Sur Légifrance, on peut lire avec intérêt la "Délibération 2006-084 du 21
mars 2006 portant avis sur la demande d'agrément présentée par le groupement
Santénergie, candidat à l'hébergement du dossier médical personnel dans le
cadre de son expérimentation."

<http://www.legifrance.gouv.fr/WAspad/Visu?cid=5250&indice=7&table=CNIL&lign
eDeb=1>
http://www.legifrance.gouv.fr/WAspad/Visu?cid=5250&indice=7&table=CNIL&ligne
Deb=1

Quelques curiosités :

"... L'authentification du patient et les accès aux données contenues dans
le dossier médical personnel, le patient pourra accéder à son DMP par accès
direct via Internet en utilisant son adresse qualité santé (AQS) et un
login/mot de passe associé à des questions-défi...."

Comme on a pu le voir lors de la découverte de la faille de sécurité de
Santénergie, on pouvait accéder aux comptes des patients sans répondre à une
seule question défi alors que c'était ce qui était prévu par la CNIL....
Pourtant Jacques Sauret dans une interview du 30 janvier 2007 de Acteurs
publics déclarait : « Je voudrais souligner en premier lieu que le problème
a été réparé moins d’une heure et trente minutes après avoir été découvert.
Il venait du fait que l’entreprise responsable de cette expérimentation
avait oublié de modifier les règles de constitution des mots de passe entre
la phase de test et la phase de l’expérimentation réelle... » S'il y avait
eu des questions défis, jamais un tiers n'aurait pu entrer en recalculant le
login/mot de passe "de test"...

"(...) La Commission considère que chaque professionnel de santé exerçant au
sein d'un établissement de santé participant à l'expérimentation devra
impérativement être doté avant le début de l'expérimentation d'une carte de
professionnel de santé attribuée par le GIP-CPS, autorité de certification
gérant un annuaire des professionnels de santé. La mise en oeuvre du
certificat électronique attachée à la CPS et permettant de garantir
l'identification devra être effective dans un délai de deux mois à compter
du début de l'expérimentation.(...)"

La CPS était utilisée par les libéraux, mais pas dans les hôpitaux ou
cliniques participant à l'expérimentation. Pourtant la délibération n'évoque
aucune mesure dérogatoires pour l'accès des non libéraux.


" (...) Le chiffrement des données : La Commission constate que le
groupement Santenergie propose le chiffrement des canaux de communication
assurant les échanges et non pas de la base de données elle-même, ce qui ce
qui n'assure pas de façon satisfaisante la confidentialité des données à
l'égard des accès extérieurs et crée une plus grande vulnérabilité en cas
d'intrusion extérieure. La Commission considère cette solution
insatisfaisante et estime nécessaire que soit mis en place un chiffrement
complet de la base de données de l'hébergeur.
(...)"

Y a t-il eu dans la réalité un chiffrement effectif des données sur le
serveur ?




[Les parties de ce message comportant autre chose que du texte seul ont été
supprimées]