La protection des données personnelles (données de santé ou non) est une obligation légale pour les professionnels de santé mais aussi pour l'éditeur et l'hébergeur. Comment s’assurer que l’obligation de sécurité, inscrite dans la loi depuis 45 ans et renforcée par le Règlement Général sur la Protection des Données (RGPD) de 2018, est bien respectée ? Et à qui se référer ?

Certifications et attestations

Pour vous assurer que votre solution de sécurisation est conforme, vous pouvez demander à votre éditeur l'attestation ISO 27 001 (la norme qui définit les exigences pour la mise en place d'un système de management de la sécurité de l'information) et les attestations HDS (qui prouvent l'utilisation d"un hébergeur agréé pour les données de santé). Pour effectuer ces vérifications techniques, vous pouvez vous faire accompagner, si besoin, par un DPO (data protection officer). En cas de non-conformité de votre logiciel, vous risquez de lourdes amendes.

Un guide de la Cnil à disposition

Afin de rappeler les précautions élémentaires en matière de sécurité des données personnelles mais aussi les mesures à prendre pour renforcer davantage la sécurisation, la Cnil met à disposition un guide qui fait office de référence en la matière. Divisé en 17 fiches, celui-ci est mis à jour régulièrement pour suivre l’évolution de la menace et des connaissances. Vous pouvez le télécharger en cliquant sur le document en haut de cet article (sous la photo à droite).

Nouveautés de l’édition 2023

  • La fiche n° 2 « Authentifier les utilisateurs » prend en compte la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. En particulier, elle reprend la notion d’entropie du mot de passe* pour offrir une plus grande liberté dans la définition de politiques de mots de passe et abandonne l’obligation de renouvellement des mots de passe pour les comptes utilisateurs "classiques".
  • La fiche n° 4 « Tracer les opérations et gérer les incidents » prend en compte la recommandation relative à la journalisation adoptée en 2021. Elle explique comment assurer une traçabilité des accès et actions dans des systèmes multi-utilisateurs tout en trouvant l’équilibre entre sécurité, surveillance et risques associés.
  • La fiche n°12 « Encadrer les développements informatiques » a également été enrichie d’éléments venant du guide RGPD pour l’équipe de développement.
  • Enfin, les fiches n° 15 « Sécuriser les échanges avec d’autres organismes » et n° 17 « Chiffrer, hacher ou signer » ont été actualisées pour tenir compte de l’évolution des pratiques actuellement recommandées.

Pour rappel, si la Cnil constate le non-respect du RGPD, vous pouvez faire l’objet de sanctions.

 

*L’entropie du mot de passe est un concept qui se calcule avec une formule prenant en compte la longueur du mot de passe et la liste de caractère requise. Autrement dit, plus un mot de passe est long et complexe et plus il sera long à deviner ou à forcer lors d’une attaque informatique.