Transparence sur le traitement des données de santé

Cloud Temple assure des services d’hébergement et d’infogérance certifiés HDS, spécifiquement adaptés aux enjeux du secteur de la santé.

En application de l’exigence 31 du référentiel HDS V2 de l’ANS, cette section détaille les modalités de transfert des données de santé à caractère personnel (DSCP) opérées par Cloud Temple, tant au sein qu’en dehors de l’Espace Économique Européen.

Cartographie des accès
Activités certifiées HDS Qualification SecNumCloud 3.2 Activités certifiées HDS Description Accès pays tiers EEE Risque d’accès imposé Déclaration de conformité
2,3,4,6 Oui Oui Hébergement et externalisation des sauvegardes Non Non Aucun risque d’accès imposé par la législation d’un pays tiers en violation du droit de l’Union
5 Non Oui Infogérance réalisée exclusivement depuis la France Non (France uniquement) Non Aucun transfert de données de santé à caractère personnel vers un pays tiers à l’espace économique européen
5 Non Oui Infogérance réalisée par des équipe mixtes, incluant des collaborateurs basés en France et des ingénieurs indépendants basés en Tunisie. Nature des données : Données personnelles hébergées dans les systèmes d’information des clients infogérés

Catégories de données : Toutes catégories de données personnelles stockées par les clients dans leurs systèmes d’information

Personnes concernées : Clients, employés, fournisseurs ou autres contacts des clients infogérés

Localisation du stockage : France

Finalité du transfert : Services d’infogérance

Base légale du transfert : Clauses contractuelles types (CCT)

Accès aux données : Droits d’administration technique sur les infrastructures. Pas d’accès opérationnel aux données de santé, sauf action de maintenance critique dûment tracée.

Périmètre d’intervention : Accès limité au stockage et à l’infrastructure technique hébergeant les données, sans traitement du contenu		 La loi tunisienne prévoit des restrictions à l’accès gouvernemental aux données personnelles.

L’article 76 de la loi organique n° 2004-63 interdit le transfert de données susceptible de porter atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie.

Cependant, il existe des exceptions pour des raisons de sécurité nationale, de défense ou de relations internationales. L’organisme public peut refuser l’accès à l’information dans ces cas.

L’Instance Nationale de Protection des Données à Caractère Personnel (INPDP) a le pouvoir d’accéder aux données personnelles faisant l’objet d’un traitement afin de procéder à leur vérification.

Risque résiduel : Accès potentiel par les autorités tunisiennes limité strictement aux cas de sécurité nationale ou de défense cités par la loi.

Mesures de protection et garanties appropriées

Mesures contractuelles

Clauses contractuelles types (CCT) :

  • Utilisation des CCT adoptées par la Commission européenne le 4 juin 2021, basées sur le modèle recommandé par la CNIL
  • Ces clauses fournissent un cadre juridique pour les transferts de données personnelles hors UE
  • Elles intègrent les exigences du RGPD et les recommandations suite à l’arrêt Schrems II

Mesures techniques

  • Chiffrement fort des données lors du transfert et du traitement
  • Mise en place de contrôles d’accès stricts et d’une authentification forte
  • Segmentation des réseaux et cloisonnement des données
  • Journalisation et surveillance des accès aux données
  • Mise à jour régulière des systèmes et applications de sécurité
  • Sauvegarde chiffrée et tests de restauration réguliers

Mesures organisationnelles

  • Vérification des antécédents du personnel
  • Certification ISO 27001 couvrant les activités d’infogérance
  • Formation continue du personnel du prestataire sur la protection des données et la sécurité de l’information
  • Procédure de notification rapide en cas de demandes d’accès par les autorités tunisiennes
  • Mise en place d’une politique de sécurité de l’information documentée et régulièrement mise à jour
  • Procédures de gestion des incidents de sécurité et de violation de données
  • Évaluations régulières des risques liés à la sécurité de l’information
  • Mise en place d’un plan de continuité d’activité et de reprise après sinistre

Délégué à la Protection des Données

Contact : dpd@cloud-temple.com

Politique en matière de cookies

Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site mais nous ne prélevons aucune donnée à caractère personnel.

Les services de mesure d’audience, nécessaires au fonctionnement et à l’amélioration de notre site, ne permettent pas de vous identifier personnellement. Vous avez cependant la possibilité de vous opposer à leur usage.

Pour plus d’informations, consultez notre politique de confidentialité.

Autoriser Refuser