Passer au contenu

Dossier médical personnel : la Cnil pointe les failles de sécurité

Des contrôles réalisés sur le test en cours révèlent de graves lacunes en matière d’authentification ou de chiffrement de bases de données.

Le dossier médical personnalisé (DMP) consiste à centraliser les informations de santé d’un Français, stockées chez un hébergeur. Données que peuvent consulter les interlocuteurs du patient dans le monde médical, avec son accord. En
théorie, il devrait voir le jour en 2008. Pour participer au projet, les hébergeurs doivent obtenir un agrément du ministère, qui se prononce après avis de la Commission nationale de l’informatique et des libertés (Cnil). C’est dans ce cadre
que cette dernière a effectué une série de contrôles sur l’expérimentation en cours.La commission a passé au crible le fonctionnement du DMP en différents points de la chaîne : depuis le cabinet du médecin jusqu’à l’hébergeur, en passant par les centres hospitaliers. Et elle a relevé nombre d’erreurs flagrantes de
sécurité, qu’elle pointe
dans un communiqué.

Manque de cryptage

Elle a ainsi constaté des transferts d’informations entre les hébergeurs et les établissements de soins sans cryptage. Les bases de données, où sont stockées les informations médicales des patients, ne sont pas systématiquement
chiffrées, alors que la Cnil l’exige.Par ailleurs, en cas de perte des identifiants, certains centres d’appels fournissent le mot de passe par téléphone ou, en clair, dans un message électronique. Ces mêmes centres sont également critiqués sur le fait de ne pas utiliser
les questions ‘ défis ‘ renseignées pour identifier les patients.‘ L’expérimentation a révelé une importante faille de sécurité sur le site Internet d’un hébergeur, où l’accès au DMP par les patients reposait sur des identifiants et mots de passe identiques et
facilement déductibles. Bien que résolue dans de brefs délais, cette faille a démontré l’intérêt qui s’attache à la définition d’un mot de passe “robuste” ‘,
indique la commission.Toutes ces pratiques compromettent la confidentialité des informations, selon la Cnil, qui demande évidemment des améliorations. Même si dans les faits, la commission se veut rassurante sur ce point, puisqu’elle a vérifié que
‘ les personnels administratifs et techniques, tant de l’hébergeur que des centres d’appels, n’ont pas accès aux données de santé contenues dans les DMP ‘.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Karine Solovieff