Sur les mesures de sécurité :
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.
Le responsable du traitement définit, met en œuvre et contrôle la mise en œuvre d'une politique de sécurité qui devra notamment décrire :
― les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
― les habilitations d'accès aux données, en fonction du besoin des utilisateurs du système d'information, en particulier les mesures de restriction de l'accès à l'identité du notificateur, les modalités d'accès aux traitements, dont les mesures d'identification et d'authentification ; les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales ainsi que l'historique des connexions ;
― les mesures de sécurité devant être mises en œuvre pour les transmissions de données.
Cette politique de sécurité doit être définie au regard des risques identifiés aux termes d'une analyse des risques présentés par le traitement (cette analyse devra notamment couvrir les risques que peut présenter le traitement sur les libertés et la vie privée des personnes).