Délégation ministérielle
au numérique en santé
Paris, le 1er mars 2022
Monsieur Emile MARZOLF
Acteurs Publics
Objet : Demande de communication de documents administratifs
Cher Monsieur,
Par courriel en date du 4 février dernier, vous avez sollicité la communication de l’analyse
d’impact relative à la protection des données (AIPD) réalisée sur « Mon Espace Santé » ainsi
que les audits de sécurité réalisés sur l'espace numérique de santé.
Le Règlement Général pour la Protection des Données (RGPD) prévoit en effet l’obligation pour
un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des
opérations de traitement envisagées sur la protection des données à caractère personnel,
lorsque le traitement de données
est susceptible d'engendrer un risque élevé pour les droits et
libertés des personnes concernées.
Concernant Mon espace santé, cette analyse d’impact comporte deux volets :
- Un document descriptif des principales caractéristiques du traitement, qui prend la
forme d’un dossier informatique et liberté que vous voudrez bien trouver en copie ci-
jointe ; je crois utile de vous préciser que « les traces réalisées en mode connexion
secrète », évoquées page 25 du document, font référence aux traces d’accès
réalisées par les professionnels de santé au DMP d’une personne mineure, dans le
cas où cette dernière a invoqué le secret en application des dispositions de l’article
R. 1111-50 du code de la santé publique, afin d’éviter que le représentant légal du
mineur reçoive une notification de l’accès à des documents qui lui sont masqués ;
- L’analyse des risques soulevés par le traitement, dont la communication est
susceptible de porter atteinte «
à la sécurité des systèmes d’informations des
administrations ».
1 4 a v e n u e D u q u e s n e – 7 5 3 5 0 P A R I S S P 0 7
T é l é p h o n e : 0 1 4 0 5 6 6 0 0 0
Le traitement de vos données est nécessaire à la gestion de votre demande et entre dans le cadre des missions confiées aux mi nistères sociaux.
Conformément au règlement général sur la protection des données (RGPD), vous pouvez exercer vos droits à l’adre
sse xxxxxxxxxxxx@xxxxxx.xxxx.xx ou par voie postale.
Pour en savoir plu
s : https://solidarites-sante.gouv.fr/ministere/article/donnees-personnelles-et-cookies
2
Les résultats des audits de sécurité décrivent les mesures de couverture des risques de
sécurité et sont susceptibles de porter atteinte «
à la sécurité des systèmes d’informations des
administrations ».
S’agissant de documents non communicables au sens de l’article L. 311-5 du code des
relations entre le public et l’administration, nous sommes dans l’impossibilité de réserver une
suite favorable à votre demande sur ces deux points.
Néanmoins, dans un souci de transparence, nous souhaitons vous préciser la nature des audits
de sécurité réalisés sur « Mon Espace Santé » :
Audits de code source
Tests d’intrusion
Analyses d’architecture
Audit HDS
Audit de configuration ENS
Audit de configuration DMP
Audit de l’application mobile
Bug Bounty
Vous pouvez contester la présente décision devant le tribunal administratif de Paris. L’article
L. 342-1 du code des relations entre le public et l’administration précise que le recours devant
la Commission d’accès aux documents administratifs constitue un préalable obligatoire à tout
recours contentieux, elle doit être saisie dans un délai de deux mois à compter de la présente
décision (article R. 343-1 du code des relations entre le public et l’administration).
Je vous prie d’agréer, Cher Monsieur, l’expression de ma considération distinguée.
Héla GHARIANI
Directrice de projet en charge de Mon espace santé