{"id":52618,"date":"2019-08-06T14:45:29","date_gmt":"2019-08-06T12:45:29","guid":{"rendered":"https:\/\/www.euris.com\/?page_id=52618"},"modified":"2022-02-09T15:46:08","modified_gmt":"2022-02-09T14:46:08","slug":"faq","status":"publish","type":"page","link":"https:\/\/www.euris.com\/fr\/hebergement-donnees-sante\/faq\/","title":{"rendered":"FAQ H\u00e9bergement de Donn\u00e9es de Sant\u00e9 HDS"},"content":{"rendered":"

[vc_row full_width=\u00a0\u00bbstretch_row\u00a0\u00bb equal_height=\u00a0\u00bbyes\u00a0\u00bb content_placement=\u00a0\u00bbmiddle\u00a0\u00bb el_id=\u00a0\u00bbrow-1″ css=\u00a0\u00bb.vc_custom_1630493050905{padding-top: 150px !important;padding-bottom: 100px !important;}\u00a0\u00bb][vc_column][vc_column_text]<\/p>\n

FAQ – Toutes vos questions sur l’h\u00e9bergement de donn\u00e9es de sant\u00e9<\/span><\/h1>\n

[\/vc_column_text][\/vc_column][\/vc_row][vc_row el_id=\u00a0\u00bbrow-2″ css=\u00a0\u00bb.vc_custom_1630492983679{margin-bottom: 50px !important;padding-top: 40px !important;}\u00a0\u00bb][vc_column][vc_column_text]<\/p>\n

Qu’est ce qu’une donn\u00e9e \u00e0 caract\u00e8re personnel ?<\/h2>\n

Le R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es personnelles (RGPD) indique qu’une donn\u00e9e \u00e0 caract\u00e8re personnel repr\u00e9sente toute information relative \u00e0 une personne physique, susceptible d’\u00eatre identifi\u00e9e, directement ou indirectement. Source<\/a>
\n<\/em>[\/vc_column_text][vc_column_text]<\/p>\n

Qu’est ce que la Donn\u00e9es de Sant\u00e9 \u00e0 Caract\u00e8re Personnel (DSCP)?<\/h2>\n

Le R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es personnelles (RGPD) donne une d\u00e9finition depuis avril 2016. Ce sont les donn\u00e9es pass\u00e9es, pr\u00e9sentes et futures relatives \u00e0 la sant\u00e9 physique ou mentale d’une personne physique, y compris la prestation de services de soins de sant\u00e9, qui r\u00e9v\u00e8lent des informations sur l’\u00e9tat de sant\u00e9 de cette personne. Des pr\u00e9cisions sont apport\u00e9es sur le site de la CNIL. Source<\/em><\/a>[\/vc_column_text][vc_column_text]<\/p>\n

Qui est concern\u00e9 et doit recourir \u00e0 un H\u00e9bergement certifi\u00e9 de Donn\u00e9es de Sant\u00e9 (HDS) ?<\/h2>\n

L\u2019article L.1111-8 du code de la sant\u00e9 publique indique que : \u00ab Toute personne physique ou morale qui h\u00e9berge des donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel recueillies \u00e0 l\u2019occasion d\u2019activit\u00e9s de pr\u00e9vention, de diagnostic, de soins ou de suivi social et m\u00e9dico-social pour le compte de personnes physiques ou morales \u00e0 l’origine de la production ou du recueil de ces donn\u00e9es ou pour le compte du patient lui-m\u00eame, doit \u00eatre agr\u00e9\u00e9e ou certifi\u00e9e \u00e0 cet effet \u00bb.
\nLe Minist\u00e8re des Solidarit\u00e9s et de la Sant\u00e9 pr\u00e9cise que les personnes physiques ou morales concern\u00e9es par l’h\u00e9bergement de donn\u00e9es de sant\u00e9 sont d\u2019une part, les patients qui confient l\u2019h\u00e9bergement de leurs donn\u00e9es de sant\u00e9 \u00e0 un tiers, et d\u2019autre part les responsables de traitements de donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel (DSCP) ayant pour finalit\u00e9 la pr\u00e9vention, la prise en charge sanitaire (soins et diagnostic) ou la prise en charge sociale et m\u00e9dico-sociale de personnes. Source<\/em><\/a>[\/vc_column_text][vc_column_text]<\/p>\n

Qu’est ce qu’un traitement de Donn\u00e9es \u00e0 Caract\u00e8re Personnel (DCP) ?<\/h2>\n

