qui ont vocation à être remis au patient ou à un professionnel participant à la prise en charge. Il s’agit par exemple des documents produits à l’occasion d’une prise en charge tels que des comptes-rendus, des résultats d’examens, des fiches de liaison, des ordonnances, etc. * Point 59 : En application de l’article R. 1112-3 du CSP, chaque document du DPI doit : * être daté ; * comporter l’identité du patient (nom, prénom et date de naissance) et son numéro d’identification (INS ainsi qu’un éventuel identifiant local – IPP ou IEP) ; * comporter l’identité du professionnel de santé (nom, prénom et numéro RPPS20) ayant collecté les données à caractère personnel et/ou produit le document. * Point 61 : Ces documents soient stockés de manière cloisonnée autant vis-à-vis des données de santé structurées que des données administratives. Ceci est facilité par le fait qu’ils sont généralement stockés dans des systèmes ou sous-systèmes dédiés (GED pour les documents textuels et PACS pour l’imagerie). * Point 62 : Les fichiers de données génétiques doivent être protégés par un chiffrement spécifique. Documents provenant du DMP * Point 64 : Seuls les documents pertinents pour la prise en charge d’un patient doivent être copiés dans le DPI depuis le DMP. * Ils doivent faire l’objet d’un marquage spécifique, de préférence inséré de manière visible dans le document lui-même sans perturber son contenu médical. * Ce marquage devrait : * indiquer la provenance et la date du document ; * alerter les utilisateurs sur la nécessité de s’assurer qu’il est à jour ; * alerter les utilisateurs sur la nécessité de le manipuler en respectant des mesures de sécurité adéquates. * Point 65 : L’accès au DMP via le DPI (mode intégré ou mode contextuel) doit être réalisé après une authentification multifacteur du professionnel demandeur. Le DPI doit alors permettre d’assurer que seul le professionnel demandeur a accès aux informations du DMP qu’il a intégrées temporairement dans le DPI. Celles-ci seront préchargées au plus tôt trois jours avant la prise en charge et, sans action manuelle du professionnel pour les enregistrer durablement dans le DPI, seront supprimées automatiquement après l’épisode de soins ou au plus tard trois jours après leur préchargement. Fiche 7 Page 16 : : Mesures de sécurité générales liées à la conservation des données Chiffrement des données (Page 16) * Point 69 : Les données du DPI devraient être chiffrées au repos avec des algorithmes, tailles et modalités de gestion de clé conformes au référentiel général de sécurité et aux recommandations de l’ANSSI. Sauvegardes régulières, protégées et testées (Page 16) * Point 70 : Les données du DPI doivent faire l’objet d’un plan assurant une sauvegarde régulière des données, permettant leur restauration et la reprise d’activité en cas d’incident. * Le plan doit prendre en compte : * la perte de données maximale admissible, liée à l’écart entre l’heure de la dernière sauvegarde et le moment de l’incident ; * la durée maximale d’interruption admissible, liée au temps de restauration des données et de remise en fonctionnement du système. * Point 71 : Pour rétablir dans leur exactitude les données des patients suite à un incident sur le DPI ayant provoqué la perte des enregistrements les plus récents, il est nécessaire de mettre en place une procédure permettant : * d’identifier les dossiers patients incomplets et de les marquer comme tels ; * d’organiser et d’effectuer la ressaisie des données manquantes ou obsolètes. * Point 72 : les sauvegardes devraient disposer d’une zone réseau isolée de la zone de production et faire l’objet d’habilitations et de droits d’accès spécifiques, restreints à un nombre limité de personnes (administrateurs des systèmes d’information, par exemple). Elles doivent de plus être stockées à distance du centre d’hébergement principal et être protégées physiquement et logiquement contre le vol, la perte, les accès illégitimes et toute altération malveillante ou accidentelle. Des tests de restauration effectués régulièrement, a minima chaque trimestre, sont fortement recommandés. * Point 73 : les sauvegardes doivent être chiffrées Fiche 8 Page 18 : Durées de conservation * Point 75 : En application de l’article R. 1112-7 du CSP, les données du DPI doivent être conservées en base active pendant une durée maximale de : * 20 ans à compter du dernier passage dans l’établissement (hospitalisation ou consultation). Lorsque la durée de conservation d'un dossier s'achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu'à cette date ; * 10 ans à compter du décès de la personne, si celui-ci est intervenu moins de 10 ans après son dernier passage dans l’établissement. * Point 76 : la nature de la prise en charge peut nécessiter la conservation des données pour des durées plus longues, comme c’est le cas par exemple pour le dossier transfusionnel ou encore en matière d’assistance médicale à la procréation. * Point 77 : Dans certains cas particuliers (décès du patient, déménagement, prise en charge en maternité, etc.), il peut être opportun d’archiver les données en base intermédiaire. Il est recommandé de formaliser une procédure à cet égard * Point 78 : A l’issue de ces délais, la décision de destruction du dossier médical est prise par le directeur de l'établissement après avis du médecin responsable de l'information médicale (médecin DIM). * Point 82 : Des procédures automatiques ou manuelles doivent permettre d’assurer l’archivage intermédiaire des données du DPI, complétées de procédures manuelles pour leur purge à la fin de leur durée de conservation, en tenant compte de la règlementation applicable. Fiche 9 Page 20 : Sécurisation des échanges de données * Point 85 : Mettre en œuvre un cloisonnement réseau séparant strictement les flux réseaux propres au DPI. * Point 87 : Toutes les transmissions