Tools

Features

Touch-screen gestures

Les objectifs de la sécurisation et les traces

Publié le mardi 13 décembre 2016 par Virginie Cours


Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l'informatique et des libertés (CNIL)

 

Obligations de sécurité et de confidentialité

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès.
L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.).
Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles.

Traçabilité

La sécurité de l’information, comprend, outre la disponibilité, l'intégrité et la confidentialité, la traçabilité : les systèmes doivent comporter des moyens de preuve sur les accès et opérations effectuées sur l’information.

Cette conservation des traces informatiques porte sur les accès ou les actions réalisées sur les données de santé/
Elle est mise en place et activée dans les logiciels métiers. Les chartes d'accès et d'usage du système information mentionnement les moyens de traçabilité employé, par des mentions du type :

"Par conséquent, les applications de l’établissement, ainsi que les réseaux, messagerie et accès Internet intègrent des dispositifs de traçabilité permettant d’enregistrer :
– L’identifiant de l’utilisateur ayant déclenché l’opération ;
– L’heure de la connexion ;
– Le système auquel il est accédé ;
– Le type d’opération réalisée
– Les informations ajoutées, modifiées ou supprimée des bases de données en réseau et/ ou des applications de l’hôpital ;
– La durée de la connexion (notamment pour l’accès Internet) ;
Le personnel de la Direction du système d’information respecte la confidentialité des données et des traces auxquelles ils sont amenés à accéder dans l’exercice de leur fonction, mais peuvent être amené à les utiliser pour mettre en évidence certaines infractions commises par les utilisateurs."

La traçabilité peut aussi être utile au niveau du système d'exploitation, de l’antivirus ou du pare-feu : des événements suspects peuvent orienter vers une attaque en cours et ces journaux d’événements sont utiles pour analyser a posteriori une attaque.

 

Sanctions

Si l'entreprise ne respecte pas ces obligations, elle encourt 5 ans d'emprisonnement et de 300 000 € d'amende.
Outre les sanctions pénales (amende, emprisonnement), le manquement de l'entreprise aux obligations de protection des données personnelles peut entraîner de la part de la Cnil :

  • un avertissement,
  • une amende,
  • le verrouillage des données pendant 3 mois,
  • une injonction d'arrêter le traitement des données,
  • un retrait de l’autorisation de la Cnil.

La loi Hadopi prévoit également une obligation de sécurisation de son réseau : si un téléchargement illégal est effectué depuis votre connexion vous êtes responsable.

 

Article de "Thema radiologie" du 24/02/2015 sur le thème "Systèmes d'information : l'heure est à la lutte contre la cybercriminalité"

 

 

Les loi et décrets suivants régissent les obligations, en termes de sécurité, pour les informations de santé à caractère personnel.

Notamment:

  • la loi 2002-303 : entre autres choses, droit des patients d’accéder à l’intégralité de leur dossier patient, sans même passer par un médecin (Disponibilité)
  • le décret 2007-960 : confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique (Confidentialité)
  • le décret 2006-6 : hébergement de données de santé à caractère personnel (DICA)

 

Article L1110-4 du code de la santé publique : confidentialité des données médicales

Article R1110-1 du code de la santé publique : conservation sur supports informatiques des informations médicales

Article R1110-2 du code de la santé publique : responsabilités

Article R1110-3 du code de la santé publique : obligation d'utilisation de la carte CPS

Article L1111-7 du code de la santé publique : information des usagers du système de santé et expression de leur volonté

Article L1111-8 du code de la santé publique : hébergement des données médicales

Chargement en cours