1. Définition
Le Dossier de l'Usager Informatisé (DUI) est un système d'information numérique permettant de centraliser, gérer et sécuriser l'ensemble des données relatives à l'accompagnement d'une personne accueillie dans un établissement ou service social ou médico-social (ESMS).
Le DUI constitue l'évolution digitale du traditionnel "dossier papier" et s'inscrit dans la transformation numérique du secteur médico-social, tout en répondant aux exigences renforcées de protection des données personnelles issues du RGPD.
Objectifs du DUI
La mise en place d'un DUI répond à plusieurs objectifs :
- Centralisation : Regrouper toutes les informations en un point d'accès unique et sécurisé
- Traçabilité : Garantir l'historique des actions et la traçabilité des accès
- Confidentialité : Protéger les données sensibles par des mécanismes de sécurité renforcés
- Partage sécurisé : Faciliter la coordination entre professionnels dans le respect des habilitations
- Continuité : Assurer la continuité de l'accompagnement et la transmission d'informations
- Conformité RGPD : Respecter les obligations de protection des données personnelles
Bon à savoir : Le DUI n'est pas une obligation légale en soi, mais il constitue le moyen le plus efficace de respecter les obligations de tenue de dossier, de traçabilité et de protection des données imposées par la loi 2002-2 et le RGPD.
Périmètre fonctionnel
Un DUI couvre généralement les fonctionnalités suivantes :
- Gestion administrative (état civil, coordonnées, représentant légal, financement...)
- Suivi médical et paramédical (observations, traitements, bilans...)
- Projet personnalisé et objectifs d'accompagnement
- Traçabilité des interventions et des transmissions
- Gestion documentaire (contrat de séjour, autorisations, notifications...)
- Gestion des droits d'accès et des habilitations
- Historique des modifications et logs d'accès
2. Contenu obligatoire
Données administratives
Le DUI doit contenir l'ensemble des informations administratives relatives à la personne :
État civil et identité
Nom, prénoms, date et lieu de naissance, NIR (numéro de sécurité sociale), coordonnées complètes, situation familiale.
Représentation légale et contacts
Représentant légal, tuteur/curateur, personne de confiance, personnes à prévenir en cas d'urgence, coordonnées des proches autorisés.
Admission et financement
Date d'admission, notification MDPH ou décision d'admission, modalités de financement (département, ARS, prix de journée...), contrat de séjour signé.
Données d'accompagnement
Le DUI centralise tous les éléments relatifs à l'accompagnement de la personne :
- Projet personnalisé : Objectifs, actions, échéancier, révisions annuelles
- Évaluations : Bilans initiaux, évaluations pluridisciplinaires, grilles d'autonomie
- Transmissions : Observations quotidiennes, événements marquants, évolution
- Interventions : Prestations réalisées, entretiens, activités, sorties
- Partenariats : Coordination avec intervenants externes, comptes rendus de réunions
Données médicales et paramédicales
Selon la nature de l'établissement, le DUI peut intégrer des données de santé :
- Antécédents médicaux : Pathologies, allergies, handicaps
- Suivi médical : Consultations, prescriptions, traitements en cours
- Observations paramédicales : Soins infirmiers, rééducation, observations IDE/AS
- Protocoles et urgences : Protocoles de soins, conduite à tenir en cas d'urgence
Données sensibles : Les données de santé sont des données sensibles au sens du RGPD (article 9). Leur traitement impose des mesures de sécurité renforcées : hébergement certifié HDS, chiffrement, habilitations strictes, traçabilité exhaustive.
Documents numérisés
Le DUI permet de stocker et gérer les documents numérisés ou natifs numériques :
- Contrat de séjour et annexes
- Livret d'accueil signé
- Notification MDPH, décisions d'orientation
- Autorisations parentales ou de sortie
- Comptes rendus de réunions, bilans
- Documents médicaux (ordonnances, certificats...)
