Quelles obligations en termes de sécurité des données des patients ?

Réponse apportée par le Leem

La loi n°78-17 du 6 janvier 1978 relative à l'informatique et aux libertés impose aux responsables de traitements de "prendre toutes précautions utiles [...] pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès" (article 34).
La loi ne précise pas par quels procédés garantir la sécurité des données, il appartient donc aux entreprises de mettre en oeuvre de tels procédés. Néanmoins, la CNIL a élaboré des guides sécurité destinés à aider les entreprises à prendre les mesures nécessaires à la préservation de la sécurité des données à caractère personnel qu'elles traitent.
Les entreprises peuvent également choisir de recourir à un sous-traitant qui hébergera ces données. Dans ce cas, cet hebergeur devra être agréé conformément aux dispositions de l'article L1111-8 du code de la santé publique et il conviendra alors, de s'assurer que l'hébergeur met en place des mesures suffisantes pour préserver la sécurité des données.

Vous pourrez retrouver plus d'information sur le site de la CNIL en suivant les liens suivants :

Mais également sur le site de l'Agence des systèmes d'information partagés de santé à l'adresse suivante : http://esante.gouv.fr/services/referentiels/securite/hebergement-faq#3