de données depuis ou vers le DPI, ainsi que tous les flux de données internes entre les briques techniques du DPI, doivent faire l’objet de mesures de chiffrement. * Point 88 : Les canaux de communication avec des systèmes externalisés, notamment ceux hébergés dans un système d’informatique en nuage (Cloud), devraient être chiffrés et faire l’objet d’une authentification mutuelle entre machines, par certificat ou dispositif d’authentification équivalent. * Point 89 : Les interfaces (API) doivent être sécurisées par une authentification mutuelle forte entre machines, assortie de profils d’accès spécifiques limités aux seules données nécessaires à chacune. * Point 90 : Les serveurs dédiés à la centralisation et au partage des fichiers issus de l’imagerie médicale (PACS) doivent être verrouillées pour ne permettre d’accès qu’à travers les systèmes de l’établissement, en excluant tout accès direct au serveur DICOM depuis Internet. Fiche 10 Page 21 : Information des personnes concernées * Point 95 : Toute personne dispose d’un droit à être individuellement informée des traitements de données à caractère personnel la concernant. Information au titre du DPI : rappels généraux (Page 21) * Point 98 : S’agissant des personnes majeures faisant l’objet d’une mesure de protection (tutelle, curatelle, habilitation familiale ou mandat de protection future), la personne chargée d’une mission de représentation doit être informée du traitement de données à caractère personnel de la personne représentée. Dès lors que la personne majeure protégée est en état de prendre seule des décisions éclairées, celle-ci devrait être directement informée. * Point 99 : S’agissant des personnes mineures, les titulaires de l’autorité parentale doivent être informés du traitement de données à caractère personnel des personnes mineures dont ils ont la charge. La règlementation reconnaissant aux personnes mineures le droit de solliciter le secret de certaines informations le concernant vis-à-vis de ses représentants légaux. la CNIL estime que, dans ces hypothèses, seule la personne mineure doit être informée du traitement de ses données à caractère personnel. En toute état de cause, les titulaires de l’autorité parentale devront être informés du traitement de données à caractère personnel d’une personne mineure dont ils ont la charge dans le cadre : * d’une prise en charge précédente sans lien avec l’épisode de soin pour lequel la personne mineure demande le secret ; * d’une prise en charge ultérieure sans lien avec l’épisode de soin pour lequel la personne mineure demande le secret. * Point 100 : L’information délivrée aux personnes ou à ses représentants légaux doit être : * réalisée au moment du recueil des données ; * facile d’accès ; * fournie gratuitement ; * fournie de manière claire et compréhensible ; * fournie de manière concise ; * distinguée des informations qui ne sont pas spécifiquement liées à la vie privée. * Point 101 : Cette information doit comporter l’ensemble des mentions prévues à l’article 13 ou, le cas échéant, 14 du RGPD. Il devra être indiqué que le droit d’opposition, le droit à la portabilité et le droit à l’effacement des données ne sont pas applicables. Le responsable de traitement pourra utilement rappeler que des mesures peuvent être mises en œuvre afin de restreindre l’accès à l’identité réelle du patient (par exemple, pour protéger la vie privée d’une personnalité publique, d’un patient dont des proches exercent dans l’établissement ; voir la Fiche 13 – Partie B), ainsi que les modalités pour en bénéficier. Information au titre des traitements ultérieurs (Page 23) * Point 110 : En cas de traitements ultérieurs des données (autre que la finalité initiale (réutilisation de données dans le cadre de la gestion des vigilances sanitaires, d’une recherche médicale, de la constitution d’un entrepôt de données de santé, de l’analyse de l’activité médicale, etc). Le responsable de traitement initial sera tenu d’évaluer la compatibilité de la finalité ultérieure par rapport à la finalité du DPI. L’utilisation de données de santé pseudonymisées à des fins de recherche est en principe compatible avec la finalité initiale de leur traitement. * Point 112 : Chaque responsable de traitement sera tenu d’informer les personnes. * Point 113 : Les établissements de santé sont invités à anticiper les modalités d’information des personnes dans le cadre de ces réutilisations. * Point 114 : Cette information générale sur la réutilisation de ses données permet à la personne concernée d’avoir conscience que ses données feront l’objet d’un traitement pour une finalité différente de celle poursuivie lors de leur collecte (prise en charge). Le responsable du traitement ultérieur peut soit ; * fournir une note d’information relative à chaque traitement ultérieur comportant l’ensemble des mentions prévues aux articles 13 et, le cas échéant 14 du RGPD ; * recourir à une information « par paliers ». * les catégories de finalité(s) poursuivies (par exemple à des fins de recherche, à des fins de constitution d’un entrepôt de données de santé) ; * l’existence de droits pour la personne ; * pour les traitement mis en oeuvre à des fins de recherche, étude ou évaluation, les catégories d’organismes susceptibles de mettre en œuvre ces traitements ultérieurs (par exemple le personnel de l’établissement de prise en charge, des sociétés privées) ; * pour les traitements ne poursuivant pas une finalité de recherche (par exemple la constitution d’un entrepôt de données de santé), le ou les responsable(s) de traitement(s) ultérieur(s) ; * le renvoi vers un portail de transparence, ou dispositif équivalent de transparence, sur lequel sera publié une note d’information comportant l’ensemble des informations requises par l’article 13 du RGPD, ou le cas échéant l’article 14 du RGPD. * La CNIL