3.1. Le traitement des données du Système national des données de santé et de ses composantes devra s'effectuer en conformité avec les dispositions des articles L. 1461- 1 à L. 1461-7 du code de la santé publique.
3.2. Les mesures de sécurité devront être conformes au référentiel de sécurité applicable au Système national des données de santé, prévu par l'arrêté du 22 mars 2017 et ses mises à jour ultérieures.
3.3. Conformément au référentiel précité, lorsque le responsable de traitement a recours à un laboratoire de recherche ou un bureau d'études, le responsable de traitement doit s'assurer que le contrat conclu avec le laboratoire de recherche ou bureau d'études précise les mesures et les conditions de sécurité relatives à la conformité au référentiel précité. En particulier, l'environnement maîtrisé devra avoir fait l'objet d'une homologation préalablement à la mise en œuvre du traitement de données nécessaire à l'étude.
3.4. Le responsable de traitement ou, le cas échéant, le responsable de la mise en œuvre du traitement, doit adopter les mesures techniques et organisationnelles suivantes :

| Répartition des rôles et responsabilités | | |:-----------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | SEC-REP-1 | La répartition des rôles et responsabilités entre le ou les responsables de traitement, le responsable de la mise en œuvre du traitement et le gestionnaire de l'environnement maîtrisé doit être formalisée par une convention. Cette dernière doit porter notamment sur la sensibilisation des utilisateurs de l'étude, la surveillance des traces, la gestion des alertes et des incidents ainsi que la gestion des exportations de données anonymes. Cette convention devra être conforme à l'article 28 du RGPD. | | Gestion des habilitations et accès logique aux données | | | SEC-HAB-1 | Différents profils d'habilitation doivent être prévus afin de gérer les accès aux données en tant que de besoin et de façon exclusive. | | SEC-HAB-2 | Les personnes habilitées à accéder aux données à caractère personnel doivent être individuellement habilitées selon une procédure impliquant une validation par leur responsable hiérarchique. | | SEC-HAB-3 | Une revue des habilitations doit être réalisée régulièrement et a minima annuellement, ainsi qu'à la fin de chaque étude. | | SEC-HAB-4 | Les permissions d'accès doivent être retirées dès le retrait des habilitations, par exemple après le départ d'un utilisateur habilité ou une modification de ses missions. | | Identification et authentification des utilisateurs | | | SEC-IDE-1 | L'accès aux données à caractère personnel doit être subordonné à une identification locale ou nationale pour toute personne physique ou morale, conformément aux exigences du palier 2 du Référentiel d'identification de la PGSSI-S. | | SEC-IDE-2 | L'accès aux données à caractère personnel doit être subordonné à une authentification forte faisant intervenir a minima deux facteurs d'authentification distincts, conformément aux exigences du palier 2 du Référentiel d'authentification de la PGSSI-S. Si un de ces facteurs est un mot de passe, celui-ci doit être conforme aux recommandations de la CNIL en matière de mots de passe à la date de rédaction de cette méthodologie de référence (délibération n° 2022-100 du 21 juillet 2022). | | Espace projet | | | SEC-ESP-1 | Les données d'une étude doivent être manipulées par les utilisateurs habilités uniquement dans un espace projet spécifique à cette étude, étanche avec les données du SNDS central ainsi qu'avec les espaces projets d'autres études conduites dans le même environnement maîtrisé. | | SEC-ESP-2 | Les jeux de données importés dans un espace projet spécifique à une étude doivent être minimisés et limités aux seules données nécessaires à l'étude. Un numéro pseudonyme unique spécifique à chaque espace projet doit être généré dans les mêmes conditions de pseudonymisation que celles définies par le référentiel de sécurité applicable au SNDS précité. Par exemple, ce numéro pseudonyme unique pourra être généré par une fonction de hachage cryptographique résistante aux attaques par force brute ou un générateur de nombres pseudo-aléatoires cryptographiquement sûr. | | Transmission de données | | | SEC-TRA-1 | Toutes les transmissions de données depuis ou vers l'environnement maîtrisé ou les espaces projets doivent faire l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité (RGS) afin d'en garantir la confidentialité.
