Dossier Médical Personnel Stratégie de sécurité Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs dans un outil emblématique de la dématérialisation des données de santé au service de l’amélioration de la qualité et de la coordination des soins. A ce titre, la sécurité est prise en compte dans toutes les phases du cycle de vie du système. Les patients et les professionnels de santé (PS) doivent pouvoir utiliser les différentes fonctionnalités mises à leur disposition sans la moindre réserve quant au niveau de sécurité du système. L’arbitrage confidentialité/ « non perte de chance » Les mesures retenues pour sécuriser les services du DMP ne doivent ni représenter une gêne pour la prise en charge des patients par les professionnels de santé ni entraîner de perte de temps voire d’éventuelle « perte de chance ». Les orientations retenues sont fortement conditionnées par le respect des droits du patient qui choisit les professionnels de santé autorisés à consulter son dossier. Il y a donc un arbitrage nécessaire à effectuer entre « facilité d’accès au DMP », dans un objectif de gain de chance et «sécurisation» de l’accès aux données de santé personnelles. En règle générale, la stratégie de sécurité d’un système d’information consiste à empêcher l’accès aux informations mises à disposition par ce système à toute personne non préalablement autorisée. Ce contrôle d’accès s’exerce a priori car il agit par autorisation ou interdiction, à l’occasion de chaque tentative d’accès. Il vise à limiter les possibilités d’accès de chaque utilisateur au strict nécessaire. Dans le cas du DMP, le contrôle d’accès aux informations qui est appliqué laisse la possibilité à un professionnel de santé d’accéder sous son entière responsabilité aux données de santé des patients qu’il prend en charge dans la limite de l’autorisation d’accès donnée par le patient et des documents autorisés pour sa profession (médecin, pharmacien, …). ASIP Santé/PRAS En situation d’urgence, un professionnel de santé non préalablement autorisé par un patient peut accéder aux données de ce dernier en signalant qu’il accède en mode « bris de glace ». La stratégie de sécurité retenue pour le DMP repose donc sur le principe d’un contrôle a posteriori des actions des utilisateurs. Ce contrôle a posteriori peut être exercé grâce à une traçabilité totale des accès, en alimentation comme en consultation. Le contrôle des usages du DMP (consultation et alimentation) est fondé sur une traçabilité et une imputabilité totales des actions effectuées. Les mésusages sont pénalisés. Ces principes de dissuasion sont rendus possibles par le cadre légal et réglementaire particulièrement strict dans lequel s’inscrit le service DMP. La gestion des risques L’entrée en service du DMP favorise simultanément la dématérialisation massive et le partage des données de santé. Elle entraîne une évolution significative de la nature des risques relatifs à la sécurité de l’information. La dématérialisation n’implique pas à proprement parler l’apparition de nouveaux risques mais une évolution importante des menaces et des vulnérabilités potentielles portant sur les données. Face à ces risques, le DMP intègre des dispositifs de sécurité assurant la disponibilité et l’intégrité du système, ainsi que la protection en intégrité et en confidentialité des données de santé à caractère personnel hébergées au sein du système. Ces dispositifs mettent en œuvre des principes, des protocoles et des mécanismes de sécurité conformes à l’état de l’art des standards internationaux. Ils sont sous surveillance permanente et font l’objet de mises à jour régulières pour répondre à l’évolution des menaces. DMP – stratégie de sécurité Page 1 / 2 Dossier Médical Personnel Stratégie de sécurité Un contrôle d’accès pour les professionnels de santé Protéger l’accès du patient à ses données de santé La stratégie de sécurité se traduit essentiellement par la mise en place de procédures d’identification et de mécanismes d’authentification robustes pour l’accès au système des utilisateurs du DMP. Les patients accèdent par Internet au DMP en fournissant dans un premier temps un identifiant court et un mot de passe personnel, puis en saisissant dans un second temps un code à usage unique reçu, au moment de l’accès, par messagerie électronique ou SMS (selon le choix du patient). Les professionnels de santé inscrits par leurs ordres au * * sein des annuaires de référence ( RPPS, RASS) et munis d’une carte de professionnel de santé peuvent s’identifier et s’authentifier directement pour accéder au DMP. L’usage d’une carte de professionnel de santé impose à son détenteur la saisie d’un code confidentiel. Les professionnels de santé en établissement de santé (ES) peuvent également accéder au DMP. Cette possibilité leur est donnée au travers du système d’information de leur établissement, notamment pour l’alimentation du DMP. Le système d’information hospitalier (SIH) s’authentifie auprès du DMP à l’aide d’un certificat électronique de personne morale (certificat d’établissement de santé). Les modalités d’accès des PS au système d’information hospitalier sont fixées par le * responsable de l’établissement dans le cadre d’une PSSI. ASIP Santé L’identifiant et le mot de passe initial sont remis au patient par le professionnel de santé lors de la création du compte Internet d’accès à son dossier. Le patient doit changer de mot de passe à sa première connexion et peut le renouveler par la suite comme il le souhaite. En consultant son DMP, le patient a accès à l’ensemble de ses données de santé mais aussi aux traces de toutes les actions réalisées sur son dossier par les différents professionnels de santé. C’est un changement majeur pour le patient qui peut désormais jouer un rôle actif dans la gestion de son dossier médical personnel. * RPPS : Répertoire Partagé des Professionnels de Santé RASS : Référentiel des Acteurs Santé Sociaux * PSSI : Politique de Sécurité des Systèmes d’Information * IGC : Infrastructure de Gestion de Clés * TLS : Transport Layer Security, (chiffrement des données) * Principaux mécanismes de sécurité du DMP IGC CPS Annuaire PS/ES Certificats et Données d’identification Etablissement, cabinet, officine navigateur Authentification directe TLS mutuelle CPS LPS Contrôle d’accès LPS/SIH > Authentification mutuelle entre le PS et le DMP avec le certificat détenu en carte par le PS > Authentification mutuelle entre l’ES et le DMP avec le certificat de personne morale de l’ES > Protection de l’intégrité et de la confidentialité des données au travers d’un canal sécurisé > Signature du lot de soumission contenant les documents déposés Authentification indirecte TLS mutuelle DMP Certificat personne morale Pour les patients > Reconnaissance du certificat du DMP par le navigateur (Chaine de confiance de l’administration IGC/A) > Authentification renforcée du patient par l’usage d’un mot de passe à usage unique Grand public 1 : Login Mot de Passe navigateur 3 : Mot de passe à usage unique 2 : Mot de passe à usage unique ASIP Santé/PRAS Pour les professionnels et les établissements de santé > Protection de l’intégrité et de la confidentialité des données au travers d’un canal sécurisé > Sanctuarisation des données personnelles de santé : contrôle d’accès, matrice d’habilitation, chiffrement des données, traçabilité forte des accès et des actions réalisées sur les DMP. DMP – stratégie de sécurité Page 2 / 2