recommande, par ailleurs, que cette information soit complétée des mentions suivantes : * l’existence d’un droit d’opposition à la réutilisation de ses données (si applicable) ; * le fait que l’exercice de ses droits, notamment son droit d’opposition, n’aura aucune incidence sur sa prise en charge sanitaire. Recommandations pour l’information des patients (Page 24) * Point 119 : La CNIL recommande que le patient ou ses représentants légaux soient informés : * dès la première prise de rendez-vous ; et * lors de l’accueil pour la prise en charge quelle qu’en soit les modalités. * Point 120 : Si le patient est inconscient lors de son admission dans l’établissement, l’information devra lui être délivrée dès que son état de santé le permet. Dans l’attente, il est recommandé d’informer les proches du patient présents. * Point 121 : Il est recommandé de : * formaliser une procédure relative aux documents d’information à remettre à la personne ; * tracer cette remise. * Point 124 : La CNIL recommande que la note d’information soit cumulativement : * envoyée par courrier électronique à la personne concernée sous réserve de respecter les mesures de sécurité décrites dans la Fiche 11 ; * insérée dans le livret d’accueil mentionné à l’article L. 1112-2 du CSP ; * affichée dans les lieux d’accueil du public de l’établissement ; * diffusée sur le site web de l’établissement et accessible dès la page d’accueil. * Point 126 : Les autres documents remis au patient (compte-rendu, résultat d’analyse, etc.) pourront utilement comporter une mention relative au traitement de données à caractère personnel mis en œuvre dans le cadre de leur prise en charge renvoyant aux autres supports d’information (affichage ou diffusion sur site web). * Point 127 : L’information doit être rédigée de la manière la plus claire, précise et simple possible. * Point 135 : Le droit à l’information consacré par le RGPD ne doit pas être confondu avec les autres droits à l’information reconnus au patient dans le secteur de la santé. * Point 137 : La CNIL recommande cumulativement les pratiques suivantes : * s’agissant du livret d’accueil, une partie devrait être dédiée à l’information concernant le traitement de données lié au DPI ; * s’agissant de l’affichage dans les lieux accessibles au public, l’information concernant le traitement de données lié au DPI devrait être distinguée des supports d’information traitant de sujets différents (par exemple, information sur des modalités de prise en charge, sur des campagnes de dépistages ou sur la réalisation de recherches) ; * s’agissant de la diffusion sur le site web de l’établissement, l’information concernant le traitement de données lié au DPI devrait faire l’objet d’un onglet dédié accessible dès la page d’accueil du site web ; * s’agissant des mentions figurant sur les autres documents remis au patient, l’information concernant le traitement de données lié au DPI devrait être physiquement et graphiquement distinguée des autres informations contenues dans le document. * Point 141 : Concernant les traitements ultérieurs dans le cadre de la réutilisation des données du DPI à des fins de recherche, les mesures suivantes peuvent être envisagées (liste non limitative) : * une mention d’information générique sur la réutilisation des données à des fins de recherche inscrite sur le livret d’accueil, affichée dans les lieux accessibles au public et précisant l’endroit ou la personne auprès de laquelle des informations plus détaillées sur ces réutilisations peuvent être consultées ; * la création d’une page web dédiée listant l’ensemble des recherches menées à partir des données collectées dans le DPI (portail de transparence) ; * publicité de la création du portail de transparence (publication sur un journal local). Recommandations pour l’information des proches des patients (Page 27) * Point 143 : Des données à caractère personnel relatives à des proches, peuvent, et dans certains cas doivent, être traitées dans le cadre du DPI. Il s’agit par exemple de la personne de confiance, la personne à prévenir, des représentants légaux du patient, des membres de la famille (notamment dans le cadre de la collecte des antécédents médicaux). Ces personnes disposent également d’un droit à être informées du traitement de leurs données. Cette information et ces modalités de délivrance doivent être adaptées à chaque catégorie de personnes concernées et ne doivent pas porter atteinte au secret professionnel. * Point 146 : S’agissant des données à caractère personnel directement collectées auprès de ces personnes (proches présents lors de l’accueil du patient), ceux-ci devraient être individuellement informés dans les mêmes conditions que le patient sauf s’ils l’ont déjà été. * Point 147 : S’agissant des données collectées par l’intermédiaire du patient (collecte indirecte par exemple par le biais d’un formulaire rempli par le patient), ceux-ci devraient être informés par informations publiquement disponibles. Recommandations pour l’information des professionnels participant à la prise en charge * Point 154 : La CNIL recommande que ces personnes soient informées dès leur embauche par la remise d’une notice dédiée au traitement lié à la mise en œuvre du DPI. Cette notice peut être intégré aux documents remis aux nouveaux arrivants dans l’établissement. * Point 157 : Concernant les données collectées directement auprès de professionnels extérieurs, ceux-ci devraient être destinataires en retour d’une notice d’information dédiée au traitement de leurs données à caractère personnel. Fiche 11 Page 29 : Les mesures de sécurité liées à l’information et l’exercice des droits * Point 160 : L’envoi au patient d’une note d’information par messagerie électronique est susceptible de révéler à ses proches ou à des tiers des informations sur sa santé qui sont couvertes par le secret