DPIRGPDDonnées de santé

DPI et RGPD : conformité du dossier patient

12 novembre 2025 · Thomas Bozzo

Le DPI face au RGPD : un enjeu de conformité majeur

Le dossier patient informatisé (DPI) est le socle documentaire de toute prise en charge médicale. Il concentre les informations les plus sensibles qui existent : diagnostics, traitements, résultats d'examens, antécédents familiaux, données psychiatriques, sérologies. Du point de vue du RGPD, le DPI est un traitement de données de santé à grande échelle, soumis aux exigences les plus strictes du règlement européen.

Pour les éditeurs de DPI, les DSI d'établissements et les DPO (Délégués à la Protection des Données), la conformité RGPD du dossier patient n'est pas une option. C'est une obligation légale dont le non-respect expose à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Ce guide détaille les obligations concrètes, les mesures techniques à implémenter et les erreurs à éviter.

Ce que contient un DPI

Avant d'aborder la conformité, rappelons l'étendue des données traitées dans un DPI :

  • Données administratives : identité, coordonnées, numéro de sécurité sociale, médecin traitant
  • Données cliniques : motifs de consultation, observations, diagnostics (CIM-10), actes réalisés (CCAM)
  • Résultats d'examens : biologie, imagerie, anatomopathologie
  • Prescriptions : ordonnances, protocoles de soins
  • Documents : comptes rendus opératoires, lettres de liaison, certificats
  • Notes : observations des soignants, transmissions ciblées
  • Données de santé sensibles : sérologies VIH/hépatites, données psychiatriques, données génétiques

Cette diversité et cette sensibilité imposent un cadre de protection extrêmement rigoureux.

La base légale du traitement

L'obligation légale comme fondement

Contrairement à une idée reçue, le DPI ne repose pas sur le consentement du patient. La base légale principale est l'obligation légale (article 6.1.c du RGPD), combinée à la dérogation pour les finalités de santé (article 9.2.h).

Le Code de la santé publique impose en effet la tenue d'un dossier médical :

  • Article R.1112-2 CSP : chaque patient hospitalisé doit avoir un dossier médical
  • Article L.1111-7 CSP : le dossier contient l'ensemble des informations de santé formalisées
  • Décret "hébergement" : les données de santé doivent être hébergées par un hébergeur certifié

Cela signifie que le patient ne peut pas s'opposer à la création de son dossier médical. En revanche, il dispose de droits spécifiques sur ses données.

Les droits des patients

Le RGPD confère aux patients des droits concrets sur les données de leur DPI :

Droit d'accès (article 15 RGPD). Le patient peut demander une copie intégrale de son dossier médical. L'établissement dispose de 8 jours (ou 2 mois si les informations datent de plus de 5 ans) pour répondre. Le DPI doit donc permettre l'extraction complète et lisible des données d'un patient.

Droit de rectification (article 16 RGPD). Le patient peut demander la correction de données inexactes. Attention : cela concerne les données administratives et factuelles, pas les observations médicales du praticien. Un patient ne peut pas exiger la modification d'un diagnostic.

Droit à la portabilité (article 20 RGPD). Le patient peut demander le transfert de ses données dans un format structuré. En pratique, cela concerne surtout le transfert de dossier entre établissements, dans un format interopérable (CDA, FHIR).

Droit d'opposition (article 21 RGPD). Ce droit est limité pour le DPI, puisque le traitement repose sur une obligation légale. Le patient peut toutefois s'opposer à certaines utilisations secondaires (recherche, statistiques) sauf si elles sont elles-mêmes obligatoires.

Droit à l'effacement (article 17 RGPD). Le droit à l'oubli ne s'applique pas au DPI pendant la durée de conservation légale. Le patient ne peut pas exiger la suppression de son dossier médical tant que la durée réglementaire n'est pas écoulée.

L'AIPD : une obligation incontournable

Pourquoi l'AIPD est obligatoire

L'Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA en anglais) est obligatoire pour le DPI selon l'article 35 du RGPD. La CNIL a confirmé cette obligation dans sa liste des traitements nécessitant une AIPD, car le DPI coche plusieurs critères :

  • Traitement de données de santé (catégorie particulière)
  • Traitement à grande échelle (volume de patients)
  • Données concernant des personnes vulnérables (patients)
  • Croisement de données (administratives, cliniques, biologiques)

Le contenu de l'AIPD

Une AIPD de DPI doit contenir :

Description du traitement. Finalités (prise en charge médicale, facturation, coordination des soins), catégories de données, destinataires (professionnels de santé, secrétariats, hébergeur), durées de conservation.

