Le Dossier Médical Personnel et la sécurité

FICHE PRATIQUE – JUIN 2011
Le Dossier Médical Personnel
et la sécurité
www.dmp.gouv.fr
L’essentiel…
Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la
confiance des utilisateurs dans un outil emblématique de la dématérialisation des données
de santé au service de l’amélioration de la qualité et de la coordination des soins. A ce
titre, la sécurité est prise en compte dans toutes les phases du cycle de vie du système.
Les orientations retenues pour sécuriser les services du DMP sont fortement
conditionnées par le respect des droits du patient qui choisit les professionnels de santé
autorisés à consulter son dossier. Les mesures de sécurité mises en œuvre ne doivent ni
représenter une gêne pour la prise en charge des patients par les professionnels de santé
ni entraîner de perte de temps voire d’éventuelle « perte de chance ». Il y a donc un
arbitrage nécessaire à effectuer entre « facilité d’accès au DMP », dans un objectif de gain
de chance et «sécurisation» de l’accès aux données de santé personnelles.
Fiche pratique : Le DMP et la sécurité – Juin 2011
Comment assure-t-on la sécurité du système d’information du DMP ?
La sécurité du DMP repose sur :
la mise en œuvre de contrôles a priori :
Tous les utilisateurs (PS, ES et patient) sont authentifiés de manière forte pour
accéder au SI DMP.
Le contrôle d’accès aux informations qui est appliqué laisse la possibilité à un
professionnel de santé d’accéder sous son entière responsabilité aux données de
santé des patients qu’il prend en charge dans la limite de l’autorisation d’accès
donnée par le patient et des documents autorisés pour sa profession (médecin,
pharmacien, …).
En situation d’urgence, un professionnel de santé non préalablement autorisé par un
patient peut accéder aux données de ce dernier en signalant qu’il accède en mode
« bris de glace ».
La matrice d’habilitation restreint l’accès aux contenus du DMP en fonction de la
profession du PS.
Le contrôle a posteriori des actions des utilisateurs :
Le contrôle des usages du DMP (consultation et alimentation) est fondé sur une
traçabilité et une imputabilité totales des actions effectuées par l’ensemble des
utilisateurs. Le patient peut accéder à la liste des actions effectuées par des PS sur
son DMP.
Les mésusages sont pénalisés. Ces principes de dissuasion sont rendus possibles par
le cadre légal et réglementaire particulièrement strict dans lequel s’inscrit le service
DMP.
L’entrée en service du DMP favorise simultanément la dématérialisation massive et le
partage des données de santé. Elle entraîne une évolution significative de la nature des
risques relatifs à la sécurité de l’information. La dématérialisation n’implique pas à
proprement parler l’apparition de nouveaux risques mais une évolution des menaces et des
vulnérabilités potentielles portant sur les données. Face à ces risques, le DMP intègre des
dispositifs de sécurité assurant la disponibilité et l’intégrité du système, ainsi que la
protection en intégrité et en confidentialité des données de santé à caractère personnel
hébergées au sein du système. Ces dispositifs mettent en œuvre des principes, des
protocoles et des mécanismes de sécurité conformes à l’état de l’art des standards
internationaux. Ils sont sous surveillance permanente et font l’objet de mises à jour
régulières pour répondre à l’évolution des menaces.
2
Fiche pratique : Le DMP et la sécurité – Juin 2011
Qu’est-ce que la carte de professionnel de santé (CPS) ?
La carte de professionnel de santé, ou carte CPS, est la carte d’identité électronique des
professionnels du secteur de la santé inscrits par leurs ordres au sein des annuaires de
référence (RPPS1, RASS2). Elle constitue le maillon final d’une chaîne de confiance qui permet
à son titulaire d’attester de son identité professionnelle. Comme pour une carte bancaire,
son usage est lié à la saisie d’un code confidentiel propre à son porteur. La CPS est délivrée
par l’ASIP Santé qui est l’autorité de certification désignée du secteur de la santé.
La carte contient notamment l'identifiant du PS (numéro RPPS pour tous en cible) et 2
certificats (un certificat d'authentification et un certificat de signature).
