Téléchargez la pièce jointe originale
(PDF file)

Ceci est une version HTML d'une pièce jointe à la demande d'accès à l'information 'Audits de sécurité sur "Mon Espace Santé"'.

 
 
 
 
 
Délégation ministérielle 
au numérique en santé 
 
 
 
 
 
 
 
Paris, le 1er mars 2022 
 
 
Monsieur Emile MARZOLF 
Acteurs Publics 
 
 
Objet : Demande de communication de documents administratifs 
 
Cher Monsieur, 
 
Par  courriel  en  date  du  4  février  dernier,  vous  avez  sollicité  la  communication de  l’analyse 
d’impact relative à la protection des données (AIPD) réalisée sur « Mon Espace Santé » ainsi 
que les audits de sécurité réalisés sur l'espace numérique de santé. 
 
Le Règlement Général pour la Protection des Données (RGPD) prévoit en effet l’obligation pour 
un  responsable  de  traitement  d’effectuer,  avant  le  traitement,  une  analyse  de  l’impact  des 
opérations  de  traitement  envisagées  sur  la  protection  des  données  à  caractère  personnel, 
lorsque le traitement de données est susceptible d'engendrer un risque élevé pour les droits et 
libertés des personnes concernées.  
 
Concernant Mon espace santé, cette analyse d’impact comporte deux volets : 
-  Un document descriptif des principales caractéristiques du traitement, qui prend la 
forme d’un dossier informatique et liberté que vous voudrez bien trouver en copie ci-
jointe ; je crois utile de vous préciser que « les traces réalisées en mode connexion 
secrète »,  évoquées  page  25  du  document,  font  référence  aux  traces  d’accès 
réalisées par les professionnels de santé au DMP d’une personne mineure, dans le 
cas où cette dernière a invoqué le secret en application des dispositions de l’article 
R. 1111-50 du code de la santé publique, afin d’éviter que le représentant légal du 
mineur reçoive une notification de l’accès à des documents qui lui sont masqués ; 
-  L’analyse  des  risques  soulevés  par  le  traitement,  dont  la  communication  est 
susceptible  de  porter  atteinte  « à  la  sécurité  des  systèmes  d’informations  des 
administrations ».  
 
1 4   a v e n u e   D u q u e s n e   –   7 5 3 5 0   P A R I S   S P   0 7  
T é l é p h o n e   :   0 1   4 0   5 6   6 0   0 0  
 
Le traitement de vos données est nécessaire à la gestion de votre demande et entre dans le cadre des missions confiées aux mi nistères sociaux.  
Conformément au règlement général sur la protection des données (RGPD), vous pouvez exercer vos droits à l’adresse xxxxxxxxxxxx@xxxxxx.xxxx.xx ou par voie postale. 
Pour en savoir plus : https://solidarites-sante.gouv.fr/ministere/article/donnees-personnelles-et-cookies 
 

Les  résultats  des  audits  de  sécurité  décrivent  les  mesures  de  couverture  des  risques  de 
sécurité et sont susceptibles de porter atteinte « à la sécurité des systèmes d’informations des 
administrations ». 
 
S’agissant  de  documents  non  communicables  au  sens  de  l’article  L.  311-5  du  code  des 
relations entre le public et l’administration, nous sommes dans l’impossibilité de réserver une 
suite favorable à votre demande sur ces deux points.  
 
Néanmoins, dans un souci de transparence, nous souhaitons vous préciser la nature des audits 
de sécurité réalisés sur « Mon Espace Santé » :  
  Audits de code source 
  Tests d’intrusion 
  Analyses d’architecture 
  Audit HDS 
  Audit de configuration ENS 
  Audit de configuration DMP 
  Audit de l’application mobile 
  Bug Bounty 
 
Vous pouvez contester la présente décision devant le tribunal administratif de Paris. L’article 
L. 342-1 du code des relations entre le public et l’administration précise que le recours devant 
la Commission d’accès aux documents administratifs constitue un préalable obligatoire à tout 
recours contentieux, elle doit être saisie dans un délai de deux mois à compter de la présente 
décision (article R. 343-1 du code des relations entre le public et l’administration). 
 
 
Je vous prie d’agréer, Cher Monsieur, l’expression de ma considération distinguée. 
 
 
Héla GHARIANI 
Directrice de projet en charge de Mon espace santé