Dossier Médical Personnel Stratégie de sécurité
ASIP Santé/PRAS DMP – stratégie de sécurité Page 1 / 2
Dossier Médical Personnel
Stratégie de sécurité
Un des défis majeurs pour la réussite du Dossier
Médical Personnel (DMP) est de créer la confiance
des utilisateurs dans un outil emblématique de la
dématérialisation des données de santé au service
de l’amélioration de la qualité et de la coordination
des soins.
A ce titre, la sécurité est prise en compte dans
toutes les phases du cycle de vie du système.
Les patients et les professionnels de santé (PS)
doivent pouvoir utiliser les différentes
fonctionnalités mises à leur disposition sans la
moindre réserve quant au niveau de sécurité du
système.
L’arbitrage confidentialité/ « non perte
de chance »
Les mesures retenues pour sécuriser les services du
DMP ne doivent ni représenter une gêne pour la
prise en charge des patients par les professionnels
de santé ni entraîner de perte de temps voire
d’éventuelle « perte de chance ».
Les orientations retenues sont fortement
conditionnées par le respect des droits du patient
qui choisit les professionnels de santé autorisés à
consulter son dossier. Il y a donc un arbitrage
nécessaire à effectuer entre « facilité d’accès au
DMP », dans un objectif de gain de chance et
«sécurisation» de l’accès aux données de santé
personnelles.
En règle générale, la stratégie de sécurité d’un système
d’information consiste à empêcher l’accès aux informations
mises à disposition par ce système à toute personne non
préalablement autorisée. Ce contrôle d’accès s’exerce a priori car
il agit par autorisation ou interdiction, à l’occasion de chaque
tentative d’accès. Il vise à limiter les possibilités d’accès de
chaque utilisateur au strict nécessaire.
Dans le cas du DMP, le contrôle d’accès aux
informations qui est appliqué laisse la possibilité à
un professionnel de santé d’accéder sous son
entière responsabilité aux données de santé des
patients qu’il prend en charge dans la limite de
l’autorisation d’accès donnée par le patient et des
documents autorisés pour sa profession (médecin,
pharmacien, …).
En situation d’urgence, un professionnel de santé
non préalablement autorisé par un patient peut
accéder aux données de ce dernier en signalant qu’il
accède en mode « bris de glace ».
La stratégie de sécurité retenue pour le DMP repose
donc sur le principe d’un contrôle a posteriori des
actions des utilisateurs. Ce contrôle a posteriori peut
être exercé grâce à une traçabilité totale des accès,
en alimentation comme en consultation.
Le contrôle des usages du DMP (consultation et
alimentation) est fondé sur une traçabilité et
une imputabilité totales des actions effectuées.
Les mésusages sont pénalisés.
Ces principes de dissuasion sont rendus possibles
par le cadre légal et réglementaire particulièrement
strict dans lequel s’inscrit le service DMP.
La gestion des risques
L’entrée en service du DMP favorise simultanément
la dématérialisation massive et le partage des
données de santé. Elle entraîne une évolution
significative de la nature des risques relatifs à la
sécurité de l’information. La dématérialisation
n’implique pas à proprement parler l’apparition de
nouveaux risques mais une évolution importante des
menaces et des vulnérabilités potentielles portant
sur les données.
Face à ces risques, le DMP intègre des dispositifs de
sécurité assurant la disponibilité et l’intégrité du
système, ainsi que la protection en intégrité et en
confidentialité des données de santé à caractère
personnel hébergées au sein du système. Ces
dispositifs mettent en œuvre des principes, des
protocoles et des mécanismes de sécurité conformes
à l’état de l’art des standards internationaux. Ils sont
sous surveillance permanente et font l’objet de
mises à jour régulières pour répondre à l’évolution
des menaces.
ASIP Santé/PRAS DMP – stratégie de sécurité Page 2 / 2
Dossier Médical Personnel
Stratégie de sécurité
Un contrôle d’accès pour les professionnels de
santé
La stratégie de sécurité se traduit essentiellement par la
mise en place de procédures d’identification et de
mécanismes d’authentification robustes pour l’accès au
système des utilisateurs du DMP.
Les professionnels de santé inscrits par leurs ordres au
sein des annuaires de référence (*RPPS,*RASS) et munis
d’une carte de professionnel de santé peuvent s’identifier
et s’authentifier directement pour accéder au DMP.
L’usage d’une carte de professionnel de santé impose à
son détenteur la saisie d’un code confidentiel.
Les professionnels de santé en établissement de santé
(ES) peuvent également accéder au DMP. Cette possibilité
leur est donnée au travers du système d’information de
leur établissement, notamment pour l’alimentation du
DMP. Le système d’information hospitalier (SIH)
s’authentifie auprès du DMP à l’aide d’un certificat
électronique de personne morale (certificat
d’établissement de santé). Les modalités d’accès des PS
au système d’information hospitalier sont fixées par le
responsable de l’établissement dans le cadre d’une *PSSI.
Protéger l’accès du patient à ses données de santé
Les patients accèdent par Internet au DMP en fournissant
dans un premier temps un identifiant court et un mot de
passe personnel, puis en saisissant dans un second temps
un code à usage unique reçu, au moment de l’accès, par
messagerie électronique ou SMS (selon le choix du
patient).
L’identifiant et le mot de passe initial sont remis au
patient par le professionnel de santé lors de la création du
compte Internet d’accès à son dossier. Le patient doit
changer de mot de passe à sa première connexion et peut
le renouveler par la suite comme il le souhaite.
En consultant son DMP, le patient a accès à l’ensemble
de ses données de santé mais aussi aux traces de toutes
les actions réalisées sur son dossier par les différents
professionnels de santé.
C’est un changement majeur pour le patient qui peut
désormais jouer un rôle actif dans la gestion de son
dossier médical personnel.
*RPPS : Répertoire Partagé des Professionnels de Santé
*RASS : Référentiel des Acteurs Santé Sociaux
*PSSI : Politique de Sécurité des Systèmes d’Information
* IGC : Infrastructure de Gestion de Clés
* TLS : Transport Layer Security, (chiffrement des
données)
Principaux mécanismes de sécurité du DMP
Pour les professionnels et les établissements de santé
> Authentification mutuelle entre le PS et le DMP avec le
certificat détenu en carte par le PS
> Authentification mutuelle entre l’ES et le DMP avec le
certificat de personne morale de l’ES
> Protection de l’intégrité et de la confidentialité des
données au travers d’un canal sécurisé
> Signature du lot de soumission contenant les documents
déposés
Pour les patients
> Reconnaissance du certificat du DMP par le navigateur
(Chaine de confiance de l’administration IGC/A)
> Authentification renforcée du patient par l’usage d’un
mot de passe à usage unique
> Protection de l’intégrité et de la confidentialité des
données au travers d’un canal sécurisé
> Sanctuarisation des données personnelles de santé :
contrôle d’accès, matrice d’habilitation, chiffrement des
données, traçabilité forte des accès et des actions
réalisées sur les DMP.
Etablissement, cabinet, officine
DMP
LPS
navigateur
LPS/SIH
Certificat
personne
morale
Grand public
navigateur 1 : Login Mot de Passe
2 : Mot de passe à usage unique
3 : Mot de passe à usage unique
ASIP Santé
Contrôle
d’accès
IGC CPS
Certificats et
Données d’identification
CPS
Authentification directe
TLS mutuelle
Authentification indirecte
TLS mutuelle
Annuaire PS/ES
1
/
2
100%