Depuis février 2011, une nouvelle génération de carte de professionnel de santé est délivrée
de façon systématique à tout professionnel de santé (libéral et salarié), inscrit au tableau de
son Ordre professionnel ou ayant été enregistré en ARS pour les autres professions.
La nouvelle organisation qui découle de la mise en place du RPPS se traduit dans les faits par
une simplification administrative : un guichet unique est chargé de l’enregistrement de
toutes les informations concernant les professionnels. L’ordre professionnel est le guichet
principal pour tous les professionnels de santé civils, quel que soit leur mode (libéral ou
salarié) et leurs lieux d’exercice (cabinet, établissement).
Cette simplification installe une nouvelle procédure de distribution des cartes, formalisant et
clarifiant les rôles respectifs des autorités d’enregistrement et de l’autorité de certification.
Les ordres professionnels se trouvent désormais fortement impliqués en tant qu’autorités
d’enregistrement de l’identité et des qualifications des professionnels de santé.
Quels sont les dispositifs de sécurité mis en place pour contrôler l’accès du
Professionnel de Santé ou de l’Etablissement de Santé au DMP ?
Cinq dispositifs complémentaires permettent de contrôler conjointement l’accès d’un
professionnel de santé à un DMP.
1. Une fonction du système détermine la liste des actions possibles sur les DMP, pour
chaque cas d’utilisation du système par un PS. Ces possibilités d’accès dépendent des
1
Répertoire Partagé des Professionnels de Santé
2
Référentiel des Acteurs Santé Sociaux
3
Fiche pratique : Le DMP et la sécurité – Juin 2011
2.
3.
4.
5.
moyens et de la procédure d’identification et d’authentification utilisés par le PS lors
de son accès au système DMP.
Une fonction du système précise les actions que peut effectuer le PS sur un DMP
donné, selon l’activité de ce PS ou son rôle vis-à-vis du patient concerné.
Une fonction du système prend en compte les restrictions d’accès que le patient a
éventuellement ajoutées sur son DMP.
Une fonction du système veille à ce que le PS ne consulte que des documents liés à sa
profession (matrice d’habilitation des professionnels de santé).
Une fonction du système établit et conserve la trace de toutes les actions des PS sur
les DMP. Chaque utilisateur peut consulter les traces de ses propres actions. Chaque
patient peut consulter les traces des accès à son dossier.
1 - Authentification
du PS lors de
l’accès au système
Système DMP
2 - Contrôle du
rôle du PS sur le
dossier
Création, alimentation ou
gestion administrative du
DMP du patient
Professionnel de santé (PS)
OU
Carte de
professionnel de
santé (CPS)
Possibilités d'accès
dépendant des
moyens utilisés par le
PS pour accéder au
système et pour
s'authentifier
Possibilités d'action sur
le dossier selon le
contexte d’utilisation
(médecin traitant ou non,
normal ou urgence),
avec les restrictions
souhaitées par le patient
3 - Contrôle de
l’habilitation du PS à
consulter certains
types de documents
Consultation
des documents
du DMP du
patient
Droits à consulter certains
types de document en
fonction de la profession de
santé du PS, fixés par décret
Certificat de
personne morale
5 – Enregistrement
des traces des
actions du PS
4 - Contrôle du
masquage de
document pour
le PS
Impossibilité de
consulter les documents
que le patient a
masqués pour ce PS
Traces pouvant
être consultées
par le PS ou par
le patient
La sécurité d’un professionnel de santé aux DMP
La sécurité d’accès d’un professionnel de santé aux DMP
Pour un établissement de santé et à la demande de son directeur, l’ASIP délivre des
certificats de personne morale (ou certificats d’établissement) et des cartes de
professionnels d’établissement (CPE) permettant la création et l’alimentation du DMP. Le
tableau ci-dessous présente les modes d’authentification préalables aux actions de création,
alimentation et consultation du DMP.
