01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Gestion des habilitations d’accès aux Systèmes d’Information de Santé

habilitation données santé haas avocats

Par David GRANEL et Stéphane ASTIER

Les structures des secteurs sanitaire et médico-social sont soumises à des obligations légales et réglementaires de contrôles d’accès aux données.

Dans le but d’atteindre ces objectifs l’ASIP Santé  a élaboré dans le cadre de la PGSSI-S, un guide intitulé « Gestion des habilitations d’accès au SI » qui propose un ensemble de règles et de préconisations pour la définition des politiques et des procédures d’habilitations pour l’accès aux données, traitements informatiques et composants techniques du SI (ensemble des ressources (les hommes, le matériel, les logiciels) organisées pour collecter, stocker, traiter et communiquer de l’information au sein même d’une organisation et dans ses relations avec l’extérieur).

Cette gestion des habilitations a pour finalité de limiter les actions des acteurs du SI à ce qui est souhaité par les responsables des traitements, alors que l’imputabilité des actions dans le SI a pour finalité de permettre de vérifier a posteriori que les habilitations sont respectées, et notamment qu’elles sont correctement mises en application par les moyens assurant le contrôle d’accès aux données et fonctions.

La gestion des habilitations est ainsi l’un des éléments indispensables de la chaîne qui protège le SI contre les dysfonctionnements d’origine humaine, les utilisations illégitimes, les détournements d’usages, la corruption et la perte de données. Il apparaît clairement qu’une défaillance dans la gestion des habilitations peut avoir des conséquences graves.

Dans le cadre particulier des SI complexes ou hétérogènes au niveau technique, certains outils de gestion permettent également de transposer ces habilitations en droits d’accès de manière automatisée sur différents composants du SI. Ce type d’outil est très utile sur la durée, mais requiert un important travail initial de modélisation du SI et de paramétrage de l’outil comme des différents composants du SI pris en compte.

Pour que le contrôle d’accès aux ressources du SI soit effectif, le guide préconise que les processus de gestion des habilitations :

  • appliquent le principe du moindre privilège, c’est-à-dire attribuent à chaque acteur du SI (utilisateur ou composant technique du SI) les habilitations nécessaires à la réalisation des tâches qui lui sont confiées et uniquement celles-ci ;
  • intègrent des étapes permettant de vérifier l’attribution des bonnes habilitations au bon acteur et de détecter les anomalies ;
  • prennent en compte les arrivées, départs et changements de fonction des personnels et intervenants, permanents ou temporaires, amenés à accéder au SI ou à certains de ses composants ;
  • soient gérés et pilotés de manière consolidée, notamment quand des moyens de gestion des habilitations différents sont utilisés pour les habilitations à différentes ressources du SI, voire de la structure en général (par exemple pour les accès physiques aux locaux, aux SI, aux systèmes d’infrastructures divers) ;
  • mettent à la disposition des responsables de traitement les moyens de vérifier à tout moment qui possède quelles habilitations pour les traitements et données dont ils ont la charge.

La détermination des habilitations peut être faite de différentes façons, mais dans tous les cas l’attribution des habilitations doit toujours être réalisée sous la responsabilité des responsables de traitement qui sont garants des habilitations pour leurs traitements. Les tâches de définition des règles d’attribution des habilitations et d’attribution des habilitations en elles-mêmes peuvent bien sûr être confiées à d’autres personnes par les responsables, par exemple afin de centraliser la gestion des habilitations

En tout état de cause, le responsable de traitements de données à caractère personnel de santé devra veiller à respecter son obligation générale de sécurité et de confidentialité figurant à l’article 34 de la loi informatique et libertés du 6 janvier 1978. Cet engagement général suppose notamment de mettre en place un « référentiel sécurité » qui pourra inclure, outre une politique d’habilitation respectant les prérequis détaillés ci-avant, une Charte Utilisateurs des SI, une Charte Administrateurs des SI, ou encore une Politique de Gestion des Incidents liés aux SI (Cf. sur ce point : https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/).

Pour tout renseignement en vue de la formalisation d’une politique d’habilitation ou d’un accompagnement dédié à la création ou à la consolidation de votre « Référentiel Sécurité », contactez le cabinet Haas-avocats ici.

 

Sources :

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com