professionnel. * Point 161 : Des modalités spécifiques peuvent être mises en œuvre, par exemple : * utiliser une messagerie sécurisée de santé constituant un espace de confiance partagé entre professionnels de santé et patients (par exemple, la « MSSanté » en lien avec « MonEspaceSanté ») ; * mettre en place des mesures de sécurité protégeant la note d’information (par exemple, pièce jointe chiffrée ou lien de téléchargement protégé par mot de passe, le code étant transmis par texto) ; * s’assurer que ni la note d’information ni son expéditeur ne donne d’information sur l’état de santé des personnes. * Point 162 : En cas de demande d’accès, la CNIL recommande de privilégier la remise en main propre au patient de son dossier médical car elle permet de vérifier son identité avec une meilleure fiabilité. En cas de transmission du dossier médical par courrier, il est recommandé de le réaliser sous enveloppe scellée conçue pour révéler une tentative d’ouverture, avec remise en main propre par le facteur et accusé de réception (LRAR). * Point 163 : En cas de transmission du dossier médical par voie électronique, la CNIL recommande l’utilisation d’une plateforme sécurisée imposant une authentification multifacteur, mise en place après vérification de l’identité du destinataire et recueil auprès de lui de ses facteurs d’authentification (par exemple, un mot de passe et un numéro de téléphone mobile). * Point 164 : Lorsqu’une telle solution ne peut être mise en oeuvre ou en cas de refus par le patient d’y recourir, la CNIL recommande que l’envoi se fasse par messagerie électronique dans une pièce jointe chiffrée dont le code de déchiffrement sera transmis par un autre canal, préalablement recueilli et vérifié (courrier postal, téléphone, texto, etc.). * Point 165 : Si le patient exige un envoi par messagerie électronique en clair, l’établissement devra avertir l’intéressé des risques que présente cet envoi ; la CNIL recommande alors de lui faire signer un document indiquant qu’il a été informé des risques et a refusé les solutions sécurisées proposées par l’établissement. Fiche 12 Page 30 : Le personnel du responsable de traitement * Point 167 : Les professionnels de santé et équipes de soins sont tenus à une obligation de secret et ne peuvent accéder qu’au données nécessaires à l’exercice de leurs fonctions et que sur instruction du responsable de traitement. Cette obligation s’applique également à tout professionnel intervenant dans le système de santé quel que soit sa compétence, son statut et le fait qu'il ait ou non accès aux dossiers des patients44 (personnel administratif, secrétaire médical, assistant social, éducateur spécialisé, etc.). * Point 168 : Dans certains cas, il peut être nécessaire de restreindre les accès des personnes pouvant accéder à l’identité réelle d’un patient, indépendamment de la notion d’équipe de soins. Il peut s’agir d’une confidentialité simple, c’est-à-dire la non divulgation de la présence du patient à sa demande ou d’une confidentialité renforcée, par exemple dans les cas où les proches du patient exercent dans la structure de santé où il est soigné ou encore si le patient est reconnu comme une personnalité publique L’équipe de soins * Point 170 : La notion d’équipe de soins est définie comme l’ensemble des professionnels participant à la prise en charge d’un même patient et effectuant à ce titre un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes47. Les professionnels concernés sont listés à l’article R. 1110-2 du CSP. L’équipe de soins n’est pas figée. * Point 171 : Le code de la santé publique distingue : * l’échange d’informations entre professionnels relatives à une même personne prise en charge48 à condition que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins de ladite personne ; * le partage d’informations concernant une même personne49 lorsque ces professionnels appartiennent à la même équipe de soins à condition que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins de la personne concernée. * Point 175 : Seules les informations utiles à la prise en charge globale peuvent être échangées ou partagées. * Point 176 : Pour créer des profils d’habilitation selon les métiers, le responsable de traitement doit : * procéder à un état de lieux des différents profils exerçant au sein de l’établissement ; * se doter d’une matrice d’habilitation définissant les règles d’accès au DPI et les données à caractère personnel consultables par défaut par les professionnels en fonction des profils identifiés. La matrice d’habilitation doit également définir les règles d’accès pour chaque service de l’établissement (voir la Fiche 13 – Partie B) ; * identifier individuellement chaque professionnel concerné et garantir qu’il s’agit de la bonne personne (voir la Fiche 13 – Partie A) ; * prévoir des habilitations spécifiques (voir la Fiche 13 – Partie B). * Point 177 : La matrice d’habilitation est conçue et maintenue à jour par un comité de gouvernance. Elle doit tenir compte des évolutions portant sur le champ de compétence et/ou la pratique de soin de ces professionnels, qu’ils soient des professionnels de santé ou non. Il est recommandé qu’elle soit soumise à l’avis de la commission médicale d'établissement. * Point 178 : Des professionnels, salariés de l’établissement, peuvent être amenés à accéder au DPI alors qu’ils ne participent pas à la prise en charge de la personne concernée. Cet accès peut être : * imposé par la règlementation applicable, c’est notamment le cas des médecins responsables de l’information médicale (médecin DIM) ; * justifié par les besoins des autres traitements mis en œuvre par le responsable de traitement. Il est, par exemple, admis que les attachés de recherche clinique (ARC) et les techniciens d’études cliniques (TEC) de l’établissement aient accès, en lecture, au DPI des patients