A venir - Version du 01 janvier 2999

Naviguer dans le sommaire

Article 9

A venir - Version du 01 janvier 2999


Sur la sécurité des données et la traçabilité des actions.
Des mesures de protection physique et logique adéquates doivent être prises pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et préserver l'intégrité des données.
Les transferts de données entre le dispositif de télétransmission et son fabricant ainsi que ceux entre le fabricant du DM à PPC et le PSAD sont sécurisés par l'utilisation de protocoles de communication sécurisés, dont notamment le protocole HTTPS.
Les données d'observance sont transmises par le PSAD aux organismes d'assurance maladie obligatoire de manière sécurisée grâce à la mise en place d'un système de chiffrement réputé fort. Le cas échéant, les clés de chiffrement utilisées doivent être accessibles à un nombre limité de personnes et renouvelées régulièrement.
Le PSAD met en œuvre des mécanismes permettant de s'assurer de l'intégrité des données d'observance du DM à PPC, par exemple en mettant en place un dispositif de signature automatique des données, préalable à leur transmission par le dispositif de télétransmission.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Un contrôle des habilitations est régulièrement effectué, au minimum une fois par an.
Les accès aux données sont opérés sur des réseaux sécurisés (VPN, SSL) et tracés. Ces traces font l'objet d'un audit régulier. Une durée de conservation de ces traces est définie.
En cas d'externalisation, les données sont hébergées conformément à l'article L. 1111-8 du code de la santé publique.
Le responsable de traitement prend les mesures nécessaires pour assurer la sécurité et la confidentialité des données qu'il détient et pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
En cas de recours à un prestataire de service, le responsable du traitement doit imposer à ce prestataire, par voie contractuelle, de n'utiliser les données qu'aux fins prévues, de s'assurer de leur confidentialité et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation.

Retourner en haut de la page