La protection des données personnelles est une obligation légale pour les professionnels de santé, les éditeurs et les hébergeurs. Pour garantir que votre système de sécurité respecte les règles prévues par le GDPR de 2018, demandez à votre éditeur ou hébergeur de vous fournir un certificat ISO 27001 (norme définissant les exigences en matière de gestion de la sécurité de l’information) ainsi que des certificats HDS (évaluant les hébergeurs agréés pour le stockage des données relatives à la santé). Si nécessaire, vous pouvez faire appel à un délégué à la protection des données (DPD) pour vérifier la conformité. Le non-respect du GDPR peut entraîner de lourdes amendes.
La CNIL a élaboré un guide décrivant les précautions de sécurité de base à prendre lors du traitement de données à caractère personnel et les moyens de renforcer encore la protection. Ce guide est régulièrement mis à jour pour tenir compte de l’évolution de la situation et les menaces.
La recommandation 2022 de la CNIL sur les mots de passe est reflétée dans la fiche 2 « Authentification des utilisateurs », offrant plus de flexibilité dans les politiques de mots de passe et éliminant le renouvellement obligatoire pour les comptes d’utilisateurs « standard ». La fiche 4 « Suivi des opérations et gestion des incidents » intègre les éléments suivants de la recommandation de 2021 de la CNIL sur la journalisation et explique comment assurer la traçabilité des accès et des actions dans les systèmes multi-utilisateurs tout en garantissant la sécurité, la surveillance et les risques associés. Les fiches 15 « Échanges avec d’autres organismes » et 17 « Chiffrement, hachage ou signature » ont également été mises à jour avec les pratiques actuelles.
Il est important de rappeler que si la CNIL découvre une non-conformité au GDPR, vous pouvez être confrontés à des conséquences juridiques. La dernière version de ce guide vous aidera à protéger vos données et à rester en conformité.