Évaluation de la nécessité et de la proportionnalité. Justification de chaque catégorie de données collectées. Un DPI ne doit pas collecter plus que nécessaire (minimisation).

Évaluation des risques. Identification des menaces (accès non autorisé, perte de données, altération, divulgation) et des impacts pour les patients (discrimination, préjudice moral, risque vital en cas de données erronées).

Mesures de sécurité. Description détaillée des mesures techniques et organisationnelles mises en place pour atténuer les risques identifiés.

L'AIPD n'est pas un document figé. Elle doit être révisée régulièrement, notamment en cas de changement significatif (nouvelle fonctionnalité, nouveau sous-traitant, incident de sécurité).

Besoin d'aide pour votre conformité RGPD santé ?

Nous accompagnons les éditeurs et les établissements dans la mise en conformité RGPD de leurs solutions de santé : AIPD, sécurité, hébergement HDS.

Cadrer votre mise en conformité

La sécurité technique du DPI

Le chiffrement des données

Le chiffrement est une mesure fondamentale pour protéger les données du DPI :

Chiffrement au repos. Les données stockées dans la base de données et les systèmes de fichiers doivent être chiffrées. AES-256 est le standard recommandé. Cela protège contre le vol physique de disques ou l'accès non autorisé aux fichiers de base de données.

Chiffrement en transit. Toutes les communications (entre le client et le serveur, entre les composants de l'infrastructure) doivent utiliser TLS 1.2 minimum. Les certificats doivent être émis par une autorité de certification reconnue.

Chiffrement des sauvegardes. Les sauvegardes sont des copies complètes des données. Elles doivent être chiffrées avec des clés distinctes des clés de production, et stockées dans un lieu physiquement séparé.

La traçabilité des accès

La traçabilité est une exigence réglementaire forte pour le DPI. Chaque accès à un dossier patient doit être enregistré :

  • Qui a accédé (identifiant du professionnel)
  • Quand l'accès a eu lieu (horodatage)
  • Quel dossier a été consulté (identifiant patient)
  • Quelle action a été réalisée (consultation, modification, impression, export)
  • Depuis où l'accès a été effectué (adresse IP, poste)

Ces logs doivent être conservés, protégés en intégrité (le professionnel ne doit pas pouvoir modifier ses propres traces), et consultables en cas d'audit ou de plainte d'un patient.

Le mécanisme de break-the-glass

Le "break-the-glass" (bris de glace) est un mécanisme de sécurité spécifique au DPI. Il permet à un professionnel d'accéder en urgence à un dossier patient pour lequel il n'a pas les droits habituels (par exemple, un médecin d'un autre service face à une urgence vitale).

Le mécanisme doit :

  • Demander une justification explicite (motif de l'accès d'urgence)
  • Alerter le DPO ou le responsable sécurité en temps réel
  • Tracer l'accès de manière renforcée
  • Permettre un audit a posteriori systématique

Sans break-the-glass, le risque est double : soit les droits d'accès sont trop larges (tout le monde accède à tout), soit ils sont trop restrictifs (un médecin ne peut pas accéder à un dossier en urgence vitale). Le break-the-glass résout cette tension.

La gestion des habilitations

Le DPI doit implémenter un contrôle d'accès basé sur les rôles (RBAC) ou sur les attributs (ABAC) :

  • Un médecin accède aux dossiers de ses patients
  • Un infirmier accède aux données de soins de son service
  • Un secrétaire médical accède aux données administratives
  • Un chercheur accède aux données pseudonymisées pour la recherche
  • Un administrateur technique n'accède jamais aux données de santé

Les habilitations doivent être revues régulièrement (au minimum annuellement) et retirées immédiatement en cas de changement de poste ou de départ.

L'hébergement HDS

L'obligation de certification

Les données de santé à caractère personnel doivent être hébergées par un hébergeur certifié HDS (Hébergeur de Données de Santé). Cette certification, délivrée par un organisme accrédité COFRAC, garantit que l'hébergeur respecte un référentiel de sécurité basé sur ISO 27001.

Pour un DPI, c'est une obligation non négociable. Un éditeur qui héberge des données de DPI sans certification HDS s'expose à des sanctions pénales (article L.1115-1 du CSP : 3 ans d'emprisonnement et 150 000 euros d'amende).

