Sur la sécurité des données et la traçabilité des actions.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.
Le responsable du traitement définit, met en œuvre et contrôle l'application d'une politique de sécurité qui devra notamment décrire :
- les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
- les habilitations d'accès aux données et, en particulier, les mesures d'identification et d'authentification, les procédures de traçabilité des accès aux informations médicales ainsi que l'historique des connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.
Cette politique de sécurité doit être définie au regard des risques identifiés au terme d'une analyse des risques présentés par le traitement (cette analyse devra notamment couvrir les risques que peut présenter le traitement sur les libertés et la vie privée des personnes concernées).
Les données relatives aux patients pourront être renseignées par le médecin prescripteur et le pharmacien dispensateur dans des formulaires de recueil d'informations au format électronique ou au format papier.
Si le format électronique est utilisé par l'intermédiaire d'une plate-forme électronique de recueil des informations, le médecin prescripteur et le pharmacien dispensateur devront créer un compte personnel afin de compléter les formulaires. Leur adresse électronique pourra être collectée afin de permettre l'envoi d'un courriel contenant un lien permettant d'activer le compte et de vérifier que l'adresse électronique saisie est valide. Le contrôle d'accès au compte des professionnels de santé doit être opéré conformément aux dispositions de l'article L. 1110-4 du code de la santé publique, qui impose une authentification forte des professionnels de santé par l'utilisation d'une carte de professionnel de santé (CPS) ou un dispositif équivalent agréé par l'organisme chargé d'émettre la CPS pour toute transmission ou tout accès aux données de santé.
Si le format papier est utilisé et que les transmissions sont effectuées par fax, la commission rappelle que les mesures de sécurité suivantes doivent être mises en place :
- le fax doit être situé dans un local physiquement contrôlé et accessible uniquement au personnel habilité ;
- l'impression des messages doit être subordonnée à l'introduction d'un code d'accès personnel ;
- lors de l'émission des messages, le fax doit afficher l'identité du fax destinataire afin d'être assuré de l'identité du destinataire ;
- le carnet d'adresses des fax doit préenregistrer, dans la mesure du possible, les destinataires potentiels.
S'agissant des transmissions par courriel, celles-ci devront être sécurisées, par exemple, en chiffrant les données à caractère personnel par un algorithme de chiffrement asymétrique avec une clé privée détenue uniquement par le destinataire des données.
En cas de recours à un prestataire de services pour la mise en œuvre du traitement, le contrat doit prévoir la limitation de l'utilisation des données à la finalité prévue par la présente autorisation. Le contrat doit également prévoir une clause de confidentialité et encadrer les modalités de destruction ou de restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de la prestation.