L\u2019article 2 de loi Informatique et Libert\u00e9s d\u00e9finit les traitements de donn\u00e9es personnelles comme \u00ab toute op\u00e9ration ou tout ensemble d\u2019op\u00e9rations portant sur des donn\u00e9es personnelles quel que soit le proc\u00e9d\u00e9 utilis\u00e9, et notamment la collecte, l\u2019enregistrement, l\u2019organisation, la conservation, l\u2019adaptation ou la modification, l\u2019extraction, la consultation, l\u2019utilisation, la communication par transmission, diffusion ou toute autre forme de mise \u00e0 disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction \u00bb.[\/vc_column_text][vc_column_text]<\/p>\n

Qui est le \u00ab\u00a0responsable de traitement\u00a0\u00bb ?<\/h2>\n

L\u2019article 4 du RGPD d\u00e9finit le responsable de traitement comme \u00e9tant \u00ab la personne physique ou morale, l’autorit\u00e9 publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, d\u00e9termine les finalit\u00e9s et les moyens du traitement.<\/p>\n

Ainsi, pour d\u00e9terminer qui de la soci\u00e9t\u00e9 \u00e9ditrice du logiciel ou de l\u2019utilisateur du logiciel (professionnel ou \u00e9tablissement de sant\u00e9) a la qualit\u00e9 de responsable de traitement, il convient d\u2019identifier qui d\u00e9termine les finalit\u00e9s et les moyens du traitement op\u00e9r\u00e9s par le biais du logiciel.[\/vc_column_text][vc_column_text]<\/p>\n

L’\u00e9diteur de logiciel est-il \u00ab\u00a0responsable de traitement\u00a0\u00bb ?<\/h2>\n

La CNIL a eu l\u2019occasion de consid\u00e9rer \u00e0 de tr\u00e8s nombreuses reprises qu\u2019en principe l\u2019\u00e9diteur d\u2019un logiciel n\u2019est pas le responsable du traitement mis en \u0153uvre \u00e0 partir de ce logiciel : l\u2019exemple le plus fr\u00e9quemment repris est celui du m\u00e9decin ou de l\u2019\u00e9tablissement de sant\u00e9 qui utilise un logiciel pour g\u00e9rer le cabinet m\u00e9dical ou pour administrer les dossiers m\u00e9dicaux \u00e9dit\u00e9 par un prestataire tiers \u00e9diteur, dans les deux cas, c\u2019est bien le m\u00e9decin ou l\u2019\u00e9tablissement de sant\u00e9 qui est \u00ab responsable du traitement \u00bb mis en \u0153uvre \u00e0 partir du logiciel utilis\u00e9.
\nEn l\u2019esp\u00e8ce, il y a lieu de comprendre que les responsables de traitement seront les clients de l\u2019\u00e9diteur, lui-m\u00eame client de l’h\u00e9bergeur de donn\u00e9es de sant\u00e9, et qu\u2019en cons\u00e9quence ses responsables de traitements sous contrat avec l\u2019\u00e9diteur pourraient \u00eatre situ\u00e9s soit sur le territoire fran\u00e7ais, soit sur d\u2019autres territoires [\u2026].[\/vc_column_text][vc_column_text]<\/p>\n

Quel est le r\u00f4le de l’h\u00e9bergeur de donn\u00e9es de sant\u00e9 ?<\/h2>\n

L\u2019article L.1111-8 du code de la sant\u00e9 publique relatif \u00e0 l\u2019h\u00e9bergement de donn\u00e9es de sant\u00e9 a pour objectif d\u2019organiser et d\u2019encadrer la conservation et la restitution des donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel (DSCP), dans des conditions propres \u00e0 garantir leur confidentialit\u00e9 et leur s\u00e9curit\u00e9.
\nPar cet encadrement, le l\u00e9gislateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et m\u00e9dico-social confient les donn\u00e9es de sant\u00e9 qu\u2019ils produisent ou recueillent, notamment en mesurant l\u2019impact de l\u2019activit\u00e9 du prestataire sur la protection des donn\u00e9es m\u00e9dicales, au travers des crit\u00e8res de s\u00e9curit\u00e9 \u00e0 l\u2019\u00e9tat de l\u2019art \u00ab disponibilit\u00e9, int\u00e9grit\u00e9, confidentialit\u00e9 et auditabilit\u00e9 ( DICA ) \u00bb notamment vis\u00e9s par l\u2019ANSSI et les normes ISO.
\nCette confiance dans les tiers agissant pour le compte de ces acteurs sanitaires et sociaux et m\u00e9dico-sociaux est donn\u00e9e au travers de l\u2019obligation d\u2019\u00eatre agr\u00e9\u00e9 et\/ou certifi\u00e9 \u00abHDS\u00bb.<\/p>\n