4
Fiche pratique : Le DMP et la sécurité – Juin 2011
Création
Authentification
directe
Authentification
indirecte
Alimentation
Consultation
Fermeture
CPS
CPS
CPS
CPS
CPE
Certificat logiciel personne morale
Certificat
logiciel personne
morale
Non Accessible
Quel est le dispositif de sécurité mis en place pour contrôler l’accès du patient au
DMP ?
Le DMP d’un patient est créé par un professionnel de santé en présence du patient doté de
sa carte Vitale indispensable pour le calcul de son Identifiant National de Santé (INS).
A la demande du patient, le PS peut créer l’accès internet à son DMP. Il lui remet alors ses
« informations de connexion » c’est-à-dire l’identifiant (généré par le système et non
signifiant) et le mot de passe qui permettront au patient de se connecter au portail web
patient pour gérer lui-même son DMP. Lors de sa première connexion à son DMP, le patient
sera contraint de changer le mot de passe qui lui a été remis par le PS.
L’accès d’un patient au système DMP se déroule en deux étapes. Dans un premier temps, le
patient doit fournir son identifiant et son mot de passe de connexion. Dans un second
temps, il doit introduire le code d’accès à usage unique qu’il reçoit par message électronique
ou SMS à la suite de la première étape. Après trois échecs successifs, le compte est bloqué
durant quinze minutes. Un patient peut renouveler son mot de passe de connexion autant
de fois qu’il le désire.
Comment est assurée la sécurité du DMP dans les établissements de santé ?
Le DMP ne se substitue pas aux dossiers métiers des professionnels de santé (dossier
hospitalier, dossiers de spécialité, etc.). Ce n’est pas un « outil de production de soins », mais
bien un « outil de partage » dans lequel sont ajoutés des documents produits par les logiciels
métiers, lorsque ces documents sont jugés nécessaires à la coordination des soins. Les ES
doivent donc toujours protéger les données personnelles de santé de leurs patients au sein
de leur Système d’Information Hospitalier pour être en conformité avec le décret
confidentialité actuellement en vigueur (Décret n° 2007-960 du 15 mai 2007) et avec son
5
Fiche pratique : Le DMP et la sécurité – Juin 2011
évolution dans le cadre de la PGSSI3. La sécurité de l’utilisation du DMP dans un
établissement de santé s’inscrit dans le cadre de la Politique de Sécurité du Système
d’Information de l’établissement et reste placée sous la responsabilité du directeur de
l’établissement.
Le Système d’Information Hospitalier (SIH) doit être en mesure de calculer l’INS, de collecter
les documents, les normaliser en produisant un en-tête CDA s’ils ne l’ont pas déjà, et enfin
de les échanger avec le protocole IHE avec le DMP dans le respect des règles définies par
l’Asip Santé en matière de sécurité et d’imputabilité. Pour que les impacts soient minimes
sur leur SIH, l’Asip Santé encourage vivement les ES à mettre en œuvre des solutions du
marché homologuées pour le calcul de l’INS et la DMP-compatibilité plutôt que de se lancer
dans des développements locaux.
Lorsqu’un patient demande ou consent à la création de son DMP, le SIH doit calculer son INS
à l’aide des traits d’identité lus dans sa carte Vitale. Cette création peut être organisée en
tout lieu et à tout moment (à l’accueil de l’établissement, au bureau des admissions, en
unité de soins) dès lors qu’un face à face existe avec le patient et que la lecture de sa carte
Vitale est possible. L’identité du patient est vérifiée selon les procédures en vigueur dans
l’établissement.
Au sein du périmètre de confiance où se déroule la prise en charge d’un patient, l’identitovigilance est une obligation. Elle garantit en particulier l’association du patient à son dossier.
L’identito-vigilance doit être présente durant toute la prise en charge du patient et
particulièrement lors de l’alimentation de son DMP référencé par son INS.
Les PS sont responsables de la gestion de leur carte CPS et de toutes les actions sur le DMP
effectuées à l’aide de cette carte (notamment création, alimentation et consultation de
dossier). Les directeurs d’établissement sont responsables de la gestion des cartes CPE
obtenues pour leurs personnels, des certificats de personne morale et de toutes les actions
sur le DMP effectuées à l’aide de ces moyens d’authentification (notamment création et
alimentation de dossier).
