La CNIL épingle des établissements de santé

Comment passe-t-on du hameçonnage d’un professionnel de santé à l’exfiltration des données de 33 millions de personnes ? Ni Viamedis, ni Almerys n’a officiellement répondu à cette question.

Les deux entreprises, gestionnaires majeurs de tiers payant, ont subi les cyberattaques que l’on sait. Elles en ont reconnu le vecteur initial, mais n’ont pas détaillé le mode opératoire qui a permis l’accès a de tels volumes d’informations.

Coïncidence ? C’est dans ce contexte que la CNIL annonce avoir mis en demeure plusieurs établissements de santé. Elle leur demande de mettre en place trois types de protections pour les DPI (dossiers patients informatisés) :

– Une politique d’authentification robuste

– Une journalisation des accès

– Des habilitations spécifiques, selon deux critères
D’une part, le métier exercé : un agent d’accueil, par exemple, ne doit accéder qu’aux dossiers administratifs ; pas aux données médicales.
De l’autre, la notion d’équipe de soins : seuls les professionnels de santé effectivement impliqués dans la prise en charge d’un patient ou les soins qui lui sont prodigués peuvent avoir accès aux informations couvertes par le secret médical.

On agrémentera éventuellement ces habilitations d’un mode « bris de glace ». Celui-ci permettra des accès d’urgence pour les agents administratifs et les professionnels de santé.
La CNIL conseille également des mesures de confidentialité renforcées pour des dossiers particuliers. Par exemple, ceux de patients provenant d’établissements pénitentiaires.

La commission affirme prévoir des « mesures correctrices » contre d’autres établissements en 2024.

À consulter en complément :

Pourquoi la CNIL a autorisé le Health Data Hub à héberger des données de santé chez Microsoft
Santé, edtech, IA… Où en sont les « bacs à sable » de la CNIL ?
Les « sanctions RGPD » que la CNIL a prononcées en 2023
Du service interne au plan d’action : l’IA infuse à la CNIL

Illustration © Arunas Gabalis – Shutterstock