Source : Document \u00ab\u00a0Explication du champ d\u2019application du cadre juridique de l\u2019h\u00e9bergement de donn\u00e9es de sant\u00e9 par le minist\u00e8re charg\u00e9 de la Sant\u00e9, repr\u00e9sent\u00e9 par la D\u00e9l\u00e9gation \u00e0 la strat\u00e9gie des syst\u00e8mes d\u2019information de sant\u00e9\u00a0\u00bb \u00e9dit\u00e9 par le Minist\u00e8re des solidarit\u00e9s et de la sant\u00e9\u00a0<\/em>[\/vc_column_text][vc_column_text]<\/p>\n

Quelles sont les activit\u00e9s de la certification HDS ?<\/h2>\n

La certification HDS devient la norme en vigueur, obligatoire pour toute entit\u00e9 assurant l\u2019h\u00e9bergement de donn\u00e9es de sant\u00e9, avec l\u2019objectif de faciliter le respect des exigences l\u00e9gales impos\u00e9es aux acteurs IT sant\u00e9 lors de la mise en place de syst\u00e8mes d\u2019information traitant des donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel.<\/p>\n

Les activit\u00e9s de la certification HDS sont les suivantes :
\n1. Mise \u00e0 disposition et maintien en condition op\u00e9rationnelle des sites physiques permettant d’h\u00e9berger l’infrastructure mat\u00e9rielle du syst\u00e8me d’information utilis\u00e9 pour le traitement des donn\u00e9es de sant\u00e9.
\n2. Mise \u00e0 disposition et maintien en condition op\u00e9rationnelle de l’infrastructure mat\u00e9rielle du syst\u00e8me d’information utilis\u00e9 pour le traitement de donn\u00e9es de sant\u00e9.
\n3. Mise \u00e0 disposition et maintien en condition op\u00e9rationnelle de la plateforme d’h\u00e9bergement d’application du syst\u00e8me d’information
\n4. Mise \u00e0 disposition et maintien en condition op\u00e9rationnelle de l’infrastructure virtuelle du syst\u00e8me d’information utilis\u00e9 pour le traitement des donn\u00e9es de sant\u00e9.
\n5. Administration et exploitation du syst\u00e8me d’information contenant les donn\u00e9es de sant\u00e9.
\n6. Sauvegarde externalis\u00e9es des donn\u00e9es de sant\u00e9.[\/vc_column_text][vc_column_text]<\/p>\n

Qui construit un cadre contractuel HDS global d\u00e9di\u00e9 aux projets et aux contraintes clients ?<\/h2>\n

Cloud Sant\u00e9\u00ae met en place un cadre contractuel HDS global suivant les contraintes des clients tout en les assistant dans le respect de la r\u00e8glementation. Un accompagnement par les \u00e9quipes Cloud Sant\u00e9\u00ae tout au long du processus de d\u00e9ploiement, permet de cr\u00e9er un projet personnalis\u00e9 et en ad\u00e9quation avec les caract\u00e9ristiques clients.[\/vc_column_text][vc_column_text]<\/p>\n

Qui acc\u00e8de aux donn\u00e9es de sant\u00e9 ?<\/h2>\n

Les donn\u00e9es de sant\u00e9 peuvent \u00eatre consult\u00e9es par le patient et le professionnel de sant\u00e9. La collecte de donn\u00e9es de sant\u00e9 et l\u2019exploitation de bases les traitants sont soumises \u00e0 une r\u00e9glementation HDS tr\u00e8s stricte, d\u00e9finie par le code de la sant\u00e9 publique modifi\u00e9 par D\u00e9cret n\u00b02018-137 du 26 f\u00e9vrier 2018 relatif \u00e0 l\u2019h\u00e9bergement de donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel , et destin\u00e9e \u00e0 garantir la confidentialit\u00e9, la s\u00e9curit\u00e9 de ces donn\u00e9es et \u00e0 assurer la protection de la vie priv\u00e9e du patient.[\/vc_column_text][vc_column_text]<\/p>\n

Les Donn\u00e9es de Sant\u00e9 \u00e0 Caract\u00e8re Personnel (DSCP) sont-elles inclues dans le RGPD ?<\/h2>\n

