Touchant bientôt à sa fin, la CNIL avait lancé une consultation publique organisée du 16 mars au 16 juin 2025 relative à un projet de recommandation concernant le dossier patient informatisé (DPI).
Ce projet s’articule autour de différents thèmes, tels que les données contenues dans le DPI, la sécurisation des échanges de données et l’information des personnes concernées.
A ce stade, la version consultable du projet évoque certains manques observés sur des sujets divers, notamment :
– L’Information des patients : Les mentions fournies sont souvent incomplètes et ne respectent pas les exigences de l’article 13 du RGPD.
– La sécurité des accès : Des lacunes sont observées dans l’authentification des utilisateurs du DPI, notamment l’absence d’authentification multifacteur pourtant exigée par la PGSSI-S.
– La gestion des habilitations : Des manquements existent quant à la gestion des droits d’accès. A ce sujet, la CNIL rappelle l’importance de définir une politique claire, en lien avec le secret professionnel et l’organisation en équipe de soins.
– Les relations avec les sous-traitants : La CNIL insiste sur la nécessité d’intégrer dans les contrats certaines clauses nécessaires, notamment relatives à la réversibilité ou encore l’accord préalable de l’établissement concerné pour tout sous-traitant ultérieur.
S’agissant des droits des personnes prévus par le RGPD, la CNIL indique que le sujet sera abordé ultérieurement afin de prendre en considération les évolutions du règlement relatif à l’espace européen des données de santé (Règlement EHDS).
