A l'occasion de contrôles exercés chez les participants à la phase d'expérimentation du dossier médical personnel (DMP), la Cnil a relevé un certain nombre d'insuffisances relatives à la sécurité des données. Menés auprès des centres hospitaliers, des réseaux de santé, médecins, centres d'appel et hébergeurs, les contrôles concluent que « la courte durée d'expérimentation du DMP ne permet pas de mesurer son fonctionnement effectif et que les mesures de sécurité doivent être renforcées ». La Cnil a notamment constaté des carences dans la façon dont les identifiants et les mots de passe sont transmis par les hébergeurs ou les centres d'appel aux centres de soins et aux patients. Dans certains cas, ces échanges se font par voie électronique ne bénéficiant pas de « protection particulière ». Pire, des patients ayant oublié leur mot de passe se les ont faits communiquer par téléphone. Dans le même esprit, des centres d'appel n'ont pas mis en place des mesures d'identification-authentification des patients, en ne prévoyant notamment pas d'interrogation de ces derniers à partir de « questions défis » renseignées lors de leur inscription. La Cnil relève également qu'une de ses recommandations n'a pas été suivie. Elle concerne l'obligation de chiffrement complet des bases de données, et pas seulement des canaux de communication. Enfin, la Commission a relevé une faille de sécurité sur le site Internet d'un hébergeur. Bien que résolue, cette faille permettait l'accès au DMP par le patient via un couple identifiant/mot de passe « identiques et facilement déductibles ».