inclus dans l’étude afin de vérifier les données à caractère personnel transmises et remplir le CRF. * Point 179 : Dans tous les cas, ces salariés : * doivent être spécialement habilités par le responsable de traitement (voir la Fiche 13 – Partie B) ; * accèdent, sous la responsabilité du responsable de traitement, aux données strictement nécessaires à l’exercice de leurs missions, dans la limite de leurs attributions respectives. * Point 180 : En principe, le partage hors équipe de soins de données à caractère personnel couvertes par le secret professionnel nécessite de recueillir le consentement préalable du patient. Ce consentement au partage de données à caractère personnel doit répondre aux conditions posées par les articles R. 1110- 3 et suivants du CSP. * Point 181 : Dans certaines hypothèses, limitativement prévues par les textes, ce partage peut intervenir après information du patient et sous réserve qu’il ne s’y oppose pas. C’est notamment le cas pour l’accès aux données du DPI par : * le médecin DIM pour l’analyse de l’activité médicale de l’établissement ; * les personnes chargées du contrôle qualité d’une recherche impliquant la personne humaine57. Plus précisément, il s’agit des ARC et des TEC mandatés par le promoteur de la recherche. Fiche 13 Page 33 : Les mesures de sécurité liées aux accédants A - Comptes utilisateurs et authentification multifacteur * Point 182 : Chaque utilisateur du DPI, et chaque personne amenée à accéder aux systèmes sur lesquels il repose, doit avoir un compte personnel basé sur un identifiant unique et nominatif. Cela permet notamment d’assurer la traçabilité des accès au DPI et des modifications de données. * Point 184 : Il est recommandé une authentification multifacteur qui offre une protection bien supérieure au mot de passe seul. * Point 185 : Celle-ci est devrait être mise en place au plus tard en 2026. * Point 188 : Afin de concilier les impératifs de sécurité et d’ergonomie pour les professionnels de santé en établissement, l’authentification multifacteur interne peut disposer d’une durée de session longue sans dépasser une demi-journée. * Point 189 : En cas d’indisponibilité d’un des facteurs d’authentification (par exemple, oubli ou perte de la carte à puce ou du téléphone mobile, panne du réseau téléphonique, etc.), un mode alternatif doit être prévu, avec un niveau de sécurité équivalent (par exemple, remise d’une carte à puce de dépannage, tracée dans une main courante). * Point 190 : Concernant les sous-traitants intervenant sur le DPI, les mêmes mesures s’appliquent, notamment pour répondre à l’obligation de conserver leurs traces d’accès. Comme ces utilisateurs ne bénéficient pas de la CPS, des identifiants nominatifs et une authentification multifacteur locale doivent être mise en place. Il est également possible de recourir à des CPE de service non nominatives, à la condition que leur attribution soit systématiquement tracée dans une main courante, de même que leur restitution en fin de mission, qui devra être contrôlée. B - Gestion des habilitations * Point 192 : Les personnes autorisées à accéder au logiciel DPI doivent être individuellement habilitées. * Point 193 : Différents profils d’habilitation, correspondants aux différents métiers, doivent être prévus afin de gérer et paramétrer les accès au DPI en tant que de besoin et de façon exclusive. * Point 195 : La matrice d’habilitation doit tenir compte des principes de cloisonnement des données (données administratives, NIR, INS, données de santé structurées, documents textuels, imagerie, données génétiques, …) * Point 196 : Les personnels d’un service ne conservent pas l’accès au dossier d’un patient au-delà du temps nécessaire pour finaliser leurs saisies (par exemple, quelques jours pour les infirmiers, un mois pour le secrétariat spécialisé pour les comptes rendus). * Point 197 : Il peut être nécessaire ou souhaitable de restreindre les personnes pouvant accéder à l’identité réelle d’un patient (par exemple, pour protéger la vie privée d’une personnalité publique, d’un patient dont des proches exercent dans l’établissement. Dans un tel cas, la CNIL recommande de remplacer l’identité du patient concerné par un alias, qui sera seul visible pour les accès courants au dossier, ou en utilisant un mode « très confidentiel » permettant de restreindre l’accès du dossier à une équipe de soins spécialement désignée. * Point 198 : Un mineur peut solliciter le secret des informations le concernant vis-à-vis de ses représentants légaux. Le DPI devrait permettre d’identifier spécifiquement ces données et ces documents. Lors de leur consultation par un professionnel de santé, le DPI peut par exemple présenter une mention d’alerte spécifique (par exemple : « Ne pas communiquer ces informations aux parents »). De même, ces données ou documents doivent être masqués lorsque le dossier d’un patient mineur est communiqué ou rendu accessible à un représentant légal du mineur concerné. * Point 199 : Une fonctionnalité d’accès de type « bris de glace » doit permettre l’attribution temporaire et exceptionnelle de droits d’accès en cas d’urgence ou de situation de crise. Cette fonctionnalité doit impérativement assurer que ces accès sont tracés et justifiés, avec le nom de l’utilisateur et un motif issu d’une liste prédéfinie. Les droits attribués doivent être adaptés au motif déclaré (par ex. pour une recherche d’antécédents : simple liste de l’historique des séjours, et pour dispenser des soins en urgence : accès complet au séjour en cours). * Point 201 : La CNIL recommande de procéder chaque année à une revue manuelle ou automatique des habilitations. * Point 202 : Les permissions techniques d’accès au DPI doivent être supprimées ou mises à jour dès le retrait ou la modification d’une habilitation. C – Traçabilité * Point 203 : Les actions des