Dossier Médical Personnel: la CNIL pointe les failles du système

Par 19 avril 2007
Mots-clés : Smart city

Verra-t-on un jour le Dossier Médical Personnel (DMP) officialisé? Déjà remis en question en février 2007 par la CNIL (Commission nationale de l'informatique et des libertés), qui souhaitait des mesures de confidentialité renforcées, il vient d'être de...

Verra-t-on un jour le Dossier Médical Personnel (DMP) officialisé? Déjà remis en question en février 2007 par la CNIL (Commission nationale de l'informatique et des libertés), qui souhaitait des mesures de confidentialité renforcées, il vient d'être de nouveau mis sur la sellette par l'organisation. Celle-ci, qui vient de terminer ses premières expérimentations du système, estime que les données personnelles ne sont toujours pas suffisamment protégées.
 
Selon la Commission, "la courte durée d'expérimentation du DMP ne permet pas de mesurer son fonctionnement effectif et [...] les mesures de sécurité doivent être renforcées".
 
Pour tester les dispositifs de sécurité qui entourent le DMP, la CNIL s'est rendue auprès des principaux acteurs du projet: centres d'appel, hébergeurs, centres hospitaliers, réseaux de santé et médecins libéraux.
 
Et les conclusions sont sans appel: du côté des hébergeurs, d'abord. Selon la CNIL, certains auraient transféré "les identifiants de patients aux établissements de soins par voie électronique, sans protection particulière".
 
Même manque de rigueur de la part des centres d'appel, qui communiquent parfois trop facilement au patient le mot de passe donnant accès à son dossier, sans vérification poussée. Plus grave, certains centres ne respecteraient pas les mesures d'"identification-authentification", en ne soumettant pas les patients à des "questions défis" qui permettent de s'assurer de leur identité.
 
En ce qui concerne le "droit de masquage", c'est-à-dire la possibilité pour les patients de dissimuler certaines parties de leur dossier aux professionnels de la santé, la Commission s'est révélée dans l'incapacité de "mesurer son application effective".
 
Enfin, la CNIL a également découvert une importante faille de sécurité sur le site Internet d'un hébergeur. Celle-ci permettait aux patients l'accès au DMP "par des identifiants et des mots de passe identiques et facilement déductibles". La faille a été résolue, mais elle a mis le doigt sur la nécessité d'informer les patients pour qu'ils enregistrent un mot de passe difficilement piratable.
 
En février, l'organisation avait critiqué l'utilisation du NIR (le numéro d'inscription au répertoire de l'Insee, ou numéro de sécurité sociale) comme identifiant pour accéder au DMP. Selon elle, celui-ci pouvait être facilement deviné.
 
Le rôle de la CNIL dans le dossier est purement consultatif, le dernier mot revenant au ministère de la Santé. Mais cette succession d'avis négatifs pourrait bien remettre en cause la mise en place du DMP, ou tout du moins la confiance que pourraient avoir les particuliers envers ce dossier censé leur faciliter la vie...
 

(Atelier groupe BNP Paribas – 19/04/2007)

Mentions légales © L’Atelier BNP Paribas