Points clés
- La CNIL (France, 2022) a rappelé dans sa délibération sur les établissements de santé que toute consultation de données médicales doit être tracée individuellement — un accès non attribuable à un professionnel identifié est une violation des obligations de traçabilité du RGPD, indépendamment de la malveillance ou de la bonne foi.
- L'affaire Vastaamo (Finlande, 2020) a révélé l'impossibilité pour l'établissement de déterminer précisément qui avait accédé aux dossiers des 33 000 patients exposés — l'absence de traçabilité individuelle des accès a aggravé les conséquences légales et rendu impossible toute investigation forensique fiable.
- Le référentiel HDS (France) exige la conservation des journaux de traçabilité des accès aux données de santé pendant au moins 10 ans, une durée qui reflète l'importance de cette traçabilité pour les recours légaux ultérieurs et les audits rétrospectifs.
La traçabilité des actions réalisées par les praticiens dans les systèmes d'information de santé est à la fois une obligation légale et un outil de gouvernance. Elle permet de répondre à des questions critiques en cas d'incident : qui a consulté ce dossier ? À quelle heure ? Depuis quel poste ? Quelles données ont été consultées ou modifiées ? Sans cette traçabilité, l'investigation forensique est aveugle et la responsabilité ne peut pas être établie.
Pour la direction, la traçabilité des actions des praticiens est un investissement dans la capacité à défendre l'établissement : défendre la bonne foi de l'organisation face aux régulateurs en cas d'incident, défendre les praticiens contre des accusations infondées, et établir les responsabilités en cas de manquement avéré. Une traçabilité insuffisante nuit aux deux parties — à l'organisation et aux professionnels.
Ce que la traçabilité doit couvrir
La traçabilité des actions des praticiens dans les systèmes de santé doit couvrir au minimum : les connexions et déconnexions (qui s'est connecté, quand, depuis quel terminal ou adresse IP), les consultations de données (quel dossier patient a été consulté, par qui, à quelle heure), les modifications (quelles données ont été ajoutées, modifiées ou supprimées), les impressions et exports (quelles données ont été extraites du système), et les tentatives d'accès échouées (qui a tenté d'accéder à quoi sans succès).
Cette traçabilité doit être granulaire jusqu'au niveau du patient individuel : un journal indiquant "200 accès au DPI ce matin" est insuffisant — il faut savoir que le Dr Martin a consulté le dossier du patient X à 9h14 depuis le poste de consultation n°7. Ce niveau de granularité est la condition de toute investigation forensique utile.
Gouvernance de la traçabilité
La traçabilité n'est utile que si elle est exploitée. Des journaux exhaustifs non consultés ne protègent pas l'organisation. La gouvernance de la traçabilité inclut : définition des événements à tracer (politique de journalisation), définition des durées de conservation adaptées à chaque type de journal, procédures de consultation des journaux (qui peut consulter, dans quels cas, selon quelle procédure d'autorisation), et processus d'alerte sur les comportements anormaux détectés dans les journaux.
La consultation des journaux est elle-même encadrée : accéder aux journaux de connexion d'un praticien sans base légale appropriée peut constituer une atteinte à la vie privée. Les procédures de consultation doivent définir les conditions (incident de sécurité, plainte, audit) dans lesquelles les journaux peuvent être consultés et par qui.
Intégration dans la politique de sécurité
La politique de traçabilité doit être formalisée dans la PSSI de l'établissement, validée par la direction médicale et la direction générale, et communiquée aux professionnels. Les praticiens doivent savoir que leurs accès aux systèmes de santé sont tracés — cette information est une obligation de transparence (article 13 RGPD) et un levier de responsabilisation.
Cas institutionnel : Traçabilité des accès DMP — France (2021-2024)
Le Dossier Médical Partagé (DMP), intégré dans Mon espace santé depuis 2022, dispose d'un dispositif de traçabilité obligatoire : chaque consultation du DMP par un professionnel de santé est enregistrée et accessible au patient dans son espace personnel. Ce dispositif — unique en Europe par son niveau de transparence — permet aux patients de vérifier qui a accédé à leur dossier et de signaler des accès non justifiés. L'ANS a documenté plusieurs cas de signalements de patients ayant détecté des consultations anormales via cet historique, conduisant à des investigations sur des accès non autorisés. La traçabilité accessible au patient devient ainsi un outil de détection des atteintes à la confidentialité médicale.
Un employé de UCLA Health a accédé de manière répétée aux dossiers médicaux de célébrités sans justification clinique. L'incident n'a pu être documenté et les sanctions prononcées (amende HHS, plan de remédiation) que grâce aux journaux de traçabilité qui permettaient d'établir précisément les accès anormaux. Sans traçabilité, l'incident serait resté indétectable. L'établissement a renforcé ses alertes automatiques sur les accès à des dossiers VIP identifiés.
Plusieurs délibérations CNIL de 2022 ont sanctionné des établissements de santé pour insuffisance de traçabilité des accès aux données patients, notant l'impossibilité d'établir qui avait accédé aux données exposées lors d'incidents. La CNIL a précisé que l'absence de traçabilité suffisante est en soi une violation de l'obligation de sécurité du RGPD, indépendamment de toute violation de données avérée.
Le National University Hospital de Singapour a documenté un cas d'accès non autorisé à des dossiers patients détecté grâce à la revue des journaux d'audit — un praticien accédait systématiquement à des dossiers de patients dont il n'était pas le médecin traitant. La détection précoce via la traçabilité a limité le nombre de dossiers exposés et permis une notification ciblée aux seuls patients concernés, réduisant significativement l'impact réputationnel par rapport à une notification générale.