Sécurité des données et traçabilité des actions.
Conformément à l'article 34 de la loi « informatique et libertés », le responsable du traitement prend toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et à la taille de l'organisme concerné. Cette politique doit décrire :
- les objectifs de sécurité ainsi que les mesures de sécurité physique, logique et organisationnelle permettant de les atteindre ;
- les habilitations d'accès aux données, en fonction du besoin des utilisateurs du système d'information, en particulier les mesures de restriction de l'accès à l'identité des professionnels de santé intervenant dans le programme, les modalités d'accès aux traitements, dont les mesures d'identification et d'authentification ;
- les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l'historique des connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.
Si le format électronique est utilisé par l'intermédiaire d'une plateforme électronique de recueil, d'échange et de mise à disposition des résultats :
- les personnes doivent créer un compte personnel afin de consulter les résultats. Leur adresse électronique pourra être collectée afin de permettre l'envoi d'un courriel contenant un lien permettant d'activer le compte et de vérifier que l'adresse électronique saisie est valide ;
- le contrôle d'accès au compte des professionnels de santé doit être opéré conformément aux dispositions de l'article L. 1110-4 du code de la santé publique qui impose une authentification forte de ces professionnels par l'utilisation d'une carte de professionnel de santé (CPS) ou d'un dispositif équivalent agréé par l'organisme chargé d'émettre la CPS, pour toute transmission ou tout accès aux données de santé ;
- la transmission des informations relatives à la santé doit s'opérer dans des conditions conformes à la délibération n° 2014-239 du 12 juin 2014 portant autorisation unique de mise en œuvre, par les professionnels et établissements de santé ainsi que par les professionnels du secteur médico-social habilités par une loi, de traitements de données à caractère personnel ayant pour finalité l'échange par voie électronique de données de santé à travers un système de messagerie sécurisée.
Dans l'hypothèse d'une transmission par télécopie, les mesures de sécurité suivantes doivent être mises en place :
- le fax doit être situé dans un local physiquement contrôlé et accessible uniquement au personnel habilité ;
- l'impression des messages doit être subordonnée à l'introduction d'un code d'accès personnel ;
- lors de l'émission des messages, le fax doit afficher l'identité du fax destinataire afin d'être assuré de l'identité du destinataire ;
- le carnet d'adresses des fax doit préenregistrer, dans la mesure du possible, les destinataires potentiels.
En cas de recours à un prestataire de service externe pour la mise en œuvre du traitement, le contrat doit prévoir :
- la limitation de l'utilisation des données à la finalité prévue par la présente autorisation ;
- une clause de confidentialité ;
- l'encadrement des modalités de destruction ou de restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de la prestation ;
- la conformité à l'article L. 1111-8 du code de la santé publique de l'hébergement des données, des modalités d'accès à celles-ci et de leurs modalités de transmission.