Dossier médical personnel : la Cnil pointe les failles de sécurité
par mail
l'article
Le dossier médical personnalisé (DMP) consiste à centraliser les informations de santé d'un Français, stockées chez un hébergeur. Données que peuvent consulter les interlocuteurs du patient dans le monde médical, avec son accord. En théorie, il devrait voir le jour en 2008. Pour participer au projet, les hébergeurs doivent obtenir un agrément du ministère, qui se prononce après avis de la Commission nationale de l'informatique et des libertés (Cnil). C'est dans ce cadre que cette dernière a effectué une série de contrôles sur l'expérimentation en cours.
La commission a passé au crible le fonctionnement du DMP en différents points de la chaîne : depuis le cabinet du médecin jusqu'à l'hébergeur, en passant par les centres hospitaliers. Et elle a relevé nombre d'erreurs flagrantes de sécurité, qu'elle pointe dans un communiqué.
Manque de cryptage
Elle a ainsi constaté des transferts d'informations entre les hébergeurs et les établissements de soins sans cryptage. Les bases de données, où sont stockées les informations médicales des patients, ne sont pas systématiquement chiffrées, alors que la Cnil l'exige.
Par ailleurs, en cas de perte des identifiants, certains centres d'appels fournissent le mot de passe par téléphone ou, en clair, dans un message électronique. Ces mêmes centres sont également critiqués sur le fait de ne pas utiliser les questions “ défis ” renseignées pour identifier les patients.
“ L’expérimentation a révelé une importante faille de sécurité sur le site Internet d’un hébergeur, où l'accès au DMP par les patients reposait sur des identifiants et mots de passe identiques et facilement déductibles. Bien que résolue dans de brefs délais, cette faille a démontré l’intérêt qui s’attache à la définition d’un mot de passe “robuste” ”, indique la commission.
Toutes ces pratiques compromettent la confidentialité des informations, selon la Cnil, qui demande évidemment des améliorations. Même si dans les faits, la commission se veut rassurante sur ce point, puisqu'elle a vérifié que “ les personnels administratifs et techniques, tant de l’hébergeur que des centres d’appels, n’ont pas accès aux données de santé contenues dans les DMP ”.
Une amende de 30 000 euros pour manque de transparence
Depuis 2004, la Cnil est autorisée à infliger directement des sanctions pécuniaires aux sociétés en infraction avec la loi informatique et libertés. Elle vient de condamner la société Tyco Healthcare France à 30 000 euros d'amende pour manque de coopération et de transparence. Tyco, spécialisée dans la fabrication de matériel médical a prétendu avoir suspendu l'usage d'un fichier de gestion litigieux. Or la commission a découvert que non seulement le fichier était toujours en usage et présentait de nombreuses incertitudes juridiques.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
