Dossier medical partage DMP et RGPD guide 2026

A lire aussi sur DPO PARTAGE

Sommaire

Le Dossier Medical Partage : un outil au service du parcours de soins

Le Dossier Medical Partage (DMP), integre depuis 2022 dans Mon Espace Sante, est un carnet de sante numerique qui centralise les informations medicales d’un patient : comptes rendus d’hospitalisation, resultats d’analyses, ordonnances, vaccinations, allergies. Ce dispositif facilite la coordination des soins tout en soulevant des enjeux majeurs de protection des donnees.

Le DMP contient par nature des donnees de sante sensibles au sens de l’article 9 du RGPD. Sa gestion implique de nombreux acteurs : la CNAM, les professionnels de sante, les etablissements, les editeurs de logiciels et le patient lui-meme. Comprendre les regles de protection applicables est essentiel pour tous ces intervenants.

Cadre reglementaire du DMP

Base legale du traitement

Le DMP repose sur une base legale specifique : l’article L1111-14 du Code de la sante publique. Sa creation est automatique pour tous les beneficiaires de l’Assurance maladie dans le cadre de Mon Espace Sante, sauf opposition du patient. Cette base legale releve de la mission d’interet public au sens de l’article 6.1.e du RGPD.

Le patient conserve neanmoins un droit d’opposition a la creation du DMP et un controle sur les acces a son dossier. Ce droit doit etre respecte par l’ensemble des acteurs du systeme de sante.

Responsabilite des traitements

La CNAM (Caisse Nationale d’Assurance Maladie) est responsable du traitement au sens du RGPD pour le DMP dans son ensemble. Les professionnels et etablissements de sante agissent comme utilisateurs habilites du DMP et sont responsables des traitements qu’ils realisent dans leur propre systeme d’information en lien avec le DMP.

Droits des patients sur leur DMP

Controle des acces

Le patient dispose d’un controle etendu sur son DMP. Il peut consulter l’ensemble de son dossier via Mon Espace Sante, verifier l’historique des acces (qui a consulte quoi et quand), bloquer l’acces a certains professionnels de sante, masquer des documents specifiques et fermer son DMP a tout moment.

Ce niveau de controle constitue une application concrete du droit a l’autodetermination informationnelle du patient et repond aux exigences du RGPD en matiere de transparence et de maitrise des donnees.

Droit d’acces et de rectification

Le patient peut exercer son droit d’acces en consultant directement son DMP en ligne. Pour le droit de rectification, il doit s’adresser au professionnel de sante ayant alimente le document concerne. La suppression de documents est possible par le patient, mais le medecin traitant conserve un acces aux documents masques pour des raisons de securite des soins.

Vous etes professionnel de sante et souhaitez securiser vos pratiques autour du DMP ? DPO France vous accompagne dans la mise en conformite RGPD de votre activite.

Decouvrir DPO France

Obligations des professionnels de sante

Alimentation du DMP

Les professionnels de sante ont l’obligation d’alimenter le DMP avec les elements pertinents du parcours de soins : comptes rendus, resultats d’examens, lettres de liaison, prescriptions. Cette obligation est prevue par le Code de la sante publique et contribue a la coordination des soins.

L’alimentation doit se faire via des logiciels compatibles DMP et dans le respect des referentiels d’interoperabilite definis par l’ANS (Agence du Numerique en Sante). Le professionnel doit informer le patient de chaque alimentation et respecter les eventuelles restrictions d’acces definies par celui-ci.

Consultation du DMP

L’acces au DMP est strictement encadre. Seuls les professionnels de sante impliques dans la prise en charge du patient peuvent consulter le dossier, et uniquement dans la limite de ce qui est necessaire a leurs missions. Le medecin traitant beneficie d’un acces elargi, y compris aux documents masques par le patient.

Chaque acces est trace et horodate. Le patient peut consulter l’historique complet des acces a son DMP. Tout acces non justifie par la prise en charge constitue une violation de la confidentialite des donnees et peut entrainer des sanctions disciplinaires et penales.

Securite des acces

L’acces au DMP par les professionnels de sante necessite une authentification forte via la carte CPS (Carte de Professionnel de Sante) ou un dispositif equivalent agree. Les etablissements de sante doivent garantir la securite des postes de travail utilises pour acceder au DMP et former leur personnel aux bonnes pratiques.

Enjeux specifiques de protection des donnees

Securite de l’infrastructure

L’infrastructure technique du DMP est hebergee dans un environnement certifie HDS et beneficie de mesures de securite de haut niveau : chiffrement des donnees, redondance des systemes, surveillance continue des acces et plan de continuite d’activite. La CNAM, en tant que responsable de traitement, est garante de cette securite.

Interoperabilite et flux de donnees

L’alimentation du DMP genere des flux de donnees entre les systemes d’information des professionnels de sante et la plateforme nationale. Ces echanges doivent etre securises par des protocoles de communication chiffres et des mecanismes d’authentification mutuelle. Les editeurs de logiciels medicaux jouent un role cle dans la securisation de ces flux.

Gerez vos obligations RGPD liees au DMP et a Mon Espace Sante. DPO Suite vous aide a documenter vos traitements et a suivre votre conformite.

Decouvrir DPO Suite

Risques identifies

Les principaux risques lies au DMP concernent les acces non autorises par des professionnels non impliques dans la prise en charge, les failles de securite dans les logiciels d’interface, le defaut d’information des patients sur leurs droits et les transferts de donnees non securises entre systemes d’information.

La CNIL a emis plusieurs recommandations pour renforcer la protection des donnees dans le cadre de Mon Espace Sante, insistant sur la necessite d’une information claire des patients et d’un controle effectif des acces.

Bonnes pratiques pour les etablissements

Les etablissements de sante doivent integrer le DMP dans leur politique de protection des donnees. Cela implique de former le personnel a l’utilisation du DMP et aux regles de confidentialite, de verifier la compatibilite et la securite des logiciels utilises, de documenter les traitements lies au DMP dans le registre, et de sensibiliser les patients a leurs droits.

Le DPO de l’etablissement doit etre implique dans le deploiement et le suivi du DMP pour garantir le respect du RGPD a chaque etape.

Conclusion

Le DMP constitue une avancee majeure pour la qualite des soins et la coordination du parcours patient. Sa mise en oeuvre doit s’accompagner d’une vigilance constante en matiere de protection des donnees, tant de la part des institutions que des professionnels de sante.

Le respect des droits des patients, la securite des acces et la formation du personnel sont les piliers d’une utilisation du DMP conforme au RGPD et respectueuse de la vie privee des patients.

Formez vos equipes aux enjeux RGPD du DMP et de Mon Espace Sante. Focus RGPD propose des modules de sensibilisation adaptes aux professionnels de sante.

Decouvrir Focus RGPD

Article redige par Laurent de Cavel, DPO certifie.

A lire aussi sur le meme sujet :