Audits de sécurité sur "Mon Espace Santé"
Cher ministère des solidarités et de la santé,
En application de la loi n° 78-575 du 17 juillet 1978 relative aux documents administratifs, je souhaite recevoir communication des documents administratifs suivants:
- les audits de sécurité réalisés sur l'espace numérique de santé, "Mon Espace Santé"
- la ou les analyses d’impact relative à la protection des données (AIPD) réalisés sur "Mon Espace Santé"
Je souhaite recevoir ces documents dans un format numérique, ouvert et réutilisable. Pour ce faire, veuillez m’indiquer leur adresse de téléchargement ou me les envoyer en pièce jointe.
Comme le livre III du code des relations entre le public et l’administration le prévoit lorsque le demandeur a mal identifié la personne qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Emile Marzolf
Journaliste pour Acteurs publics
Bonjour Monsieur Marzolf,
Je vous prie de trouver en pièce jointe la réponse à votre demande de
communication des audits de sécurité et de l’analyse d’impact relative à
la protection des données réalisés sur Mon espace santé.
Vous en souhaitant bonne réception,
Bien cordialement,
Hela GHARIANI
Directrice de projets
[numéro de téléphone caché]
Délégation ministérielle du numérique en santé (DNS)
[1]Marianne sante
[2]bandeau-signature-email_MES
══════════════════════════════════════════════════════════════════════════
Nos ministères agissent pour un développement durable.
Préservons l'environnement : n'imprimons que si nécessaire !
References
Visible links
Commentaire posté le
Par mail direct, la Délégation ministérielle du numérique en santé a répondu à ma demande de communication :
Cher Monsieur,
Par courriel en date du 4 février dernier, vous avez sollicité la communication de l’analyse d’impact relative à la protection des données (AIPD) réalisée sur « Mon Espace Santé » ainsi que les audits de sécurité réalisés sur l'espace numérique de santé.
Le Règlement Général pour la Protection des Données (RGPD) prévoit en effet l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, lorsque le traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
Concernant Mon espace santé, cette analyse d’impact comporte deux volets :
- Un document descriptif des principales caractéristiques du traitement, qui prend la forme d’un dossier informatique et liberté que vous voudrez bien trouver en copie cijointe ; je crois utile de vous préciser que « les traces réalisées en mode connexion secrète », évoquées page 25 du document, font référence aux traces d’accès réalisées par les professionnels de santé au DMP d’une personne mineure, dans le cas où cette dernière a invoqué le secret en application des dispositions de l’article R. 1111-50 du code de la santé publique, afin d’éviter que le représentant légal du mineur reçoive une notification de l’accès à des documents qui lui sont masqués ;
- L’analyse des risques soulevés par le traitement, dont la communication est susceptible de porter atteinte « à la sécurité des systèmes d’informations des administrations ».
Les résultats des audits de sécurité décrivent les mesures de couverture des risques de sécurité et sont susceptibles de porter atteinte « à la sécurité des systèmes d’informations des administrations ». S’agissant de documents non communicables au sens de l’article L. 311-5 du code des relations entre le public et l’administration, nous sommes dans l’impossibilité de réserver une suite favorable à votre demande sur ces deux points.
Néanmoins, dans un souci de transparence, nous souhaitons vous préciser la nature des audits
de sécurité réalisés sur « Mon Espace Santé » :
- Audits de code source
- Tests d’intrusion
- Analyses d’architecture
- Audit HDS
- Audit de configuration ENS
- Audit de configuration DMP
- Audit de l’application mobile
- Bug Bounty
Vous pouvez contester la présente décision devant le tribunal administratif de Paris. L’article L. 342-1 du code des relations entre le public et l’administration précise que le recours devant la Commission d’accès aux documents administratifs constitue un préalable obligatoire à tout
recours contentieux, elle doit être saisie dans un délai de deux mois à compter de la présente décision (article R. 343-1 du code des relations entre le public et l’administration).