Politique de confidentialité

Mise à jour le 07/05/2024



Cette politique de confidentialité a pour finalité d’informer les personnes concernées, sur les traitements de données à caractère personnel et sur l’utilisation de cookies réalisés dans le cadre de la mise en œuvre du site https://cyberveille-sante.gouv.fr/ (ci-après « Portail »), ainsi que sur les traitements réalisés par l’ANS dans le cadre de la gestion des signalements d’incidents de sécurité des systèmes d’information.

Le terme « Utilisateur » vise dans les présentes : 

•    Les visiteurs du Portail ; 

•    Les personnes rattachées à des établissements de santé, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des établissements médico-sociaux et des ARS qui interviennent dans le cadre des signalements des incidents de sécurité des systèmes d’information.



Le Portail constitue un espace dédié à la veille, la sensibilisation ainsi qu’à la publication et au partage d’informations concernant la sécurité des systèmes d’information (SSI) dans le secteur de la santé, édité dans le cadre du service d’information et d’accompagnement prévu par l’arrêté relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information.

La mise en œuvre et l’utilisation du Portail implique un traitement de données à caractère personnel, au sens de de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés  (ci-après « loi Informatique et Libertés modifiée ») et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »).

1- Responsabilité de traitement et base légale

Les données personnelles de l’Utilisateur sont traitées par l’ANS en qualité de responsable de traitement dans le cadre de l’exécution d’une mission d’intérêt public dont elle est investie (article 6, 1, (e) du RGPD).

Par ailleurs, l’ANS est destinataire des déclarations d’incidents graves de sécurité des systèmes d’information réalisées conformément à l’article L. 1111-8-2 du code de la santé publique. Dans ce cadre, elle est amenée à traiter les données à caractère personnel des contacts au sein des structures déclarantes, ainsi que les données pouvant être ultérieurement transmises par les structures dans le cadre de la gestion de l’incident grave de sécurité.

2- Finalités du traitement

2.1 La mise en œuvre du Portail

Le traitement réalisé par l’ANS a pour finalité la mise en œuvre du Portail permettant l'information et l'accompagnement des établissements de santé et médico-sociaux, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des agences régionales de santé et des autorités compétentes de l'Etat, concernant la prévention et la gestion des incidents de sécurité, ainsi que la sécurité des systèmes d'information (cf. Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information). 

Les données recueillies dans le cadre de la mise en œuvre du Portail font l’objet d’un traitement dans le but de répondre à plusieurs sous-finalités, et notamment : 

-    La gestion du Portail (gestion des comptes Utilisateurs, gestion des notifications, etc.) ;

-    L’animation de la communauté cyberveille-santé (partage des bonnes pratiques sur la sécurité du numérique en santé) ; 

-    La réalisation de statistiques d’usage ;



2.2 Le traitement des signalements des incidents de sécurité sur les systèmes d’information

L’ANS collecte des données à caractère personnel pour le recueil, l’analyse et, le cas échéant, la qualification et la transmission des signalements des incidents de sécurité aux agences ou aux autorités compétentes de l’Etat. 



2.3 Le traitement La mise en place d'une activité de « veille proactive »

L’ANS a pour mission de participer au renforcement de la sécurité des systèmes numériques en santé. Elle est responsable du dispositif national de cybersurveillance, d’appui aux structures et de traitement des incidents de sécurité des systèmes d’information. 

Dans ce cadre, elle réalise un traitement de données à caractère personnel pour la mise en place d’une activité de « veille proactive » ayant pour objectif d’informer les établissements de santé, établissements et services médico-sociaux ou les ARS sur la présence d’une ou plusieurs vulnérabilités critiques sur leur(s) système(s) exposé(s) sur Internet. 

3- Catégories de données

Les catégories de données traitées par l’ANS sont les suivantes : 

•    données d’identification et coordonnées fournies par l’Utilisateur ;

•    données professionnelles fournies par l’Utilisateur  ;

•    données liées à la navigation et à l’utilisation du Portail collectées de façon automatique.

4- Durées de conservation des données

Les données à caractère personnel sont conservées pour la durée nécessaire à la réalisation de ces finalités, et notamment :

•    Les données d’identification, les coordonnées et les données professionnelles collectées dans le cadre de l’accès et de l’utilisation du compte personnalisé sont conservées pendant la durée de vie du compte et peuvent être supprimées à tout moment sur demande de l’Utilisateur. 

•    Les traces collectées de manière automatique lors de l’utilisation du Portail pour en assurer la sécurité et réaliser des statistiques d'usage sont supprimées à l’issue d’un délai d’un an à compter de leur émission. 

•    Les données traitées dans le cadre de la gestion des signalements d’incidents de sécurité des systèmes d’information sont conservées pour la durée nécessaire à la gestion de l’incident. 

5- Droits des personnes

Conformément au règlement général (UE) sur la protection des données n°2016/679 du 27 avril 2016 et à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, les personnes concernées sont informées qu'elles disposent d’un droit d'accès, de rectification, d’opposition, de limitation du traitement et le droit de porter une réclamation devant la Commission nationale de l'informatique et des libertés pour les données les concernant.

Par exception et en application de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information, le droit d'opposition prévu par la loi du 6 janvier 1978 suscitée ne s'applique pas au traitement ayant pour finalité le recueil, l'analyse, la qualification, la transmission et la gestion des signalements des incidents de sécurité.

Ces droits peuvent être exercés auprès de l’ANS :

•    par courrier postal, à l’adresse suivante : GIP ANS (Délégué à la protection des données) 2 - 10 Rue d'Oradour-sur-Glane - 75015 Paris ;

•    par messagerie électronique, à l'adresse suivante : dpo@esante.gouv.fr

Si l’Utilisateur estime que ses droits n’ont pas été respectés, il a la possibilité de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une réclamation.

6- Cookies

Le Portail est conçu pour être particulièrement attentif aux besoins des Utilisateurs. À cet égard, il y est fait usage de cookies.

Le Portail utilise de cookies « techniques », notamment afin de gérer les sessions ainsi que de garantir et maintenir la sécurité et l’intégrité du Portail. Ces cookies sont nécessaires au fonctionnement et à la sécurité du site.

L’ANS informe l’Utilisateur que les cookies nécessaires au fonctionnement du site ne peuvent être désactivés.

 

Nom du cookie
Nom du prestataire
Fonction
Durée de vie (à compter du dépôt du cookie)

tarteaucitron 
Interne (ANS)
Stocke les choix des cookies acceptés par l'Utilisateur.
1 an

SSESS […]
N/A
Cookie de session déposé lorsqu’un Utilisateur est connecté à son compte et permettant d’assurer la déconnexion automatique de l’Utilisateur.
15 heures