3. Obligations légales et RGPD
Conformité RGPD
Le DUI doit respecter les principes fondamentaux du RGPD :
- Licéité du traitement : Traitement nécessaire à l'exécution d'une mission d'intérêt public (article 6) et, pour les données de santé, au diagnostic et aux soins (article 9.2.h)
- Minimisation des données : Collecter uniquement les données strictement nécessaires à l'accompagnement
- Limitation de la finalité : Utiliser les données uniquement pour l'accompagnement médico-social
- Exactitude : Garantir la mise à jour et l'exactitude des données
- Limitation de la conservation : Définir des durées de conservation (ex : 20 ans après la fin de l'accompagnement pour les dossiers médico-sociaux)
- Intégrité et confidentialité : Mettre en œuvre des mesures de sécurité appropriées
Mesures de sécurité obligatoires
Le DUI doit intégrer des mesures techniques et organisationnelles robustes :
Contrôle d'accès
Authentification forte, gestion des habilitations par profil, principe du moindre privilège, déconnexion automatique après inactivité.
Chiffrement et protection
Chiffrement des données en transit (HTTPS/TLS) et au repos, pseudonymisation si possible, sauvegardes chiffrées et externalisées.
Traçabilité et auditabilité
Logs exhaustifs des accès et modifications, horodatage, identification de l'auteur de chaque action, conservation des logs pendant au moins 1 an.
Hébergement sécurisé
Pour les données de santé : hébergement certifié HDS (Hébergeur de Données de Santé). Serveurs en France ou UE, disponibilité et continuité de service, plan de reprise d'activité (PRA).
Droits des personnes
Le DUI doit permettre l'exercice effectif des droits RGPD :
- Droit d'accès : La personne peut demander une copie de son dossier sous 1 mois
- Droit de rectification : Correction des données inexactes
- Droit à l'effacement : Limité par les obligations légales de conservation
- Droit d'opposition : Pour les traitements non obligatoires
- Droit à la limitation : Blocage temporaire de certaines données
- Droit à la portabilité : Transfert des données dans un format structuré
Obligation de déclaration : Tout DUI traitant des données de santé doit faire l'objet d'une analyse d'impact relative à la protection des données (AIPD) et d'une inscription au registre des traitements du responsable de traitement (article 30 RGPD).
Responsabilités
La mise en œuvre d'un DUI engage plusieurs responsabilités :
- Responsable de traitement : Le directeur de l'établissement, garant de la conformité RGPD
- Délégué à la Protection des Données (DPO) : Obligatoire pour les traitements de données de santé
- Sous-traitant : L'éditeur du logiciel DUI (contrat de sous-traitance obligatoire)
- Hébergeur : L'hébergeur de données (certification HDS obligatoire pour les données de santé)
- Utilisateurs : Chaque professionnel ayant accès au DUI (formation, charte d'utilisation)
4. Cadre réglementaire
Textes de référence
- Règlement (UE) 2016/679 - RGPD - Cadre général de protection des données personnelles
- Loi n° 2002-2 du 2 janvier 2002 - Droits des usagers et tenue du dossier
- Article L311-3 du CASF - Droits des personnes accompagnées
- Article L311-4 du CASF - Consentement aux traitements de données (modifié en 2024)
- Loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés) - Cadre national de protection des données
Référentiels et normes
- Certification HDS : Hébergement de Données de Santé (obligatoire pour les données de santé)
- Référentiel CNIL : Guide de sécurité des données personnelles
- Référentiel RGS : Référentiel Général de Sécurité (administration électronique)
- ISO 27001 : Norme internationale de management de la sécurité de l'information
- Référentiel HAS : Critères d'évaluation de la qualité incluant la gestion des dossiers
Évolution 2024 : L'article L311-4 du CASF a été modifié en 2024 pour préciser que le contrat de séjour doit inclure le consentement de la personne aux contrôles dans ses espaces privés et au traitement de ses données personnelles.
Obligations de conservation
Les durées de conservation des données dans le DUI sont encadrées :
- Dossier actif : Pendant toute la durée de l'accompagnement
- Dossier archivé : 20 ans après la fin de l'accompagnement (recommandation générale)
- Données médicales : Conservation selon les règles du Code de la santé publique
- Logs d'accès : Minimum 1 an, recommandation 3 ans
- Données comptables : 10 ans selon le Code de commerce
Sanctions en cas de non-conformité
Le non-respect des obligations RGPD expose à des sanctions :
- Amendes CNIL : jusqu'à 20 millions d'euros ou 4% du CA annuel mondial
- Injonctions de mise en conformité
- Suspension du traitement de données
- Responsabilité civile et pénale du responsable de traitement
- Impact sur l'évaluation HAS et l'autorisation de l'établissement
5. Cadre stratégique : Ségur du numérique en santé
Le DUI s'inscrit dans le cadre du Ségur du numérique en santé, lancé en 2020 avec un investissement de 2 milliards d'euros pour accélérer la transformation numérique du système de santé.
