Le dossier médical personnel ou DMP est le système informatisé de gestion des données médicales d’une personne. En raison de la nature particulière de ces données, une procédure spécifique d’agrément des hébergeurs de données de santé à caractère personnel a été instituée depuis le 4 janvier 2006, date de parution du décret d’application de la loi de 2002 sur les droits des malades.
Ces hébergeurs particuliers n’ont pas une simple obligation de stockage des données, ils doivent également mettre ces données à la disposition des personnes contractuellement autorisées à les consulter et les restituer en fin de contrat.
Cet agrément est délivré par le ministre chargé de la santé qui se prononce après avis de la CNIL et du comité d’agrément créé auprès de lui.
La loi du 30 janvier 2007 ratifiant l’ordonnance du 26 août 2005 a suspendu, sauf lorsqu’il s’agit d’héberger des dossiers médicaux personnels, la procédure d’agrément pendant deux ans à compter du 2 février 2007 afin de définir des référentiels de sécurité communs à l’ensemble du secteur de la santé.
Suite à une délibération du 30 mai 2006, la CNIL a insisté sur 3 points importants :
la nécessité d’une information complète des patients sur le DMP
l’importance de prendre des mesures de sécurité propres à assurer de façon satisfaisante la confidentialité des données médicales
l’exigence pour les professionnels de santé d’utiliser la carte de professionnel de santé (CPS) et le certificat électronique qui lui est attaché afin de maintenir un niveau de sécurité élevé.
Le droit du patient d’être informé sur les modalités d’utilisation de son DMP s’accompagne d’un droit de masquage des informations contenues dans son dossier : le patient peut choisir de « cacher » certaines informations aux professionnels de santé. Cette possibilité découle de l’article 40 de la loi informatique et libertés relatif au droit de rectification des personnes soumises à un traitement et de l’article 38 qui leur reconnait également un droit d’opposition. En effet, le traitement réalisé par le DMP ne doit pas empêcher le patient d’accéder et de contrôler le contenu de son dossier.
Les constats effectués par la CNIL le 21 mars 2007 sur l’expérimentation du DMP réalisée depuis 2006, a mis en lumière l’insuffisance de certaines mesures de sécurité notamment des mesures d’identification-authentification.
Lien :
http://www.cnil.fr/index.php?id=2212