Le choix de l'hébergeur

Plusieurs critères guident le choix d'un hébergeur HDS pour un DPI :

  • Certification HDS active et vérifiable
  • Localisation des données en France ou dans l'UE
  • Souveraineté : les lois extraterritoriales (Cloud Act, FISA) ne doivent pas permettre un accès aux données par des autorités étrangères
  • Réversibilité : capacité à récupérer les données en cas de changement d'hébergeur
  • PCA/PRA : plan de continuité et de reprise d'activité testé

Pour les exigences les plus élevées, un hébergement qualifié SecNumCloud offre le meilleur niveau de garantie en matière de souveraineté numérique.

Les durées de conservation

Les règles légales

Le Code de la santé publique définit des durées de conservation précises :

  • Dossier d'hospitalisation : 20 ans à compter de la dernière prise en charge (art. R.1112-7 CSP)
  • Mineurs : conservation jusqu'au 28e anniversaire au minimum (20 ans à compter du dernier passage, avec un plancher au 28e anniversaire)
  • Décès : 10 ans après la date du décès si celui-ci survient moins de 10 ans après le dernier séjour
  • Transfusion sanguine : 30 ans
  • Dispositifs médicaux implantables : durée de vie du patient + 10 ans

L'archivage

À l'issue de la durée de conservation active, les dossiers doivent être archivés ou détruits selon des procédures documentées :

  • Archivage intermédiaire : les dossiers ne sont plus accessibles en routine mais restent consultables sur demande justifiée
  • Destruction : effacement irréversible (suppression logique ne suffit pas, il faut une destruction physique ou un effacement sécurisé conforme aux normes)

Le DPI doit intégrer des mécanismes automatisés de gestion du cycle de vie des données : alertes de fin de conservation, procédures d'archivage et preuves de destruction.

Le lien DPI-DMP

Le DPI et le DMP sont complémentaires. Le DPI est le dossier local de l'établissement, le DMP est le dossier national du patient. Le Ségur du Numérique impose l'alimentation automatique du DMP depuis le DPI.

Pour les éditeurs de DPI, cela implique de :

  • Générer des documents CDA conformes aux volets CI-SIS à partir des données du DPI, en respectant les standards d'interopérabilité
  • Transmettre ces documents au DMP via les transactions IHE XDS
  • Qualifier l'INS du patient avant tout envoi
  • Tracer les échanges avec le DMP dans les logs du DPI

Cette interconnexion DPI-DMP est au coeur des exigences Ségur pour le couloir hôpital. Les éditeurs doivent l'implémenter pour obtenir le référencement et accéder aux financements.

Recommandations pratiques

Pour les éditeurs de DPI

  • Intégrer la conformité RGPD dès la conception (privacy by design). Ne pas la traiter comme un ajout a posteriori
  • Documenter l'AIPD et la maintenir à jour. La CNIL la demandera en cas de contrôle
  • Implémenter le break-the-glass avec une traçabilité renforcée
  • Chiffrer les données au repos et en transit sans exception, conformément aux préconisations de l'ANSSI
  • Automatiser la gestion des durées de conservation avec des alertes et des procédures documentées

Pour les établissements

  • Désigner un DPO formé aux spécificités de la santé
  • Former les professionnels aux bonnes pratiques de cybersécurité (verrouillage de session, non-partage de mots de passe, signalement d'incidents)
  • Auditer régulièrement les accès au DPI (a minima annuellement)
  • Tester le PRA au moins une fois par an en conditions réelles
  • Vérifier la certification HDS de son hébergeur et sa date de validité

Chez Ducal, nous accompagnons les éditeurs et les établissements dans la mise en conformité RGPD de leurs solutions de santé. Notre expertise couvre l'AIPD, l'architecture de sécurité, le choix d'hébergement HDS et la préparation aux contrôles CNIL.

Thomas Bozzo

Fondateur — Expert santé numérique

Thomas Bozzo

Plus de 10 ans d'expérience dans le numérique en santé. Spécialiste HDS, FHIR, Article 51 et plateformes d'éducation thérapeutique.

LinkedIn

Articles récents

RGPDDonnées de santé

RGPD et données de santé : le guide pratique

Lire
FHIRDPI

Connecter son DPI au DMP via FHIR : guide technique pour DSI

Lire
TéléconsultationRGPD

Téléconsultation en cabinet : obligations techniques et conformité RGPD

Lire

Un projet de digitalisation santé ?

Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.

Nous contacter