Les r\u00e9glementations HDS (H\u00e9bergement de Donn\u00e9es de Sant\u00e9) et RGPD (R\u00e8glement G\u00e9n\u00e9ral sur la Protection des donn\u00e9es) sont compl\u00e9mentaires. Le RGPD d\u00e9finit les obligations g\u00e9n\u00e9rales comme la nomination d’un DPO, la r\u00e9alisation d’analyse d’impact sur la vie priv\u00e9e ou encore la d\u00e9claration des incidents de s\u00e9curit\u00e9. La r\u00e9glementation HDS pr\u00e9cise et renforce les mesures de s\u00e9curit\u00e9 \u00e0 mettre en \u0153uvre et les rends applicables. Les donn\u00e9es de sant\u00e9 sont des donn\u00e9es \u00e0 caract\u00e8re personnel \u00ab\u00a0particuli\u00e8res\u00a0\u00bb car consid\u00e9r\u00e9es comme sensibles. Elles font \u00e0 ce titre l\u2019objet d\u2019une protection particuli\u00e8re par les textes (code de la sant\u00e9 publique, agr\u00e9ment et certification pour l’h\u00e9bergement de donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel, etc.) afin de garantir le respect de la vie priv\u00e9e des personnes.<\/p>\n

Source : Document \u00a0\u00bb R\u00e8glement Europ\u00e9en sur la protection des donn\u00e9es personnelles – GUIDE DU SOUS-TRAITANT – Edition septembre 2017 \u00ab\u00a0<\/em>[\/vc_column_text][vc_column_text]<\/p>\n

Comment Cloud Sant\u00e9\u00ae peut m’accompagner dans le d\u00e9ploiement de mon projet e-sant\u00e9 ?<\/h2>\n

Euris Health Cloud (Cloud Sant\u00e9\u00ae) est op\u00e9rateur de sant\u00e9 connect\u00e9e, sp\u00e9cialiste de l’h\u00e9bergement de donn\u00e9es de sant\u00e9. Euris propose une infrastructure hautement s\u00e9curis\u00e9e, performante, assurant une conformit\u00e9 globale : UE (RGPD, HDS & ISO 27001), US (conformit\u00e9 HIPAA), Chine (Cybersecurity Law, CSL). Pour en savoir plus sur nos certifications, c’est par ici<\/a>.<\/p>\n

Gr\u00e2ce \u00e0 un mod\u00e8le unique de service de marketplace, Cloud Sant\u00e9\u00ae propose \u00e9galement une gamme compl\u00e8te de services et de solutions interop\u00e9rables, facilitant le d\u00e9ploiement des projets e-sant\u00e9 : authentification forte, drive, archivage, sauvegarde, anonymisation, Big Data, Business Intelligence, IoT, t\u00e9l\u00e9m\u00e9decine,\u00a0 etc.<\/p>\n

Cloud Sant\u00e9\u00ae met en place un cadre contractuel HDS global suivant les contraintes des clients tout en les assistant dans le respect de la r\u00e8glementation. Un accompagnement par les \u00e9quipes Cloud Sant\u00e9\u00ae tout au long du processus de d\u00e9ploiement, permet de cr\u00e9er un projet personnalis\u00e9 et en ad\u00e9quation avec les caract\u00e9ristiques clients.[\/vc_column_text][vc_column_text]<\/p>\n

Quelles sont les sanctions en cas de non respects de la r\u00e9glementation en mati\u00e8re de protection des donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel?<\/h2>\n

En cas de non-respect du R\u00e8glement G\u00e9n\u00e9rale de la Protection des Donn\u00e9es (RGPD) :
\nLes sanctions sont r\u00e9parties en deux groupes en fonction de la dur\u00e9e, la nature et la gravit\u00e9 de la violation.<\/p>\n

Lorsqu’il s’agit d’un des manquements aux obligations suivantes :
\n– les obligations incombant au responsable du traitement et au sous-traitant
\n– les obligations incombant \u00e0 l\u2019organisme de certification
\n– les obligations incombant \u00e0 l\u2019organisme charg\u00e9 du suivi des codes de conduite.
\nUne amende d\u2019un montant de 2% du chiffre d\u2019affaires mondial pour les entreprises ou 10 millions d\u2019euros d\u2019amende peut \u00eatre appliqu\u00e9e.<\/p>\n