utilisateurs du DPI doivent faire l’objet de mesures de traçabilité. En particulier, les connexions au DPI (identifiants, date et heure), les recherches de dossiers, les consultations d’informations et les opérations réalisées sur celles-ci (ajouts, modifications, suppressions) doivent être tracées, pour l’ensemble des données structurées et des documents rattachés au DPI. * Point 205 : Elles doivent être accessibles aux professionnels de santé afin d’informer l’équipe de soins et lui permettre de retracer le parcours d’un patient (professionnels ayant participé aux précédentes prises en charge, actes et éléments de décision associés, etc.), lui permettant ainsi de comprendre, voire de questionner, les orientations thérapeutiques. * Point 207 : Les traces fonctionnelles doivent être stockées au sein du DPI avec les mêmes règles de confidentialité que le dossier patient auxquelles elles se rapportent. De même, les traces de consultations et d’actions en lien avec le parcours de soin du patient (diagnostic, orientation thérapeutique, prescription, etc.) doivent être conservées avec la même durée que son dossier (20 ans après la dernière visite dans l’établissement). Afin de disposer d’une valeur probante, la CNIL recommande que ces traces soient non modifiables, enregistrées en lecture seule et de manière cloisonnée. * Point 208 : En parallèle, des « traces techniques » sont générées par les systèmes informatiques sous-jacents (serveurs, pare-feu, actifs réseaux, etc.) afin de permettre la détection et l’analyse des incidents de sécurité et des violations de données. Elles doivent tracer les flux d’information, avec leur origine et leur destination, leur horodatage précis et leur auteur (utilisateur ou machine). Elles ne doivent pas contenir de données de santé. * Point 209 : Les accès en mode « bris de glace » doivent faire l’objet de traces spécifiques incluant le nom de l’utilisateur et la justification de son accès. * Point 210 : Il est conseillé que les traces techniques soient stockées en dehors du DPI, en lecture seule pour une durée d’un an. * Point 211 : Les accès des administrateurs aux systèmes internes et aux systèmes externalisés doivent faire l’objet d’une journalisation technique renforcée. Mise en place d’un bastion d’administration avec une authentification multifacteur, permettant d’enregistrer toutes les sessions d’administration et le détail des actions réalisées par chaque administrateur. Les accès en mode dégradé doivent être encadrés par des procédures strictes assurant notamment leur validation hiérarchique, leur traçabilité et leur imputabilité. * Point 212 : Un contrôle des traces fonctionnelles doit être réalisé régulièrement. Ce contrôle doit être effectué a minima mensuellement, de préférence par une commission interne chargée de surveiller le bon usage du DPI et de traiter les plaintes, et le cas échéant d’effectuer des rappels à l’ordre ou des avertissements. Pour cela, elle peut disposer d’outils d’analyse des comportements utilisateurs, basés sur des règles métiers (par exemple, nombre de professionnels accédant à un même dossier patient, nombre de dossiers consultés chaque jour par un même professionnel, volume de documents consultés, etc.), avec un suivi spécifique des accès en mode « bris de glace ». * Point 213 : Un contrôle régulier des traces techniques doit également être opéré. * Point 214 : Une procédure de gestion d’incident doit être définie au préalable, sa mise en oeuvre doit être vérifiée régulièrement et elle doit être tenue à jour. Fiche 14 Page 38 : Les sous-traitants , destinataires et tiers A – Les sous-traitants (page 38) * Point 217 : Peuvent par exemple être qualifiés de sous-traitant (liste non limitative) : * les éditeurs des logiciels utilisés pour la mise en oeuvre du DPI, notamment si ceux-ci participent à son fonctionnement et sa maintenance ; * les sociétés proposant une offre d’hébergement, physique ou numérique, des données contenues dans le DPI ; * les prestataires contribuant à la maintenance et/ou à la sécurité du DPI ; * les prestataires proposant des services de type conciergerie, notamment pour la mise à disposition de services au sein de la chambre des patients ; * les prestataires proposant des services de restauration, notamment pour la préparation de repas adaptés à la situation médicale de la personne ; * les prestataires proposant des services de prise de rendez-vous ; * les entreprises produisant ou commercialisant un produit de santé utilisé ou ayant vocation à être utilisé lors de la prise en charge de la personne. * Point 218 : Le sous-traitant n’a pas nécessairement un accès au DPI ou à l’ensemble des données qu’il contient. Seules les données strictement nécessaires à l’exercice des missions confiées par le responsable de traitement doivent être accessibles ou transmises * Point 220 : Les habilitations et les opérations pouvant être effectuées par le sous-traitant et les personnes agissant sous sa responsabilité soient déterminées dans le cadre d’une matrice d’habilitation. * Point 221 : En cas de copies de données à caractère personnel issues du DPI, le contrat de sous-traitance conclu devra encadrer : * le périmètre précis des données et des documents concernés, ainsi que leur profondeur historique, au regard des missions confiées au sous-traitant ; * les modalités de conservation de ces copies ; * leur durée de conservation, étant précisé que ces copies ne pourront être conservées que pour la durée nécessaire à l’exercice de la mission confiée ; * les modalités de destruction et /ou de restitution des données à caractère personnel transmises. * Point 223 : En cas d’hébergement de données, le tiers devra être un hébergeur de données de santé certifié conformément aux dispositions du CSP. * Point 225 : Exigences : * hébergement exclusivement sur le territoire européen ; * encadrement des accès à distance depuis l’extérieur du territoire européen ; * transparence sur les risques associés aux législations extra-européennes auxquelles seraient soumis l’hébergeur. B – Les tiers : destinataires et tiers autorisés (page 39) * Point 227 : La transmission de données à caractère personnel contenues dans le DPI à des tiers peut s’avérer nécessaire : * en application de la règlementation en vigueur ; * pour garantir la coordination des soins avec des professionnels intervenant dans la prise en charge de la personne concernée. Les tiers susceptibles d’intervenir dans la prise en charge des patients * Point 229 : La notion d’équipe de soins est liée au parcours de santé de la personne concernée. Elle peut ainsi inclure des professionnels de santé exerçant en dehors de l’établissement de santé responsable du DPI (professionnel exerçant dans un autre établissement de santé ou en ville, médecin traitant). * Point 232 : La transmission de données à caractère personnel, incluses ou non dans un document du DPI, peut intervenir soit de manière : * « automatique ». C’est notamment le cas des lettres de liaison éditées à la fin d’une hospitalisation qui doivent être transmises au professionnel qui a adressé le patient à l’établissement de santé et à son médecin traitant ; * à la demande du patient. Le patient peut communiquer à l’établissement de santé, les coordonnées des professionnels de santé intervenant dans sa prise en charge et pour lesquels il souhaite que des données à caractère personnel le concernant, soient communiquées. Le patient étant susceptible de changer d’avis ou de ne plus être suivi par le professionnel concerné, il est recommandé de les tenir à jour, notamment en demandant au patient de confirmer sa demande. Les tiers autorisés * Point 234 : Certaines autorités publiques ont le pouvoir d’exiger la transmission de données à caractère personnel ou de documents, en vertu de l’intérêt public qui s'attache à l'accomplissement de leurs missions. L’enjeu pour l’établissement de santé recevant une telle demande est de veiller à se conformer aux dispositions légales tout en garantissant la sécurité des données à caractère personnel traitées. * Point 235 : A réception d’une demande d’accès ou de transmission, le responsable doit s’interroger sur : * l’existence d’une base légale fondant la demande de l’autorité et autorisant la communication des données ; * la qualité de l’organisme à l’origine de la demande et le périmètre des données à caractère personnel ciblées ; * les moyens de sécuriser la communication des seules données nécessaires ou les modalités d’accès par le tiers autorisé. * Point 237 : Concernant le DPI, les tiers autorisés peuvent notamment être : * les commissaires aux comptes dans le cadre de l’exercice de leur mission75. Les conditions d'accès sont précisées dans le CSP76 ; * les forces de l’ordre et la justice (police, gendarmerie, juge, procureur de la République). Il existe différentes procédures susceptibles de justifier une transmission de données à caractère personnel : l’enquête préliminaire77, l’enquête de flagrance78, l’enquête d’instruction79 ; * la commission de conciliation et d’indemnisation80 (CCI) qui, avant d’émettre son avis, peut diligenter une expertise et obtenir communication de tout document, y compris d’ordre médical81 ; * les médecins de l’inspection générale des affaires sociales, les médecins inspecteurs de santé publique, les médecins de l’agence régionale de santé, les médecins conseils des organismes d’assurance maladie82, lorsqu’elles sont nécessaires à l’exercice de leurs missions ; * les médecins-experts dans le cadre de la certification menées par la Haute autorité de santé (HAS) Les attachés de recherche clinique et les techniciens d’études cliniques. * Point 239 : Les ARC et les TEC externes à l’établissement, peuvent, dans le cadre des contrôles menés pour s'assurer de la qualité de la recherche, accéder au DPI sur place. Il est recommandé de respecter les modalités d’accès décrites dans les méthodologies de référence publiées par la CNIL. Fiche 15 Page 42 : La maîtrise des relations avec les sous-traitants et les tiers A – Les relations avec les sous-traitants (page 42) * Point 242 : L’établissement de santé est tenu de faire appel à des sous-traitants qui présentent des garanties techniques et organisationnelles suffisantes pour la protection des données traitées, notamment leur confidentialité et leur intégrité. * Point 244 : Afin de garantir une parfaite maîtrise sur le long terme de la sécurité du DPI et des données à caractère personnel traitées pendant toute la durée d’exécution de la prestation, des audits réguliers doivent être menés. À cet égard, il est recommandé de faire appel à des prestataires qualifiés par l’ANSSI. * Point 246 : L’établissement de santé est tenu de conclure, avec chacun de ses sous-traitants, un acte juridique écrit qui engage les parties, le plus souvent un contrat. Ce document devra couvrir l’ensemble des points mentionnés à l’article 28 du RGPD. * Point 247 : le document contractuel doit contenir : * Détaille la répartition des obligations notamment en matière de sécurité. En particulier, les exigences de sécurité pour les sous-traitants liés au DPI doivent être formalisées et détaillées, par exemple sous la forme de SLA (service-level agreement) et de PAS (Plan d’assurance sécurité), à la hauteur des exigences de sécurité identifiées pour le DPI ; * Prévoit des conditions de fin de contrat et de réversibilité soutenables pour l’établissement de santé, notamment par le maintien de la prestation sous sa forme initiale pendant un délai suffisant à l’organisation d’une migration vers un autre prestataire. Un délai de deux ans pour les sous-traitants les plus impliqués dans la mise en œuvre du DPI semble adapté aux enjeux ; * Prévoit