Skip to main content

STARTSEITE – LEXT AVOCATS (Paris, Le Mans)

Note d'information sur l'hébergement des données de santé

Suite à la délibération de la Cnil du 12 octobre 2017 (n° 2017-272), un décret a été pris afin de préciser le champ des activités d’hébergement de données de santé a caractère personnel.

Le décret n° 2018-137 modifie entre autres les articles R. 1111-9 et suivants du Code de la santé publique qui prévoient désormais une procédure d’agrément pour toute personne physique ou morale souhaitant recourir à un hébergement des données de santé à caractère personnel sur support informatique.

Ce décret définit le périmètre des activités d’hébergement, fixe les conditions d’obtention du certificat de conformité délivré par le ministre chargé de la santé ainsi que les clauses minimales que doit comporter le contrat d’hébergement. Ce décret est entré en vigueur en partie au 1er mars 2018 et totalement au 1er avril 2018.

Ces nouvelles dispositions s’inscrivent dans le cadre plus large de l’entrée en application – le 25 mai prochain – du Règlement européen sur la protection des données.

L'équipe de Lext Avocats est à votre disposition pour tout conseil concernant la conformité de votre organisation tant à la nouvelle règlementation française qu’européenne.

Lire le texte du décret

La CNIL adopte une recommandation sur les mots de passe pour garantir la sécurité des données

En raison de la multiplication des attaques informatiques par le biais des mots de passes des utilisateurs, la CNIL publie une recommandation destinée aux responsables des traitements et à leurs sous-traitants, qui énumère les mesures à prendre pour garantir un niveau de sécurité minimal des données.

Parmi ces mesures, on note en particulier :

  • la taille minimale et la complexité du mot de passe qui doivent être imposés par le responsable des traitements,
  • le recours à une mesure supplémentaire d'authentification à un compte (par l'envoi d'un SMS par exemple),
  • la recommandation de ne pas stocker ni communiquer le mot de passe à l'utilisateur en clair (notamment par e-mail),
  • le renouvellement périodique du mot de passe.

La CNIL définit également une procédure de renouvellement du mot de passe en cas d'oubli. Enfin, le responsable du traitement doit informer l'utilisateur de toute violation du mot de passe ou de données liées au renouvellement dans un délai maximum de 72 heures à compter de leur constatation. Il doit alors imposer le changement du mot de passe lors de la prochaine connexion.

Consulter le texte sur le site de Legifrance