Lorsqu’il s’agit d’un des manquements aux obligations suivantes :
\n– L\u2019obligation de consentement de la personne concern\u00e9e avant collecte, traitement ou stockage des donn\u00e9es m\u00e9dicales
\n– Les autres droits des personnes concern\u00e9es
\n– Les transferts de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 un destinataire situ\u00e9 dans un pays tiers ou \u00e0 une organisation internationale
\n– Toutes les obligations d\u00e9coulant du droit des Etats membres
\n– Le non-respect d\u2019une injonction, d\u2019une limitation temporaire ou d\u00e9finitive du traitement ou de la suspension des flux de donn\u00e9es ordonn\u00e9e par l\u2019autorit\u00e9 de contr\u00f4le.
\nUne amende qui correspond \u00e0 4 % du chiffre d\u2019affaires mondial s\u2019agissant des entreprises ou 20 millions d\u2019euros d\u2019amende peut \u00eatre appliqu\u00e9e.<\/p>\n

En cas de non respect de la r\u00e9glementation li\u00e9s \u00e0 la protection des Donn\u00e9es de Sant\u00e9 \u00e0 Caract\u00e8re Personnel (DSCP) :
\nLes sanctions p\u00e9nales pr\u00e9vues ( articles 1115-1 et 1115-2 du Code de la sant\u00e9 publique) en cas d’h\u00e9bergement de donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel (DSCP) sans agr\u00e9ment ou certification HDS :
\n– Trois ans d’emprisonnement et 45 000 euros d’amende;
\n– Interdiction pour une dur\u00e9e de 5 ans ou plus d’exercer directement ou indirectement une ou plusieurs activit\u00e9s professionnelles ou sociales ;
\n– Placement, pour une dur\u00e9e de 5 ans ou plus, sous surveillance juridique ;
\n– La fermeture d\u00e9finitive ou pour une dur\u00e9e de cinq ans au plus des \u00e9tablissements ou de l’un ou de plusieurs des \u00e9tablissements de l’entreprise ayant servi \u00e0 commettre les faits incrimin\u00e9s ;
\n– L’exclusion des march\u00e9s publics \u00e0 titre d\u00e9finitif ou pour une dur\u00e9e de cinq ans au plus ;
\n– L’affichage de la d\u00e9cision prononc\u00e9e ou la diffusion de celle-ci soit par la presse \u00e9crite, soit par tout moyen de communication au public par voie \u00e9lectronique.<\/p>\n

Source<\/a><\/em>[\/vc_column_text][vc_separator][vc_column_text]<\/p>\n

Quelles sont les mesures recommand\u00e9es concernant l’authentification forte <\/strong>lors de l’acc\u00e8s \u00e0 des donn\u00e9es de sant\u00e9 y compris par des patients m\u00eame si ceux-ci n\u2019acc\u00e8dent qu\u2019\u00e0 leur propres donn\u00e9es de sant\u00e9\u00a0?<\/strong><\/h2>\n

Nous nous int\u00e9ressons ici aux donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel (DSCP), cas particulier des donn\u00e9es personnelles, \u00a0que les l\u00e9gislateurs consid\u00e8rent des donn\u00e9es sensibles et exigent des mesures de s\u00e9curit\u00e9 \u00e9lev\u00e9es pour garantir leur s\u00e9curit\u00e9, leur confidentialit\u00e9 \u00a0et int\u00e9grit\u00e9.<\/p>\n

En France les organismes en charge de donner un contenu concret \u00e0 ces exigences \u00e9lev\u00e9es de s\u00e9curit\u00e9 sur les acc\u00e8s et la s\u00e9curit\u00e9 des DCP sont la CNIL (www.cnil.fr<\/a>) et l\u2019ASIP devenue \u00a0l\u2019ANS (Agence du Num\u00e9rique en Sant\u00e9, (https:\/\/esante.gouv.fr<\/a>).<\/p>\n

La politique constante de ces organismes depuis bient\u00f4t une dizaine d\u2019ann\u00e9es concernant l\u2019authentification des acteurs acc\u00e9dant \u00e0 des DSCP a toujours \u00e9t\u00e9 d\u2019exiger un niveau \u00e9lev\u00e9 de s\u00e9curit\u00e9 pour l\u2019authentification, y compris pour les patients n\u2019acc\u00e9dant qu\u2019\u00e0 leur propres donn\u00e9es personnelles et de sant\u00e9. En effet, il a toujours \u00e9t\u00e9 recommand\u00e9 et exig\u00e9 \u00a0que l\u2019authentification des patients acc\u00e9dant \u00e0 des DSCP soit une authentification forte et qu\u2019elle ne se limite pas \u00e0 un login\/password.<\/p>\n

