Le DMP et la sécurité
L’essentiel…
FICHE PRATIQUE – JUIN 2011
www.dmp.gouv.fr
Le Dossier Médical Personnel
et la sécurité
Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la
confiance des utilisateurs dans un outil emblématique de la dématérialisation des données
de santé au service de l’amélioration de la qualité et de la coordination des soins. A ce
titre, la sécurité est prise en compte dans toutes les phases du cycle de vie du système.
Les orientations retenues pour sécuriser les services du DMP sont fortement
conditionnées par le respect des droits du patient qui choisit les professionnels de santé
autorisés à consulter son dossier. Les mesures de sécurité mises en œuvre ne doivent ni
représenter une gêne pour la prise en charge des patients par les professionnels de santé
ni entraîner de perte de temps voire d’éventuelle « perte de chance ». Il y a donc un
arbitrage nécessaire à effectuer entre « facilité d’accès au DMP », dans un objectif de gain
de chance et «sécurisation» de l’accès aux données de santé personnelles.
2
Fiche pratique : Le DMP et la sécurité – Juin 2011
Comment assure-t-on la sécurité du système d’information du DMP ?
La sécurité du DMP repose sur :
la mise en œuvre de contrôles a priori :
Tous les utilisateurs (PS, ES et patient) sont authentifiés de manière forte pour
accéder au SI DMP.
Le contrôle d’accès aux informations qui est appliqué laisse la possibilité à un
professionnel de santé d’accéder sous son entière responsabilité aux données de
santé des patients qu’il prend en charge dans la limite de l’autorisation d’accès
donnée par le patient et des documents autorisés pour sa profession (médecin,
pharmacien, …).
En situation d’urgence, un professionnel de santé non préalablement autorisé par un
patient peut accéder aux données de ce dernier en signalant qu’il accède en mode
« bris de glace ».
La matrice d’habilitation restreint l’accès aux contenus du DMP en fonction de la
profession du PS.
Le contrôle a posteriori des actions des utilisateurs :
Le contrôle des usages du DMP (consultation et alimentation) est fondé sur une
traçabilité et une imputabilité totales des actions effectuées par l’ensemble des
utilisateurs. Le patient peut accéder à la liste des actions effectuées par des PS sur
son DMP.
Les mésusages sont pénalisés. Ces principes de dissuasion sont rendus possibles par
le cadre légal et réglementaire particulièrement strict dans lequel s’inscrit le service
DMP.
L’entrée en service du DMP favorise simultanément la dématérialisation massive et le
partage des données de santé. Elle entraîne une évolution significative de la nature des
risques relatifs à la sécurité de l’information. La dématérialisation n’implique pas à
proprement parler l’apparition de nouveaux risques mais une évolution des menaces et des
vulnérabilités potentielles portant sur les données. Face à ces risques, le DMP intègre des
dispositifs de sécurité assurant la disponibilité et l’intégrité du système, ainsi que la
protection en intégrité et en confidentialité des données de santé à caractère personnel
hébergées au sein du système. Ces dispositifs mettent en œuvre des principes, des
protocoles et des mécanismes de sécurité conformes à l’état de l’art des standards
internationaux. Ils sont sous surveillance permanente et font l’objet de mises à jour
régulières pour répondre à l’évolution des menaces.
3
Fiche pratique : Le DMP et la sécurité – Juin 2011
Qu’est-ce que la carte de professionnel de santé (CPS) ?
La carte de professionnel de santé, ou carte CPS, est la carte d’identité électronique des
professionnels du secteur de la santé inscrits par leurs ordres au sein des annuaires de
référence (RPPS1, RASS2). Elle constitue le maillon final d’une chaîne de confiance qui permet
à son titulaire d’attester de son identité professionnelle. Comme pour une carte bancaire,
son usage est lié à la saisie d’un code confidentiel propre à son porteur. La CPS est délivrée
par l’ASIP Santé qui est l’autorité de certification désignée du secteur de la santé.
La carte contient notamment l'identifiant du PS (numéro RPPS pour tous en cible) et 2
certificats (un certificat d'authentification et un certificat de signature).
Depuis février 2011, une nouvelle génération de carte de professionnel de santé est délivrée
de façon systématique à tout professionnel de santé (libéral et salarié), inscrit au tableau de
son Ordre professionnel ou ayant été enregistré en ARS pour les autres professions.
La nouvelle organisation qui découle de la mise en place du RPPS se traduit dans les faits par
une simplification administrative : un guichet unique est chargé de l’enregistrement de
toutes les informations concernant les professionnels. L’ordre professionnel est le guichet
principal pour tous les professionnels de santé civils, quel que soit leur mode (libéral ou
salarié) et leurs lieux d’exercice (cabinet, établissement).
Cette simplification installe une nouvelle procédure de distribution des cartes, formalisant et
clarifiant les rôles respectifs des autorités d’enregistrement et de l’autorité de certification.
Les ordres professionnels se trouvent désormais fortement impliqués en tant qu’autorités
d’enregistrement de l’identité et des qualifications des professionnels de santé.