Ces mesures de chiffrement s'appliquent aux données en transit et à leur stockage après réception dans l'environnement maîtrisé ou les espaces projets. | | Exportation de données anonymes hors des espaces de travail | | | SEC-EXP-1 | Seuls des jeux de données anonymes peuvent faire l'objet d'une exportation hors de l'environnement maîtrisé ou d'un espace projet. Le processus d'anonymisation doit produire un jeu de données conforme aux trois critères définis par l'avis du G29 n° 05/2014 ou à tout avis ultérieur du CEPD relatif à l'anonymisation. Cette conformité doit être documentée. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de réidentification devra être menée et documentée, préalablement à chaque exportation. | | SEC-EXP-2 | Les exportations de données doivent être soumises à la validation préalable d'un responsable afin d'en avaliser le principe, notamment au regard de l'exigence SEC-EXP-1. | | SEC-EXP-3 | Les exportations doivent faire l'objet d'une surveillance automatique ou manuelle par un opérateur spécialisé afin d'en vérifier le caractère anonyme. Dans le cas où cette surveillance est automatique, toute exportation identifiée comme non conforme doit faire l'objet d'une remontée d'alerte et d'une mise en quarantaine dans un espace cloisonné et dédié, puis doit être vérifiée manuellement par un responsable spécifiquement formé et habilité. | | Sensibilisation des utilisateurs et sécurité des postes de travail | | | SEC-SEN-1 | Chaque personne habilitée à accéder à l'environnement maîtrisé doit être formée au respect du secret professionnel et sensibilisée régulièrement aux risques et obligations inhérents au traitement de données de santé. | | SEC-SEN-2 | Chaque personne habilitée à accéder à l'environnement maîtrisé doit signer une charte de confidentialité. Celle-ci doit préciser notamment les obligations au regard à la fois de la protection des données à caractère personnel de santé et des mesures de sécurité mises en place dans l'environnement maîtrisé, ainsi que les sanctions afférentes au non-respect de ces obligations. | | SEC-SEN-3 |Les postes de travail des personnes habilitées à accéder à l'environnement maîtrisé, y compris les utilisateurs externes accédant uniquement aux espaces projet, doivent faire l'objet de mesures de sécurité spécifiques, par exemple en mettant en place des comptes nominatifs, une authentification adéquate, un verrouillage automatique des sessions, un chiffrement des disques durs et des mesures de filtrage. Dans le cas où les postes de travail ne sont pas sous le contrôle du responsable de traitement, les mesures de sécurité à mettre en place sur les postes de travail doivent être encadrées au moyen d'une convention entre les parties concernées.| | Journalisation | | | SEC-JOU-1 | Les actions des utilisateurs des espaces projet et celles des utilisateurs de l'environnement maîtrisé doivent faire l'objet de mesures de journalisation, conformément aux exigences du palier 3 du Référentiel d'imputabilité de la PGSSI-S. En particulier, les connexions (identifiants, date et heure), les requêtes et les opérations réalisées doivent être tracées. | | SEC-JOU-2 | Un contrôle des traces doit être réalisé régulièrement et a minima mensuellement, ainsi qu'à la fin de chaque période d'habilitation liée à une étude. Ce contrôle doit être réalisé par :
- une solution réalisant une surveillance automatique avec une remontée d'alertes traitées manuellement par un opérateur habilité ; ou
- un contrôle semi-automatique via exécution de programmes permettant une sélection des traces anormales, suivi d'une relecture manuelle par un opérateur habilité. | | SEC-JOU-3 | Les traces de journalisation définies aux exigences SEC-JOU-1 doivent être conservées pour une durée de six mois à un an à compter de leur collecte, sauf exception justifiée par l'importance du risque pour les personnes en cas de détournement des finalités du traitement et de la fréquence d'occurrences de telles pratiques. Dans ce dernier cas, la durée de conservation maximale des traces de journalisation peut être étendue à trois ans. | |Gestion des incidents de sécurité et des violations de données à caractère personnel| | | SEC-INC-1 | Les parties à la convention doivent prévoir une procédure de gestion et de traitement des incidents de sécurité et des violations de données à caractère personnel, précisant les rôles et responsabilités et les actions à mener en cas de survenue de tels incidents. | | SEC-INC-2 | Tout incident de sécurité, d'origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence, même temporaire, de compromettre l'intégrité, la confidentialité ou la disponibilité de données à caractère personnel, doit faire l'objet d'une documentation en interne dans un registre des violations. | | SEC-INC-3 | Toute violation de données doit être notifiée à la CNIL dans les conditions prévues à l'article 33 du RGPD. | | SEC-INC-4 | Dans l'hypothèse où la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable de traitement est tenu de communiquer la violation des données aux personnes concernées dans les meilleurs délais, conformément à l'article 34 du RGPD. |

3.5. Ces mesures ne sont pas exhaustives et devront être complétées au regard des risques pesants sur le traitement mis en œuvre.
3.6. De plus, les articles 5.1.f et 32 du RGPD nécessitent la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques et que les mesures soient conformes à l'état de l'art.