une information de l’établissement de santé en cas de changement de contexte susceptible d’impacter les conditions d’exécution de la prestation conclue ; * Impose d’obtenir l’accord préalable et spécifique de l’établissement de santé de tout changement concernant l’ajout ou la modification d’un sous-traitant ultérieur traitant les données du DPI ; * La liste précisément et limitativement les finalités pour lesquelles les données traitées par le sous-traitant peuvent être réutilisées par celui-ci. Dans cette hypothèse, il appartient à l’établissement de santé de s’assurer de la compatibilité des finalités poursuivies ultérieurement et d’informer les personnes de ces réutilisations. * Point 248 : Les personnels des sous-traitants doivent être spécifiquement habilités à accéder au DPI en fonction d’un périmètre défini. B – Les relations avec les éditeurs de solutions (hors sous-traitances) (page 43) * Point 250 : Utiliser des solutions permettant de garantir la protection des données traitées, notamment leur confidentialité et leur intégrité * Point 251 : Respect d’un cahier des charges établi à l’avance. * Point 252 : Les services numériques en santé utilisés par les établissements de santé doivent être conformes à des référentiels produits par l’Agence du numérique en santé (ANS) et rendus opposables par voie d’arrêté du ministre chargé de la santé. Pour certains de ces référentiels, l’arrêté peut prévoir la délivrance d’un certificat de conformité par l’ANS. * Point 255 : Des solutions incluant un contrat de maintenance corrective et évolutive, avec des mises à jour régulières. C – Les relations avec les tiers (Page 44) * Point 256 : Les transmissions de données doivent faire l’objet d’un contrat définissant précisément les données transmises et la finalité poursuivie ultérieurement, ainsi que les mesures de sécurité de ces transmissions. * Point 257 : Déterminer si la finalité du traitement ultérieur est compatible avec la finalité pour laquelle les données ont été initialement collectées. * Point 258 : Les transmissions tracées et reposant sur des canaux sécurisés ; les données transmises doivent être chiffrées. * Point 259 : Si transmission en dehors de l’Union européenne, celles-ci devront être conformes au chapitre V du RGPD. Fiche 16 Page 45 : La sécurisation des opérations de maintenance * Point 261 : Les interventions doivent être encadrées par des contrats et des procédures. Un compte rendu sera réalisé. * Point 262 : Les interventions doivent être réalisées à travers des accès temporaires, ouverts ponctuellement et refermés dès la bonne fin de l’intervention. Il est recommandé l’utilisation d’un bastion d’administration en authentification multifacteur, permettant d’assurer la traçabilité complète des sessions d’intervention pour chaque utilisateur. * Point 265 : Afin d’assurer le maintien en condition opérationnelle du DPI et l’intégrité de ses données, toute mise en production est accompagnée d’une procédure de retour arrière en cas de problème, laquelle devra également avoir été testée au préalable. [cid:image006.png@01DB879B.CE7498B0] [cid:image001.png@01DBBF2B.145D2830] De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr> Envoyé : mardi 6 mai 2025 14:30 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr> Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr> Objet : [Club RSSI] - Relance // Consultation publique sur la recommandation CNIL sur les DPI Bonjour à tous, Pour rappel – cf ci-dessous. Merci d’apporter vos contributions en amont des réunions svp, - Vendredi 9 Mai idéalement - afin que nous ayons matière à discuter. Pour vous aider dans votre retour, si besoin, en pj le support Word de la consultation – merci de la conserver au sein de nos échanges uniquement. En parallèle, j’envoie une invitation pour l’échange entre nous – invitation qui partira à tous, venez comme vous êtes 😉 Merci d’avance à tou(te)s pour vos contributions, Bien cordialement. [cid:image002.png@01DBBF2B.145D2830] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image008.png@01DBBF2A.CC2C2B60] <https://bluefiles.com/santnumeriquehdf/ghtlmfi-rssi-ght> De : AUBIN, Thomas Envoyé : vendredi 18 avril 2025 07:55 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> Objet : Consultation publique sur la recommandation CNIL sur les DPI Importance : Haute Bonjour à tous, Pour donner suite aux échanges Tchap, le Club se propose de coordonner une réponse à la consultation lancée par le CNIL sur des recommandations de conformité et de sécurité autour du Dossier Patient Informatisé ; Les infos CNIL et les propositions de recommandations sont ici : Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation | CNIL<https://www.cnil.fr/fr/conformite-et-securite-des-dossiers-medicaux-la-cnil-...> Pour conduire cette réponse, deux « obligations » : * Avoir une participation de nos membres 😉 ; pour cela, merci de faire, par retour de mail, sous la forme qui vous plaira, vos remarques sur le document avant le Vendredi 9 Mai, délai de rigueur ; * Avoir un noyau qui se constitue et qui agrège/harmonise/met en forme les réponses – Je propose de placer une première itération le Lundi 12 Mai 17h/18h, et si besoin une seconde Jeudi 25 Mai 17h/18h – les candidats à la relecture, merci de vous manifester ; Vous souhaitant d’avance à toutes et tous un bon week-end prolongé, Bien cordialement. Thomas AUBIN Responsable de la Sécurité du Système d’Information Cellule Conformité Numérique Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chu-lille.fr> [cid:image010.png@01DBBF2B.145D2830]<https://bluefiles.com/santnumeriquehdf/ghtlmfi-rssi-ght> ATTENTION : Ce message a été envoyé par un expéditeur externe, en dehors de l’hôpital Émile Roux. Ne cliquez pas sur les liens ou n’ouvrez pas les pièces jointes… sauf si vous connaissez l’expéditeur et que vous lui faites confiance !