Articles

Article 7 AUTONOME (Délibération n° 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l'assurance mis en œuvre par les organismes d'assurance, de capitalisation, de réassurance, d'assistance et par les intermédiaires d'assurance (AU 039))

Article 7 AUTONOME (Délibération n° 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l'assurance mis en œuvre par les organismes d'assurance, de capitalisation, de réassurance, d'assistance et par les intermédiaires d'assurance (AU 039))


Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et à la taille de l'organisme d'assurance. Cette politique devra décrire les objectifs de sécurité, et les mesures de sécurité physique, logique et organisationnelle permettant de les atteindre.
Les accès aux traitements de données nécessitent une authentification des personnes accédant aux données, au moyen d'un identifiant et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d'authentification de même fiabilité.
Les droits permettant d'accéder aux données doivent être précisément définis en fonction des besoins réels de chaque utilisateur, il s'en suit que les permissions d'accès devront être supprimées pour tout utilisateur n'étant plus habilité.
Le responsable de traitement prend les mesures nécessaires pour assurer la maintenance du matériel. Ainsi, les interventions de maintenance doivent faire l'objet d'une traçabilité et le matériel remisé devra être nettoyé de toute donnée à caractère personnel.
Les conditions d'administration du système d'information prévoient l'existence de systèmes automatiques de traçabilité (journaux, audits…).
Dans le cas de l'utilisation d'un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées. Les données transitant sur des canaux de communication non sécurisés doivent notamment faire l'objet de mesures techniques visant à les rendre incompréhensibles à toute personne non autorisée à y avoir accès.
Le responsable de traitement devra aussi s'assurer que ses sous-traitants présentent des garanties en matière de sécurité des données.
S'agissant des données de santé, le responsable de traitement s'engage à respecter les dispositions prévues par le code de bonne conduite annexé à la convention AERAS concernant la collecte et l'utilisation de données relatives à l'état de santé en vue de la souscription ou de l'exécution d'un contrat d'assurance.