Un usager d’un hôpital espagnol s’est adressé à l’autorité de contrôle espagnole après qu’une infirmière n’étant pas impliquée dans son parcours de soin ai eu accès à son dossier médical, son profil utilisateur le permettant. Après une enquête interne, une violation de données a été constatée en raison de l’accès illégitime de l’infirmière au dossier de ce patient.

Bien que l’hôpital ait argué avoir mis en œuvre les mesures techniques et organisationnelles appropriées à la protection des données traitées, l’autorité de contrôle espagnole (AEPD[1]) a estimé que ces mesures étaient insuffisantes pour prévenir l’accès illégitime aux données personnelles des patients.

En effet, aucune mesure ne permettait de cantonner de manière effective l’accès au dossier patient aux profils utilisateurs impliqués dans le parcours de soins. L’autorité estime que les hôpitaux doivent implémenter des mesures prenant en compte les particularités du patient, le service de santé où le personnel concerné travaille ainsi que leurs horaires de travail.

Pour en savoir plus :

Affaire PS/00587/2021, AEPD, 29 novembre 2022

[1] Site de l’AEPD