Face à une hausse des cyberattaques et des manquements à la sécurité des dossiers patients informatisés (DPI), la Cnil a élaboré un projet de recommandation pour renforcer leur conformité et leur sécurité.

Ce document, qui rappelle les règles et propose des orientations techniques et juridiques, est soumis à consultation publique jusqu’au 16 mai 2025. Cette initiative fait suite à de nombreux contrôles et alertes concernant des violations de données et des accès illégitimes.

La recommandation est destinée en particulier aux délégués à la protection des données (DPO) et à leurs conseils en matière de protection des données personnelles, aux responsables de systèmes d’information (DSI, RSSI) et aux directions générales des établissements de santé publics et privés.

La recommandation insiste notamment sur :

  • la notion d’équipe de soins, définie dans le code de la santé publique, qui détermine l’échange et le partage des informations de santé entre les professionnels intervenant dans la prise en charge du patient et pour laquelle des difficultés d’interprétation juridique se présentent ;
  • les sous-traitants et leurs obligations ;
  • le niveau d’exigence associé à l’authentification multifacteur et au chiffrement des données.

Tous les acteurs concernés sont invités à donner leur avis via un formulaire en ligne accessible directement sur le site de la Cnil.

Une fois la consultation terminée, un webinaire de restitution aura lieu le 1er avril à 11h.