Le dossier utilisateur informatisé (DUI) dans les services sociaux et médico-sociaux (ESMS)

Un outil au service de la qualité des soins et de la protection des données

Dans un contexte ou le numérique transforme en profondeur le secteur médico-social pour les établissements et services médico-sociaux (ESMS), le Dossier Usager Informatisé (DUI) s’impose comme un véritable levier d’amélioration de la qualité d’accompagnement avec une meilleure coordination entre professionnels et une sécurisation des données renforcée.  

Bien que la mise en place d’un DUI reste encore un chantier complexe (résistance aux nouvelles pratiques, coût global du projet parfois élevé par rapport à l’acquisition, la maintenance et les formations au logiciel, l’interopérabilité encore difficile entre des systèmes hétérogènes), le DUI est néanmoins un véritable levier de confiance, qui permet de concilier la qualité de l’accompagnement avec la protection de la vie privée des usagers.  

Qu'est-ce que le DUI exactement ?

Le DUI est un logiciel qui centralise toutes les informations relatives à la personne accompagnée : données administratives, sociales et médico-sociales, évaluations, bilans, plans d’accompagnement personnalisés, échanges entre professionnels, historique de la prise en charge.  

L’objectif est simple : mieux partager l’information entre les acteurs de l’accompagnement, tout en sécurisant les données et en plaçant l’usager au cœur de son parcours.

Bien que la loi n° 2002-2 du 2 janvier 2002 ait rendue obligatoire la tenue d’un dossier de l’usager et la traçabilité des actions réalisées, l’obligation d’informatiser ce dossier est plus récente. Avec les dernières réformes du numérique en santé (instruction du 24 septembre 2021, arrêté du 21 juillet 2022 et décret du 31 mai 2023), sa mise en place devient progressivement obligatoire et s’inscrit dans le programme “ESMS numérique”, piloté par la Caisse Nationale de Solidarité pour l’Autonomie et le Ministère de la Santé et de la Prévention.  

Ce plan national vise donc à équiper progressivement l’ensemble des structures médico-sociales d’un DUI conforme à un référentiel d’exigences garantissant la sécurité, l’interopérabilité, le partage des données et la conformité au RGPD.

La protection des données personnelles au cœur du DUI

La mise en place d’un DUI s’inscrit pleinement dans le respect du Règlement Général sur la Protection des Données (RGPD). En effet, le DUI centralise de nombreuses informations personnelles, voir sensibles (état de santé, parcours de vie, compte-rendu d’accompagnement, données sociales), ce qui impose aux établissements et services médico-sociaux une vigilance accrue.

Le DUI permet de répondre aux dispositions du RGPD grâce à :

Des mesures techniques :

• Chiffrement des données
• Sauvegardes régulières
• Authentification sécurisée
• Définir et appliquer les habilitations

Des mesures organisationnelles

• Minimiser la collecte des données personnelles et garantir leurs exactitudes
• Mettre en place de durées de conservation
• Déployer des procédures internes de confidentialité ainsi qu’une information complète aux usagers
• Permettre aux usagers d’exercer leurs droits

Partage contrôlé de l'information

Uniquement avec les professionnels concernés ou via des plateformes sécurisées comme Mon Espace Santé.

Avant de signer un contrat avec un éditeur, l'ESMS doit :

• Vérifier que l’éditeur dispose d’un hébergement certifié HDS pour les données de santé, conformément à l’article L.11118 du Code de la santé publique qui dispose que les données de santé stockées de façon électronique doivent etre hébergées par un Hébergeur de Données de Santé agréé ou par un établissement de santé disposant d’une autorisation équivalente
• Contrôler les fonctionnalités de sécurité (authentification, traçabilité, journalisation des accès, chiffrement des données etc.)
• Consulter les politiques de confidentialité de l’éditeur pour s’assurer qu’elles répondent aux obligations légales
• Demander des preuves de conformité, comme les rapports d’audit interne, certifications ISO 27001, ou attestations HDS

Le contrat avec l’éditeur de logiciel doit préciser, outre les mesures techniques et organisationnelles mises en place par ce dernier, l’ensemble des obligations relatives à l’article 28 du RGPD concernant la sous-traitance (les responsabilités respectives de l’éditeur et de l’établissement, la possibilité pour l’établissement de réaliser des audits, le lieu d’hebergement des données, les éventuels sous-traitants ultérieurs, la nécessité d’une coopération en cas de violation de données dans les 72 heures etc.).  

La conformité au RGPD ne s’arrête pas à la signature du contrat. L’ESMS doit auditer régulièrement le prestataire et vérifier la mise à jour des mesures de sécurité afin qu’elles ne compromettent pas la protection des données.  

Le Délégué à la Protection des Données (DPO) va donc jouer un rôle central pour surveiller et conseiller sur la conformité continue du DUI.

‍

Conclusion

Pour conclure, le déploiement du DUI contribue à une approche plus coordonnée, plus sécurisée et plus transparente de l’accompagnement des personnes vulnérables.

Ce dossier unique à un avenir qui s’annonce de plus en plus connecté puisqu’une interopérabilité est en cours avec le Dossier Médical Partagé (DMP). Cette liaison, piloté cette fois par l’Agence du Numérique en Santé (ANS), permettra aux professionnels de santé et du médico-social d’accéder rapidement aux informations essentielles, d’améliorer la coordination des soins et de renforcer la continuité du parcours des usagers, dans le respect du RGPD et du secret médical.  

‍

‍