img

Newsletter n° 14

Rappel sur vos obligations vis-à-vis de la CNIL

Par Alexandre CARON - RSSI • le mardi 17 octobre 2017

Les données de santé sont des données dites sensibles au sens de l'article 8 de la loi n°78-17 informatique et libertés du 6 janvier 78. Afin de garantir la sécurité des données collectées, leur utilisation est soumise au respect du secret professionnel et du secret professionnel partagé.

Il appartient donc aux professionnels de santé ou aux personnes intervenant dans les systèmes de santé de prendre toutes les mesures nécessaires pour satisfaire à ces exigences.

 

En 1996, lorsque la messagerie APICRYPT a été créée, les contraintes de non-fiabilité des canaux de communication internet ainsi que la nature particulière des données de santé imposaient un chiffrement durable dans le temps.

Aujourd'hui, ces contraintes sont toujours d'actualité. En effet, s'il est possible d'apporter une sécurité aux protocoles de communication sur Internet, il est aussi possible d'effectuer des attaques sur ces mêmes protocoles.

La messagerie e-mail est plus que jamais l'outil de communication privilégié sur Internet. La nature des données de santé, cumulée au volume échangé, fait de ces données une cible de choix en cas d'attaques informatiques.

 

La messagerie APICRYPT offre une sécurité fiable des données contenues dans un message électronique sans qu'il soit nécessaire de se soucier des canaux de communication qui permettent leur transport.

 

En revanche, ce n'est pas le cas pour les éléments d'en-tête des messages. Pour faire un parallèle avec le courrier papier, il est aisé de comprendre que si le courrier à l'intérieur de l'enveloppe est protégé des regards malveillants, le bloc d'adresse du destinataire sur l'enveloppe ne peut être chiffré et se doit d'être lisible par un transporteur.

Pour rappel, les éléments d'en-tête des messages électroniques contiennent notamment l'adresse de l'émetteur, l'adresse du destinataire, la date d'émission et le sujet du message.

 

L'objet des messages ne fait donc pas partie des éléments sécurisés par la solution APICRYPT pour des raisons techniques de transport sur le réseau Internet.

Par conséquent, il convient pour l'apicrypteur de ne pas mettre d'éléments soumis au secret médical ailleurs que dans le corps du message e-mail comme, par exemple, le nom du patient.

Déclaration simplifiée AU-037

Par ailleurs et conformément à la Délibération n°2014-239 du 12 juin 2014, l'utilisateur d'une messagerie sécurisée en santé s'engage à procéder à une déclaration auprès de la CNIL couverte par l'autorisation unique de la CNIL N°2014-239 du 12 juin 2014 ou "AU-037" pour le traitement des données de santé qui transitent par celle-ci.


Pour signifier cet engagement de conformité, nous vous invitons à vous rendre sur le site de la CNIL, à l'adresse suivante :

https://www.cnil.fr/fr/declarer-un-fichier et à sélectionner l'option « Engagement de conformité à un texte de référence de la CNIL ».  

Il vous suffit alors de suivre les différentes étapes de la déclaration simplifiée. 

 

Affichage en salle d'attente

Le professionnel de santé qui utilise APICRYPT s'engage, lors de son inscription, à informer les bénéficiaires de ses soins qu'il utilise une messagerie sécurisée nécessitant un traitement des données informatiques. Le patient peut s'y opposer conformément à la loi « Informatique et Liberté ». La CNIL rappelle que les professionnels de santé doivent informer leurs patients de la transmission des données les concernant afin de leur permettre d'exercer leur droit d'opposition. Pour ce faire, l'APICEM SARL met à votre disposition une affiche qu'il vous suffit d'apposer simplement dans vos salles d'attente.

Pour télécharger l'affiche au format A4, cliquez ci-après : 

Affiche