Traitements de données à caractère personnel à des fins de gestion des vigilances sanitaires
La délibération n° 2019-057 du 9 mai 2019 portant adoption d’un référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires a été publiée au JORF le 18 juillet 2019.
Ce référentiel tient compte du contexte règlementaire français en européen (dont RGPD) en matière protection des données à caractère personnel, il entre en vigueur le 19 juillet 2019.
Portée du référentiel
Ce référentiel encadre les traitements de données à caractère personnel constitués pour gérer les vigilances sanitaires et mis en œuvre, notamment par les fabricants, exploitants et organismes responsables de la mise sur le marché des dispositifs médicaux. Ils sont désignés comme “responsable de traitement” dans le référentiel.
Il ne s’applique pas aux professionnels de santé.
Généralités
Les responsables de traitement doivent adresser à la CNIL une déclaration de conformité, pour les traitements de données à caractère personnel répondant aux exigences fixées par le référentiel, via un formulaire de déclaration de conformité à remplir sur le site internet de la CNIL.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par le référentiel doit faire l’objet d’une demande d’autorisation spécifique.
Les traitements mis en œuvre dans le cadre du référentiel doivent également être inscrits dans le registre des activités de traitement prévu à l’article 30 du RGPD (voir les modèles de registres sur le site cnil.fr).
Résumé des exigences
- Seules des données pertinentes au regard de la gestion des vigilances peuvent être collectées et traitées (ex : données pour identifier le patient, données sur le contexte médical et clinique, données sur le déclarant de l’incident …)
- Le cas – sensible – des données ethniques est développé :
Des données relatives à l’origine ethnique peuvent être collectées lorsqu’un document de présentation des caractéristiques du médicament, du dispositif ou du produit validé par une autorité compétente (dont le RCSPC) fait état, en s’appuyant sur des travaux scientifiques, de la circonstance que l’origine ethnique des personnes peut avoir une incidence sur son efficacité ou sa sécurité.
- L’accès aux données doit être limité aux employés habilités du responsable de traitement. Ex : responsable vigilance, auditeur, responsable réclamations … Les sous-traitants et autres ressources externes (notamment ceux intervenant pour les aspects cliniques), peuvent également accéder aux données, si justifié
- La durée de conservation des données doit respecter les exigences règlementaires applicables, tout restant inférieure à une période de 70 ans à compter de la date du retrait du marché du dispositif.
- Les obligations classiques en matière de transparence et de droits des personnes sont applicables
- La gestion de la sécurité est mis en avant, avec un point intéressant sur les activités possibles pour maitriser les risques :
| Type de mesure | Exemple de mesure |
|---|---|
| Former les utilisateurs | Informer et sensibiliser les personnes manipulant les données |
| Rédiger une charte informatique et lui donner une force contraignante | |
| Authentifier les utilisateurs | Définir un identifiant (login) unique à chaque utilisateur |
| Utiliser un moyen d’authentification forte, appuyé sur un annuaire vérifié | |
| Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL | |
| Obliger l’utilisateur à changer son mot de passe après réinitialisation | |
| Limiter le nombre de tentatives d’accès à un compte | |
| Gérer les habilitations | Définir des profils d’habilitation |
| Supprimer les permissions d’accès obsolètes | |
| Réaliser une revue annuelle des habilitations | |
| Tracer les accès et gérer les incidents | Prévoir un système de journalisation |
| Informer les utilisateurs de la mise en place du système de journalisation | |
| Protéger les équipements de journalisation et les informations journalisées | |
| Prévoir les procédures pour les notifications de violation de données à caractère personnel | |
| Sécuriser les postes de travail | Prévoir une procédure de verrouillage automatique de session |
| Utiliser des antivirus régulièrement mis à jour | |
| Installer un « pare-feu » (firewall) logiciel | |
| Recueillir l’accord de l’utilisateur avant toute intervention à distance sur son poste | |
| Sécuriser l’informatique mobile | Prévoir des moyens de chiffrement des équipements mobiles |
| Faire des sauvegardes ou des synchronisations régulières des données | |
| Exiger un secret pour le déverrouillage des ordiphones | |
| Protéger le réseau informatique interne | Limiter les flux réseau au strict nécessaire |
| Sécuriser les accès distants des appareils informatiques nomades par VPN | |
| Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi | |
| Sécuriser les serveurs | Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées |
| Installer sans délai les mises à jour critiques | |
| Assurer une disponibilité des données | |
| Sécuriser les sites web | Utiliser le protocole TLS et vérifier sa mise en œuvre |
| Vérifier qu’aucun mot de passe ou identifiant ne passe dans les URL | |
| Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu | |
| Mettre un bandeau de consentement pour les traceurs (cookies) non nécessaires au service | |
| Sauvegarder et prévoir la continuité d’activité | Effectuer des sauvegardes fréquentes des données, que celles-ci soient sous forme papier ou électronique. |
| Stocker les supports de sauvegarde dans un endroit sûr | |
| Prévoir des moyens de sécurité pour le convoyage des sauvegardes | |
| Prévoir et tester régulièrement la continuité d’activité | |
| Archiver de manière sécurisée | Mettre en œuvre des modalités d’accès spécifiques aux données archivées |
| Détruire les archives obsolètes de manière sécurisée | |
| Encadrer la maintenance et la destruction des données | Enregistrer les interventions de maintenance dans une main courante |
| Encadrer par un responsable de l’organisme les interventions par des tiers | |
| Effacer les données de tout matériel avant sa mise au rebut | |
| Gérer la sous-traitance | Prévoir une clause spécifique dans les contrats des sous-traitants |
| Prévoir les conditions de restitution et de destruction des données | |
| S’assurer de l’effectivité des garanties prévues (audits de sécurité, visites, etc.) | |
| Sécuriser les échanges avec d’autres organismes | Envoyer les données de façon chiffrée (soit en chiffrant directement les données ou en utilisant un tunnel chiffré) |
| S’assurer qu’il s’agit du bon destinataire | |
| Transmettre le secret lors d’un envoi distinct et via un canal différent | |
| Protéger les locaux | Restreindre les accès aux locaux au moyen de portes verrouillées que ce soit aux fichiers papiers ou aux matériels informatiques, notamment aux serveurs. |
| Installer des alarmes anti-intrusion et les vérifier périodiquement | |
| Encadrer les développements informatiques | Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux |
| Éviter les zones de commentaires ou les encadrer strictement | |
| Tester sur des données fictives ou anonymisées | |
| Utiliser des fonctions cryptographiques | Utiliser des algorithmes, des logiciels et des bibliothèques reconnues |
| Conserver les secrets et les clés cryptographiques de manière sécurisée |
- Les données peuvent faire l’objet d’un transfert hors UE si :
- les dispositions relatives aux destinataires des données sont respectées (article 6)
- le transfert de données est strictement nécessaire à la mise en œuvre du dispositif de vigilance
- Une analyse d’impact sur la protection des données doit être réalisée conformément au RGPD.
Source : legifrance