Comment est assurée la sécurité du DMP au niveau des professionnels libéraux?
Les PS libéraux peuvent utiliser deux moyens d’accès au DMP :
3
Politique Générale de Sécurité des Systèmes d’Information.
6
Fiche pratique : Le DMP et la sécurité – Juin 2011
-
un poste de travail relié à Internet, muni d’un navigateur et d’une applet Web PS
fournie par le système DMP4,
-
un système relié à Internet comportant un logiciel de professionnel de santé ou de
gestion de cabinet (LPS) DMP-compatible et référencé par le CNDA pour le calcul de
l’INS.
Les PS libéraux s’authentifient au DMP avec leur carte CPS. Le système DMP trace les accès
et enregistre toutes les actions des PS sur les DMP auxquels ils accèdent.
Au regard du système DMP, les PS libéraux sont responsables de la gestion de leur carte CPS
et de toutes les actions sur le DMP effectuées à l’aide de cette carte (notamment création,
alimentation et consultation de dossier).
Le DMP n’apporte pas de solution à la gestion des risques liées à la protection locale des
données de santé à caractère personnel présentes sur le poste de travail du PS ou sur le
système de son cabinet ou de son officine.
L’ASIP Santé rappelle que les PS sont responsables de la protection en intégrité et en
confidentialité de toutes les données personnelles de santé qu’ils hébergent sur leur poste
de travail ou leur système d’information (Décret n° 2007-960 du 15 mai 2007). Ils doivent
donc veiller à la sécurité des moyens informatiques utilisés.
Le portail de la sécurité informatique de l’ANSSI contient de nombreuses recommandations
concernant la sécurité des systèmes et en particulier celle des postes de travail.
(http://www.securite-informatique.gouv.fr/index.html)
Comment est assurée la sécurité du DMP au niveau du patient qui possède un PC
standard, dont les accès sont peu ou pas protégés ? Quid des chevaux de Troie, des
risques d’agression et d’intrusion ?
Le système DMP contrôle l’accès aux dossiers des patients et préserve la confidentialité et
l’intégrité des données personnelles contenues dans ces dossiers. Il trace les accès et
enregistre toutes les actions d’un patient sur son DMP.
Toutefois, lorsqu’un utilisateur accède à des données dans un système en ligne, ces données
sont aussi temporairement présentes dans le terminal utilisé (ordinateur PC ou autre). Si le
terminal n’est pas convenablement protégé, il peut faire l’objet d’une attaque et héberger
4
Ce moyen d’accès au DMP est aussi disponible au sein des Etablissements de Santé.
7
Fiche pratique : Le DMP et la sécurité – Juin 2011
un code malveillant capable d’exploiter ces données locales ou d’agir à la place de
l’utilisateur.
Ce risque est le même pour tout système et pour tout type de données accessibles en ligne,
comme les données bancaires ou fiscales par exemple. Les précautions de sécurité sont les
mêmes dans tous les cas :
accéder au système à partir d’un terminal protégé contre les attaques Internet et les
codes malveillants,
effacer les données confidentielles qu’on ne souhaite pas laisser dans le terminal,
choisir son mot de passe non trivial,
empêcher autrui de connaître ou d’utiliser ses informations de connexion :
identifiant, mot de passe, code d’accès à usage unique.
Les patients sont responsables de la protection de leurs informations de connexion, des
données personnelles présentes dans le terminal qu’ils utilisent, des actions qu’ils effectuent
dans le DMP.
Le portail de la sécurité informatique de l’ANSSI contient de nombreuses recommandations
concernant la sécurité de l’informatique personnelle. (http://www.securiteinformatique.gouv.fr/index.html)
Que se passe-t-il si un Professionnel de Santé ou un patient alimente le DMP avec un
fichier contenant un code malveillant ?
Les fichiers contenant des codes malveillants détectés par le système DMP seront bloqués et
ne pourront pas être hébergés par le système.
Dès maintenant vous pouvez utiliser le
Dossier Médical Personnel
Toutes les informations sur
www.dmp.gouv.fr
8