Les proc\u00e9dures d\u2019agr\u00e9ment des plateformes HDS instruites par l\u2019ASIP, soumisses \u00e0 la CNIL et d\u00e9cid\u00e9s au CAH (Comit\u00e9 d\u2019agr\u00e9ment de l\u2019ASIP) \u00a0pour d\u00e9cision du Ministre, ont toujours exig\u00e9 une authentification forte en cas d\u2019acc\u00e8s des patients. Cela a \u00e9videmment aussi \u00e9t\u00e9 le cas de Cloud Sant\u00e9. Dans la liste des H\u00e9bergeurs Agr\u00e9es tous ne sont pas agr\u00e9es pour l\u2019acc\u00e8s par des patients parce que cette exigence technique ne figure dans leur dossier d\u2019agr\u00e9ment.<\/p>\n

Les documents cit\u00e9s ci-dessous sont les documents \u00e0 consid\u00e9rer sur le sujet de l\u2019authentification, et dans le cas qui nous int\u00e9resse l\u2019authentification des patients.<\/p>\n

Les patients doivent obtenir un acc\u00e8s \u00e0 des applications tournant sur la plateforme HDS dans lesquelles ils auront acc\u00e8s \u00e0 des donn\u00e9es de sant\u00e9 ou ils pourront d\u00e9poser des donn\u00e9es de sant\u00e9 (toujours exclusivement leurs donn\u00e9es personnelles et de sant\u00e9), donn\u00e9es qu\u2019ils pourront \u00e9ventuellement partager avec du personnel de sant\u00e9 (m\u00e9decin, infirmi\u00e8re, coach, \u2026). Les patients rel\u00e8vent alors du contexte 6 palier 2 des documents r\u00e9f\u00e9renc\u00e9s et l\u2019exigence d\u2019une authentification forte en d\u00e9coule.<\/p>\n

Le r\u00e9f\u00e9rentiel HDS exige le respect de la PGSSI-S dont les r\u00e9f\u00e9rentiels cit\u00e9s font partie. La PGSSI-S est rendue opposable par l\u2019article L1110-4-1 cr\u00e9\u00e9 par la loi n\u00b0 2016-41 du 26 janvier 2016 – art. 96 (V).<\/p>\n

Documents de r\u00e9f\u00e9rence\u00a0:<\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0PGSSI-S Principes_Fondateurs<\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0PGSSI-S grille d\u2019applicabilite des r\u00e9f\u00e9rentiels v1_0<\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0PGSSI-S R\u00e9f\u00e9rentiel d\u2019authentification des acteurs de sant\u00e9 _v.2.0<\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0PGSSI-S R\u00e9f\u00e9rentiel d\u2019imputabilit\u00e9 _v1.0_0<\/p>\n

A consid\u00e9rer aussi cet extrait de l\u2019avis de la CNIL sur l\u2019application AntiCovid :<\/p>\n

\u00ab\u00a0Concernant les modalit\u00e9s d\u2019authentification des personnes, la Commission rel\u00e8ve que le dispositif pr\u00e9vu par\u00a0 \u00a0le projet de d\u00e9cret autorise l\u2019authentification par identifiant et mot de passe seuls,\u00a0ce qui n\u2019est pas conforme aux pr\u00e9conisations de la PGSSI-S et aux recommandations de la Commission concernant l\u2019acc\u00e8s \u00e0 des donn\u00e9es de sant\u00e9.\u00a0La Commission estime pr\u00e9f\u00e9rable que l\u2019ensemble des personnes habilit\u00e9es \u00e0 acc\u00e9der aux donn\u00e9es trait\u00e9es utilise un m\u00e9canisme d\u2019authentification forte comportant plusieurs facteurs d\u2019authentification\u00a0\u00bb.[\/vc_column_text][\/vc_column][\/vc_row][vc_row full_width=\u00a0\u00bbstretch_row\u00a0\u00bb equal_height=\u00a0\u00bbyes\u00a0\u00bb content_placement=\u00a0\u00bbmiddle\u00a0\u00bb el_id=\u00a0\u00bbrow-3″ css=\u00a0\u00bb.vc_custom_1630493079349{padding-top: 40px !important;padding-bottom: 40px !important;}\u00a0\u00bb][vc_column width=\u00a0\u00bb2\/3″][vc_column_text]<\/p>\n

Notre \u00e9quipe vous accompagne dans tous vos projets IT sant\u00e9<\/span><\/h4>\n

[\/vc_column_text][\/vc_column][vc_column width=\u00a0\u00bb1\/3″]