Une petite uchronie sur les contrôles d’accès

Vous travaillez dans un hôpital – ou une clinique, ou un établissement médico-social. Vous pouvez être agent de nettoyage, médecin, chef de service ou de pôle, agent technique, directeur général, infirmier, au masculin ou au féminin, qu’importe.

Quels que soient votre qualification et votre niveau hiérarchique, on vous demande de suivre un Mooc sur le contrôle d’accès aux données de santé (à la fois physique et logique, il y a des dossiers papier dans toutes les archives du monde), d’une durée de 4 heures environ, avec questionnaire à la fin et certification obligatoire : si vous échouez deux fois, vous devez suivre de nouveau le Mooc, et si vous échouez encore, vous serez suspendu le temps d’obtenir votre certification. Et vous devrez repasser ce Mooc certifiant tous les trois ans.

À l’issue de ce Mooc (qui n’a en soi rien de compliqué, faut juste le faire sérieusement et ne pas le prendre à la légère), on vous délivrera une carte à puce avec photo, date de validité et éventuellement empreinte biométrique.

Ce badge sera à porter en permanence, face avant, avec photo toujours visible par tous. Si un agent vous croise, qui que vous soyez et qu’il soit, et constate que votre badge est par mégarde retourné (face avant non visible), il peut vous demander poliment de le retourner, et vous devrez vous exécuter. Même si c’est un agent d’entretien et que vous êtes directeur de pôle. Si vous refusez, il est en droit de déclencher une fiche d’événement indésirable.

Si vous ne portez pas votre badge, vous encourez une amende de 150 euros, sur vos deniers. Et une suspension de six jours, sans salaire bien entendu.

Votre badge mentionne, de façon clairement visible, les zones physiques auxquelles vous avez accès ainsi que les zones « logiques » que vous êtes habilité à consulter (dossiers de patients de tel service, de telle pathologie, etc.). En cas de manquement avéré (et qui relève non pas du clic malencontreux, mais de l’erreur volontaire), vous vous exposerez à une amende de 1 500 euros (toujours sur vos deniers) et à une suspension de 30 jours (toujours sans salaire évidemment). Et ce, encore une fois, quels que soient votre qualification, niveau hiérarchique, diplôme, fonction, etc.

Vous êtes non seulement tenu de respecter ces règles, mais aussi de signaler tout manquement dont vous auriez connaissance. La perte de votre badge n’est pas considérée comme une faute, mais son non-signalement si. Tout comme le non-signalement d’un dysfonctionnement (volontaire ou pas) dont vous auriez connaissance. L’erreur non intentionnelle n’est pas pénalisée, tout comme le signalement de ses propres fautes non intentionnelles.

Des agents internes à l’établissement, sans aucun lien hiérarchique avec quiconque, sont chargés du contrôle. Eux aussi doivent porter des badges et sont soumis aux mêmes règles exposées ci-dessus, de sorte que le signalement des FEI est rapporté à une autre équipe.

Vous pensez que cette uchronie relève du délire éveillé ? Je viens de vous décrire, très exactement et quasi exhaustivement, les règles applicables à toute personne travaillant dans un aéroport et susceptible de pénétrer sur le tarmac. Ces règles s’appliquent à tout un chacun, salarié, prestataire, visiteur occasionnel. Et l’ensemble de ces personnes trouve ce genre de règles tout à fait normales, car ce « monde » a la sécurité ancrée dans son ADN.

Certes, une partie des dispositions évoquées ci-dessus est difficile à appliquer aux contrôles d’accès sur un DPI, mais vous conviendrez que sur ce sujet le monde de la santé accuse un « léger » retard, pour rester poli.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Article connexe → ISO 27001 : introduction au concept de classe de risques