Quels sont les dispositifs de sécurité mis en place pour contrôler l’accès du
Professionnel de Santé ou de l’Etablissement de Santé au DMP ?
Cinq dispositifs complémentaires permettent de contrôler conjointement l’accès d’un
professionnel de santé à un DMP.
1. Une fonction du système détermine la liste des actions possibles sur les DMP, pour
chaque cas d’utilisation du système par un PS. Ces possibilités d’accès dépendent des
1 Répertoire Partagé des Professionnels de Santé
2 Référentiel des Acteurs Santé Sociaux
4
Fiche pratique : Le DMP et la sécurité – Juin 2011
moyens et de la procédure d’identification et d’authentification utilisés par le PS lors
de son accès au système DMP.
2. Une fonction du système précise les actions que peut effectuer le PS sur un DMP
donné, selon l’activité de ce PS ou son rôle vis-à-vis du patient concerné.
3. Une fonction du système prend en compte les restrictions d’accès que le patient a
éventuellement ajoutées sur son DMP.
4. Une fonction du système veille à ce que le PS ne consulte que des documents liés à sa
profession (matrice d’habilitation des professionnels de santé).
5. Une fonction du système établit et conserve la trace de toutes les actions des PS sur
les DMP. Chaque utilisateur peut consulter les traces de ses propres actions. Chaque
patient peut consulter les traces des accès à son dossier.
La sécurité d’un professionnel de santé aux DMP
Pour un établissement de santé et à la demande de son directeur, l’ASIP délivre des
certificats de personne morale (ou certificats d’établissement) et des cartes de
professionnels d’établissement (CPE) permettant la création et l’alimentation du DMP. Le
tableau ci-dessous présente les modes d’authentification préalables aux actions de création,
alimentation et consultation du DMP.
Système DMP
Carte de
professionnel de
santé (CPS)
Certificat de
personne morale
Professionnel de santé (PS)
OU
Création, alimentation ou
gestion administrative du
DMP du patient
Consultation
des documents
du DMP du
patient
1 - Authentification
du PS lors de
l’accès au système
2 - Contrôle du
rôle du PS sur le
dossier
3 - Contrôle de
l’habilitation du PS à
consulter certains
types de documents
4 - Contrôle du
masquage de
document pour
le PS
5 – Enregistrement
des traces des
actions du PS
Possibilités d'accès
dépendant des
moyens utilisés par le
PS pour accéder au
système et pour
s'authentifier
Possibilités d'action sur
le dossier selon le
contexte d’utilisation
(médecin traitant ou non,
normal ou urgence),
avec les restrictions
souhaitées par le patient
Droits à consulter certains
types de document en
fonction de la profession de
santé du PS, fixés par décret
Impossibilité de
consulter les documents
que le patient a
masqués pour ce PS
Traces pouvant
être consultées
par le PS ou par
le patient
La sécurité d’accès d’un professionnel de santé aux DMP
5
Fiche pratique : Le DMP et la sécurité – Juin 2011
Création
Alimentation
Consultation
Fermeture
Authentification
directe
CPS
CPE
CPS
CPS
CPS
Authentification
indirecte
Certificat logiciel -
personne morale
Certificat
logiciel -
personne
morale
Non Accessible
Quel est le dispositif de sécurité mis en place pour contrôler l’accès du patient au
DMP ?
Le DMP d’un patient est créé par un professionnel de santé en présence du patient doté de
sa carte Vitale indispensable pour le calcul de son Identifiant National de Santé (INS).
A la demande du patient, le PS peut créer l’accès internet à son DMP. Il lui remet alors ses
« informations de connexion » c’est-à-dire l’identifiant (généré par le système et non
signifiant) et le mot de passe qui permettront au patient de se connecter au portail web
patient pour gérer lui-même son DMP. Lors de sa première connexion à son DMP, le patient
sera contraint de changer le mot de passe qui lui a été remis par le PS.
L’accès d’un patient au système DMP se déroule en deux étapes. Dans un premier temps, le
patient doit fournir son identifiant et son mot de passe de connexion. Dans un second
temps, il doit introduire le code d’accès à usage unique qu’il reçoit par message électronique
ou SMS à la suite de la première étape. Après trois échecs successifs, le compte est bloqué
durant quinze minutes. Un patient peut renouveler son mot de passe de connexion autant
de fois qu’il le désire.
Comment est assurée la sécurité du DMP dans les établissements de santé ?
Le DMP ne se substitue pas aux dossiers métiers des professionnels de santé (dossier
hospitalier, dossiers de spécialité, etc.). Ce n’est pas un « outil de production de soins », mais
bien un « outil de partage » dans lequel sont ajoutés des documents produits par les logiciels
métiers, lorsque ces documents sont jugés nécessaires à la coordination des soins. Les ES
doivent donc toujours protéger les données personnelles de santé de leurs patients au sein
de leur Système d’Information Hospitalier pour être en conformité avec le décret
confidentialité actuellement en vigueur (Décret n° 2007-960 du 15 mai 2007) et avec son
6
7
8
1
/
8
100%
