Ohé les hôpitaux belges… seriez-vous sanctionnés par la CNIL ?
publié le 16 février 2024
Imaginons que la CNIL française (mais c’est valable pour son homologue belge dans la mesure où les contraintes de sécurité sont largement similaires dans ces deux pays…), imaginons donc que la CNIL puisse jeter un coup d’oeil sur la pertinence des politiques de sécurité des données (informatiques) des hôpitaux belges.
En tant qu’établissement hospitalier, seriez-vous conforme aux conditions récemment rappelées par la Commission “vie privée” française et que répercutait le site DSIH.fr ?
Les voici :
- sécurisation des accès au DPI grâce à une politique d’authentification robuste prévoyant a minima un identifiant unique par utilisateur
- interdiction des comptes partagés entre plusieurs utilisateurs
- recours à des mots de passe suffisamment complexes
- Implémentation de règles d’habilitation selon le principe du « métier exercé » qui veut que l’accès aux données médicales ou administratives ne puisse être accordé qu’en fonction du besoin professionnel objectif, respectivement, du professionnel de santé ou de l’agent concerné
- une exception toutefois à cette règle : « les habilitations accordées peuvent être complétées d’un mode « bris de glace », qui permet aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient »
- implémentation d’un dispositif de journalisation pour assurer le traçage des accès au DPI : « cette traçabilité doit non seulement permettre d’indiquer qui s’est connecté à la base de données à quel moment, mais, plus précisément, qui a accédé à quoi. Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes. Il est vivement recommandé de disposer d’un système d’analyse automatique des journaux de connexion afin de repérer les accès qui semblent anormaux. »
En France, la CNIL estime que nombre d’établissements hospitaliers n’implémentent pas de mesures d’habilitation suffisantes ou correctement modulées.
Document référence sur le site de la CNIL