La Commission nationale de l’informatique et des libertés (Cnil) vient de publier un référentiel détaillé d’exigences de sécurité pour les entrepôts de données de santé. Il précise notamment les attendus en termes de cloisonnement de projets, de maîtrise du poste de travail, de traçabilité et de vérification des sorties de fichiers de résultats.
La Cnil indique dans sa délibération que « les principes et les mesures posés par ce référentiel peuvent s’appliquer à l’ensemble des traitements de données de santé de même nature (NDLR : entrepôt de données de santé), indépendamment de leur encadrement juridique ». Ce référentiel est le résultat d’un travail important qui pose clairement un cadre de sécurité et de protection des données pour les développements, de plus en plus nombreux, de travaux innovants sur les données de santé, sensibles au sens de l’article 9 du RGPD.
Le CASD, conçu spécifiquement pour le traitement de données sensibles pour assurer une sécurité de bout en bout grâce à son dispositif de bulles sécurisés et à ses boitiers d’accès, appliquait déjà les mesures techniques et organisationnelles exigées par ce nouveau référentiel. Les démarches de mise en conformité des projets de santé qui passent par le CASD en seront d’autant simplifiées.
[En savoir plus]
