Le dossier utilisateur informatisé (DUI) dans les services sociaux et médico-sociaux (ESMS)

No items found.
This is some text inside of a div block.
November 19, 2025

Table des matières

Un outil au service de la qualité des soins et de la protection des données

Dans un contexte ou le numérique transforme en profondeur le secteur médico-social pour les établissements et services médico-sociaux (ESMS), le Dossier Usager Informatisé (DUI) s’impose comme un véritable levier d’amélioration de la qualité d’accompagnement avec une meilleure coordination entre professionnels et une sécurisation des données renforcée.  

Bien que la mise en place d’un DUI reste encore un chantier complexe (résistance aux nouvelles pratiques, coût global du projet parfois élevé par rapport à l’acquisition, la maintenance et les formations au logiciel, l’interopérabilité encore difficile entre des systèmes hétérogènes), le DUI est néanmoins un véritable levier de confiance, qui permet de concilier la qualité de l’accompagnement avec la protection de la vie privée des usagers.  

Qu'est-ce que le DUI exactement ?

Le DUI est un logiciel qui centralise toutes les informations relatives à la personne accompagnée : données administratives, sociales et médico-sociales, évaluations, bilans, plans d’accompagnement personnalisés, échanges entre professionnels, historique de la prise en charge.  

L’objectif est simple : mieux partager l’information entre les acteurs de l’accompagnement, tout en sécurisant les données et en plaçant l’usager au cœur de son parcours.

Bien que la loi n° 2002-2 du 2 janvier 2002 ait rendue obligatoire la tenue d’un dossier de l’usager et la traçabilité des actions réalisées, l’obligation d’informatiser ce dossier est plus récente. Avec les dernières réformes du numérique en santé (instruction du 24 septembre 2021, arrêté du 21 juillet 2022 et décret du 31 mai 2023), sa mise en place devient progressivement obligatoire et s’inscrit dans le programme “ESMS numérique”, piloté par la Caisse Nationale de Solidarité pour l’Autonomie et le Ministère de la Santé et de la Prévention.  

Ce plan national vise donc à équiper progressivement l’ensemble des structures médico-sociales d’un DUI conforme à un référentiel d’exigences garantissant la sécurité, l’interopérabilité, le partage des données et la conformité au RGPD.

La protection des données personnelles au cœur du DUI

La mise en place d’un DUI s’inscrit pleinement dans le respect du Règlement Général sur la Protection des Données (RGPD). En effet, le DUI centralise de nombreuses informations personnelles, voir sensibles (état de santé, parcours de vie, compte-rendu d’accompagnement, données sociales), ce qui impose aux établissements et services médico-sociaux une vigilance accrue.

Le DUI permet de répondre aux dispositions du RGPD grâce à :

Des mesures techniques :

  • Chiffrement des données
  • Sauvegardes régulières
  • Authentification sécurisée
  • Définir et appliquer les habilitations

Des mesures organisationnelles

  • Minimiser la collecte des données personnelles et garantir leurs exactitudes
  • Mettre en place de durées de conservation
  • Déployer des procédures internes de confidentialité ainsi qu’une information complète aux usagers
  • Permettre aux usagers d’exercer leurs droits

Partage contrôlé de l'information

Uniquement avec les professionnels concernés ou via des plateformes sécurisées comme Mon Espace Santé.

Avant de signer un contrat avec un éditeur, l'ESMS doit :

  • Vérifier que l’éditeur dispose d’un hébergement certifié HDS pour les données de santé, conformément à l’article L.11118 du Code de la santé publique qui dispose que les données de santé stockées de façon électronique doivent etre hébergées par un Hébergeur de Données de Santé agréé ou par un établissement de santé disposant d’une autorisation équivalente
  • Contrôler les fonctionnalités de sécurité (authentification, traçabilité, journalisation des accès, chiffrement des données etc.)
  • Consulter les politiques de confidentialité de l’éditeur pour s’assurer qu’elles répondent aux obligations légales
  • Demander des preuves de conformité, comme les rapports d’audit interne, certifications ISO 27001, ou attestations HDS

Le contrat avec l’éditeur de logiciel doit préciser, outre les mesures techniques et organisationnelles mises en place par ce dernier, l’ensemble des obligations relatives à l’article 28 du RGPD concernant la sous-traitance (les responsabilités respectives de l’éditeur et de l’établissement, la possibilité pour l’établissement de réaliser des audits, le lieu d’hebergement des données, les éventuels sous-traitants ultérieurs, la nécessité d’une coopération en cas de violation de données dans les 72 heures etc.).  

La conformité au RGPD ne s’arrête pas à la signature du contrat. L’ESMS doit auditer régulièrement le prestataire et vérifier la mise à jour des mesures de sécurité afin qu’elles ne compromettent pas la protection des données.  

Le Délégué à la Protection des Données (DPO) va donc jouer un rôle central pour surveiller et conseiller sur la conformité continue du DUI.

Conclusion

Pour conclure, le déploiement du DUI contribue à une approche plus coordonnée, plus sécurisée et plus transparente de l’accompagnement des personnes vulnérables.

Ce dossier unique à un avenir qui s’annonce de plus en plus connecté puisqu’une interopérabilité est en cours avec le Dossier Médical Partagé (DMP). Cette liaison, piloté cette fois par l’Agence du Numérique en Santé (ANS), permettra aux professionnels de santé et du médico-social d’accéder rapidement aux informations essentielles, d’améliorer la coordination des soins et de renforcer la continuité du parcours des usagers, dans le respect du RGPD et du secret médical.  

À lire également

See all

Priorités CNIL 2026 : les nouveaux axes de contrôle à anticiper pour votre conformité RGPD

Chaque année, la CNIL définit des priorités de contrôle représentant environ 20 % des vérifications réalisées. Pour 2026, trois thématiques majeures ont été identifiées, découvrez lesquels.

Read more

Report de l'AI Act : ce que les entreprises doivent vraiment retenir

Le Parlement européen propose de reporter l'AI Act pour les systèmes d'IA à haut risque à décembre 2027, voire août 2028. Quelles obligations restent en vigueur ? Comment anticiper ?

Read more

Espace Européen des Données de Santé (EHDS) : enjeux, opportunités et conformité RGPD

À l’ère de la médecine personnalisée et de la transformation numérique, la donnée de santé s’impose comme une ressource stratégique majeure.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2026 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000