Objectifs pour les ESMS
- Généralisation du DUI interopérable : Déploiement de solutions logicielles référencées Ségur dans l'ensemble des ESMS
- Alimentation de Mon Espace Santé : Partage des documents de santé vers l'espace numérique du patient (anciennement DMP)
- Partage sécurisé des données de santé : Interopérabilité avec les autres acteurs du parcours de soins
- Conformité aux référentiels d'interopérabilité : Respect du Cadre d'Interopérabilité des Systèmes d'Information de Santé (CI-SIS)
Financements disponibles
- Enveloppe ESMS numérique : 600 millions d'euros dédiés au secteur médico-social
- Aide à l'équipement : Subventions pour l'acquisition de solutions DUI référencées Ségur
- Accompagnement au déploiement : Financement de l'accompagnement au changement et à la formation
Portail Ségur numérique
Informations officielles sur le programme Ségur du numérique en santé
Consulter le portail →6. Ressources utiles
Organismes de référence
CNIL
Commission Nationale Informatique et Libertés - Référent RGPD
Accéder au site →HAS
Haute Autorité de Santé - Évaluation qualité et référentiels
Accéder au site →DGCS
Direction Générale de la Cohésion Sociale - Cadre réglementaire
Accéder au site →ASIP Santé
Agence du Numérique en Santé - Certification HDS
Accéder au site →Guides et outils CNIL
- Guide RGPD du responsable de traitement
- Guide de la sécurité des données personnelles
- Modèle d'analyse d'impact (AIPD)
- Registre des activités de traitement (modèle)
- Pack de conformité Secteur social et médico-social
Solutions logicielles
Critères de sélection d'un DUI :
- Conformité RGPD et certification HDS si données de santé
- Hébergement en France ou UE avec garanties de souveraineté
- Gestion fine des habilitations et traçabilité exhaustive
- Ergonomie adaptée aux professionnels du médico-social
- Interopérabilité et capacité d'export/import des données
- Support technique et mises à jour réglementaires
- Coût adapté à la taille de l'établissement
7. Documents liés
Documents intégrés au DUI
Projet Personnalisé
Document central de l'accompagnement intégré au DUI
Projet d'Accompagnement Individualisé (PAI)
Déclinaison opérationnelle du projet personnalisé
Contrat de séjour
Document contractuel intégrant le consentement aux traitements
Livret d'accueil
Présentation de l'établissement et des droits
Documents RGPD associés
Documents de conformité RGPD à produire :
- Registre des traitements : Inscription du DUI au registre (article 30 RGPD)
- AIPD (Analyse d'Impact) : Obligatoire pour les traitements de données de santé à grande échelle
- Contrat de sous-traitance : Avec l'éditeur du logiciel et l'hébergeur
- Notice d'information : Information des personnes sur le traitement de leurs données
- Procédure d'exercice des droits : Modalités de gestion des demandes d'accès, rectification, etc.
- Politique de sécurité : Mesures techniques et organisationnelles mises en œuvre
- Charte d'utilisation : Règles d'usage du DUI pour les professionnels
- Plan de continuité : PRA/PCA en cas d'incident
Liens avec les processus qualité
Le DUI s'inscrit dans plusieurs démarches qualité :
- Évaluation HAS : Critère d'évaluation sur la gestion des dossiers et la traçabilité
- Certification ISO 27001 : Norme de management de la sécurité de l'information
- Certification HDS : Prérequis pour l'hébergement de données de santé
- Audit interne : Vérification de la conformité RGPD et de la sécurité
- Contrôle ARS : Inspection de la tenue des dossiers et du respect des droits
Besoin d'accompagnement pour votre DUI et votre conformité RGPD ?
INTELIGIA vous accompagne dans le choix, la mise en œuvre et la conformité RGPD de votre Dossier de l'Usager Informatisé : audit, AIPD, formation, procédures.