Points clés
- Le rapport HHS 2023 sur les violations HIPAA indique que les comptes partagés dans les services de soins contribuent directement à l'impossibilité d'identifier les auteurs d'accès anormaux dans 28 % des investigations d'incidents — une lacune de traçabilité qui aggrave les conséquences réglementaires des incidents.
- La CNIL (France) a précisé dans sa délibération n°SAN-2022-024 qu'un compte partagé utilisé par plusieurs professionnels pour accéder aux données de santé constitue en soi une violation de l'obligation de sécurité du RGPD, indépendamment de tout incident, car il rend impossible l'imputabilité des accès.
- L'enquête post-incident du NHS England (2017) sur la compromission WannaCry a établi que les comptes partagés d'administrateurs systèmes utilisés dans plusieurs hôpitaux du NHS avaient facilité la propagation latérale du ransomware — illustrant que les accès partagés entre professionnels amplifient les incidents plutôt que de les contenir.
Les accès partagés entre professionnels — comptes génériques de service, mots de passe communs à une équipe, postes non verrouillés accessibles à tous dans une unité — sont une pratique opérationnelle courante dans les environnements de soins, justifiée par des impératifs de rapidité d'accès aux urgences et de continuité lors des gardes. Ces arguments opérationnels sont réels mais ne compensent pas les risques que ces pratiques introduisent.
La direction est souvent placée face à une tension réelle : les équipes cliniques arguent que les contraintes d'authentification individuelle ralentissent les soins urgents, tandis que les équipes sécurité soulignent que les accès partagés créent des risques légaux et sécuritaires. Résoudre cette tension requiert des solutions techniques adaptées au contexte clinique — pas un arbitrage dans lequel la sécurité sacrifie la continuité des soins ou vice versa.
Risques spécifiques des accès partagés
Les accès partagés génèrent quatre catégories de risques distincts : (1) impossibilité de traçabilité individuelle — quand un compte partagé accède à des données, il est impossible de savoir lequel des utilisateurs du compte est responsable, (2) surface d'exposition amplifiée — un seul mot de passe partagé entre plusieurs personnes est plus susceptible d'être compromis (écrit sur papier, mémorisé sans précaution, divulgué lors d'une conversation), (3) contrôle d'accès binaire — les profils partagés tendent à avoir des droits larges pour couvrir tous les cas d'usage des utilisateurs du compte, sans personnalisation au profil de chaque praticien, (4) impossibilité de révocation ciblée — quand un praticien quitte l'unité, son départ ne peut pas être traduit en révocation d'accès sans impacter les autres utilisateurs du compte partagé.
Solutions adaptées au contexte clinique
Des solutions techniques existent pour concilier rapidité d'accès et authentification individuelle dans les environnements cliniques : (1) authentification par badge RFID ou carte CPx avec lecteur intégré aux postes — connexion en moins de 5 secondes par badge, (2) authentification biométrique (empreinte digitale) pour les accès fréquents depuis des postes dédiés, (3) comptes de garde nominatifs pré-provisionnés avec droits adaptés à la garde, permettant une connexion rapide sans compte partagé, (4) accès "break glass" documenté et audité pour les situations d'urgence absolue nécessitant un accès immédiat hors procédure normale.
Cas institutionnel : Élimination des comptes partagés — CHU de Bordeaux (France, 2021-2023)
Le CHU de Bordeaux a engagé entre 2021 et 2023 un programme d'élimination des comptes partagés dans ses services cliniques, motivé par les exigences du référentiel HDS et les recommandations ANSSI. L'approche a combiné un déploiement de lecteurs de carte CPx dans les zones de soins, la mise en place de comptes de garde nominatifs pour les équipes de nuit, et un accompagnement des équipes cliniques pour lever les freins à l'authentification individuelle. En 18 mois, le nombre de comptes partagés identifiés a été réduit de 89 %. L'évaluation post-déploiement a montré que le temps moyen de connexion avec carte CPx (3,2 secondes) était inférieur à la saisie d'un mot de passe partagé (6,8 secondes), invalidant l'argument de ralentissement des soins.
Cottage Health System a conclu un accord de règlement de 2 millions de dollars avec le California Attorney General après une violation de données impliquant des accès partagés à des fichiers patients non sécurisés. L'accord a inclus l'obligation de supprimer les comptes partagés et de déployer une authentification individuelle dans tous les services cliniques — illustrant la réponse réglementaire à cette pratique.
La délibération CNIL de 2022 citant explicitement les comptes partagés comme violation du RGPD a eu un effet de précédent significatif : plusieurs établissements de santé français ont utilisé cette délibération comme argument pour obtenir les ressources nécessaires à l'élimination de leurs comptes partagés, présentant le risque réglementaire documenté à leurs directions générales.
Le KK Women's and Children's Hospital de Singapour a fait l'objet d'une alerte de la PDPC en 2022 concernant des pratiques d'accès partagé dans certaines unités. Le suivi a conduit à la mise en place d'un programme d'authentification individuelle par badge RFID dans l'ensemble des services cliniques — devenant un modèle cité par le MOH Singapore dans ses recommandations sectorielles sur l'élimination des accès partagés.