La CNIL durcit les exigences de sécurité
Fin mars 2025, la CNIL a publié une recommandation majeure sur l'usage de l'authentification multifacteur (MFA) pour renforcer la sécurité des systèmes d'information. Les contrôles démarrent dès 2026, avec une attention particulière portée aux données de santé, selon Datanaos.
Cette mesure concerne directement les cabinets médicaux, qui traitent des données sensibles au sens du RGPD. L'époque du simple mot de passe pour accéder aux dossiers patients est révolue.
Qu'est-ce que l'authentification multifacteur ?
Le MFA (Multi-Factor Authentication) consiste à vérifier l'identité d'un utilisateur via au moins deux facteurs distincts :
- Ce que vous savez : mot de passe, code PIN
- Ce que vous possédez : smartphone, clé USB de sécurité, carte à puce
- Ce que vous êtes : empreinte digitale, reconnaissance faciale
En pratique : Quand vous vous connectez à votre logiciel médical, après avoir saisi votre mot de passe, vous recevez un code sur votre téléphone ou vous validez via une application d'authentification. C'est simple et rapide.
Pourquoi c'est obligatoire pour les données de santé
La CNIL est claire : le MFA est requis dès lors que :
- La violation des données exposerait les personnes à des risques élevés
- Les données traitées sont sensibles au sens du RGPD (données de santé, données biométriques)
- L'accès se fait depuis un réseau non maîtrisé (internet, Wi-Fi public)
Les données médicales cochent toutes ces cases. Un dossier patient contient des informations parmi les plus sensibles qui existent.
Guide pratique : mettre en place le MFA dans votre cabinet
Étape 1 : Vérifiez votre logiciel médical
Assurez-vous que votre logiciel de gestion de cabinet propose le MFA. Les solutions modernes comme GestiCab intègrent nativement l'authentification à deux facteurs.
Étape 2 : Installez une application d'authentification
Téléchargez une application d'authentification gratuite sur votre smartphone :
- Google Authenticator : simple et efficace
- Microsoft Authenticator : avec sauvegarde cloud
- Authy : multi-appareils, sauvegarde intégrée
Étape 3 : Activez le MFA pour tous les utilisateurs
Chaque personne ayant accès au logiciel médical (médecin, secrétaire, associé) doit avoir son propre compte avec le MFA activé. Pas de partage de compte.
Étape 4 : Formez votre équipe
Prenez 15 minutes pour montrer à votre équipe comment utiliser le MFA. La plupart des utilisateurs s'adaptent en moins d'une journée.
Ce que risquent les cabinets non conformes
Les sanctions pour non-conformité aux recommandations CNIL peuvent être sévères :
- Amendes : jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros (RGPD)
- Mise en demeure : obligation de se mettre en conformité dans un délai contraint
- Atteinte réputationnelle : une fuite de données patients détruit la confiance
L'authentification multifacteur est le rapport investissement/sécurité le plus rentable qui existe. 5 minutes de mise en place pour bloquer 99,9% des attaques. Il n'y a plus d'excuse pour ne pas l'activer.
Conclusion
L'obligation du MFA par la CNIL pour les données sensibles est une mesure de bon sens qui protège à la fois les patients et les praticiens. Avec les contrôles qui démarrent en 2026, c'est le moment d'agir. Vérifiez que votre logiciel médical propose cette fonctionnalité et activez-la dès aujourd'hui.
Sources : Datanaos, CNIL, Rouge Hexagone
Découvrez l'écosystème santé Magica HealthTech
GestiCab (logiciel médical cabinet & clinique), MagicaRDV (prise de rendez-vous en ligne pour vos patients) et GestiFile (dossier médical numérique gratuit pour vos patients) forment un écosystème complet pensé pour les médecins et cliniques au Maroc depuis 2010.
