Netsoins est un logiciel de dossier usager informatisé (DUI) qui centralise les données administratives, médicales et paramédicales des résidents en EHPAD. Lorsqu’il est déployé au sein du groupe Domusvi, la procédure de connexion engage directement la sécurité de données de santé soumises au RGPD et aux exigences d’hébergement HDS. Comprendre les mécanismes techniques qui protègent ces informations permet aux équipes soignantes de mesurer leur propre rôle dans la chaîne de conformité.
Identité nationale de santé et DMP : ce que le Ségur impose à la connexion Netsoins
Les articles concurrents traitent la connexion comme un problème d’identifiant ou de navigateur. Le véritable changement récent est ailleurs : le déploiement du DMP (dossier médical partagé) et de l’INS (identité nationale de santé) dans les établissements Domusvi modifie la nature même de l’authentification.
A découvrir également : Comment résoudre un problème de messagerie Wanadoo et retrouver l'accès à vos mails
La résidence du Clos Lafitte, appartenant au groupe Domusvi, a documenté ce déploiement DMP-INS. Cette intégration impose une authentification forte des professionnels de santé et un circuit de données sécurisé vers l’Assurance maladie. Le simple couple identifiant/mot de passe ne suffit plus : le professionnel doit prouver son identité via un moyen conforme aux référentiels du Ségur du numérique en santé.
Concrètement, lors de la connexion à Netsoins Domusvi, le logiciel vérifie que l’utilisateur dispose des habilitations correspondant à son rôle (infirmier, médecin coordonnateur, aide-soignant). Chaque action est tracée dans un historique horodaté, ce qui alimente le registre de traitement exigé par le RGPD.
A lire aussi : Comment accéder facilement à votre compte Overblog : guide de connexion étape par étape
Hébergement HDS et localisation des serveurs : une contrainte souvent ignorée
La majorité des guides de connexion ne mentionnent pas l’infrastructure qui stocke les données une fois saisies. La CNIL rappelle que les établissements médico-sociaux doivent vérifier la localisation des serveurs et les garanties offertes par leurs sous-traitants, en particulier depuis l’invalidation du Privacy Shield et l’adoption du Data Privacy Framework en 2023.
Netsoins affiche une conformité aux normes HDS (hébergeur de données de santé). Cette certification garantit que les données des résidents restent sur des serveurs répondant à des critères stricts de disponibilité, d’intégrité et de confidentialité. Pour un établissement Domusvi, vérifier que l’hébergeur est qualifié HDS et localisé en Europe constitue un prérequis avant toute mise en production du logiciel.
Transferts hors UE : le point de vigilance
La CNIL insiste sur la préférence pour des hébergeurs européens lorsqu’il s’agit de données de santé hébergées dans le cloud. Si un sous-traitant technique (maintenance, sauvegarde) transfère des données vers des serveurs américains, l’établissement doit s’assurer que des clauses contractuelles types ou des garanties équivalentes sont en place. Ce contrôle relève du délégué à la protection des données (DPO), dont la désignation est obligatoire pour un groupe comme Domusvi qui traite des données sensibles à grande échelle.
Rôle du DPO et registre de traitement dans un groupe multi-sites
Domusvi exploite plusieurs centaines de résidences. Cette échelle rend le registre de traitement particulièrement complexe : chaque établissement utilise Netsoins avec des paramétrages adaptés (modules de prescription, suivi des soins infirmiers, télémédecine), et chaque configuration génère des flux de données distincts.
Le DPO du groupe doit tenir un registre décrivant, pour chaque traitement :
- La finalité précise (coordination des soins, facturation, transmission à l’Assurance maladie via le DMP)
- Les catégories de données collectées (identité du résident, antécédents médicaux, prescriptions, observations soignantes)
- Les destinataires internes et externes, y compris les sous-traitants techniques assurant l’hébergement HDS
- Les durées de conservation appliquées, qui varient selon la nature du document (dossier médical, données administratives)
Chaque professionnel qui se connecte à Netsoins alimente ce registre par ses actions quotidiennes. Tracer un soin, modifier une prescription, consulter un dossier : toutes ces opérations sont enregistrées et doivent pouvoir être auditées.
Bonnes pratiques de sécurité au quotidien pour les équipes en EHPAD
La conformité réglementaire repose sur des mécanismes techniques, mais aussi sur les gestes des équipes au poste de travail. Plusieurs réflexes réduisent significativement le risque de fuite ou d’accès non autorisé.
- Verrouiller la session dès que le poste est quitté, même pour quelques minutes. En EHPAD, les postes partagés entre soignants multiplient le risque d’accès sous une identité tierce
- Ne jamais partager ses identifiants Netsoins avec un collègue, même en situation d’urgence. La traçabilité individuelle des actions est une obligation légale, pas une recommandation
- Signaler immédiatement toute suspicion d’accès anormal (connexion depuis un appareil inconnu, modification non effectuée par le titulaire du compte) au référent informatique ou au DPO
- Privilégier le navigateur recommandé par l’établissement et maintenir ses mises à jour, car un navigateur obsolète peut exposer les données à des vulnérabilités connues
Ces gestes paraissent simples. Leur non-respect représente la première cause de signalements auprès de la CNIL dans le secteur médico-social. La sécurité des données de santé se joue autant à l’écran qu’au niveau du serveur.
Formation continue et sensibilisation
Un logiciel conforme ne protège rien si les utilisateurs contournent ses mécanismes par habitude ou par manque de temps. Les établissements Domusvi qui intègrent une sensibilisation régulière au RGPD dans leur plan de formation constatent une diminution des incidents liés aux mauvaises pratiques de connexion.
La protection des résidents passe par une chaîne complète : certification HDS du serveur, authentification forte imposée par le Ségur, registre de traitement tenu par le DPO, et vigilance quotidienne de chaque soignant qui ouvre Netsoins. Aucun maillon ne compense la défaillance d’un autre.