LEGIARTI000044115255

Code inconnu

En vigueurDepuis le 30 septembre 2021

Texte de l'article

CHARTE APPLICABLE AUX DISPOSITIFS DE LECTURE DES JUSTIFICATIFS MENTIONNÉS À L'ARTICLE 2-2 DU DÉCRET N° 2021-699 DU 1ER JUIN 2021 MODIFIÉ PRESCRIVANT LES MESURES GÉNÉRALES NÉCESSAIRES À LA GESTION DE SORTIE DE CRISE SANITAIRE AUTRES QUE L'APPLICATION MOBILE DÉNOMMÉ "TOUSANTICOVID VERIF" Définitions Utilisateur : Est entendu dans la suite du document par le terme "utilisateur" tout personnel ou service chargé d'opérer un système de vérification - contrôle de l'authenticité de la preuve via la vérification cryptographique de la signature électronique ; Respect des droits des usagers Les systèmes tiers mettant en œuvre un service de vérification du passe sanitaire s'engagent à mettre en place et à respecter des mesures protectrices des droits des usagers (notamment les droits d'accès, de rectification et de limitation, articles 15, 16 et 18 du RGPD) et à informer les usagers à propos du traitement réalisé sur leurs données d'une manière simple et accessible (article 14 du RGPD). Protection des données personnelles 1. Les passes sanitaires (2DDOC et DCC) au format QR Code, DataMatrix, ou texte, ainsi que les données qui y sont encodées, constituent des données de santé ne pouvant être stockées sur un système non habilité HDS. Sécurité des systèmes d'information Les systèmes tiers mettant en œuvre un service de vérification du passe sanitaire s'engagent à mettre en œuvre les mesures de sécurité nécessaires à la protection des mécanismes de vérification du passe sanitaire, en conformité avec le Référentiel général de sécurité (1) (RGS), les guides et recueils de bonnes pratiques de l'ANSSI (2), les recommandations de la CNIL (3) et notamment : - tout transfert ou traitement des données, dans le cadre de ces finalités, doit respecter les directives RGPD en termes d'hébergement ; Sous-traitance Toutes les relations de sous-traitance dans le cadre d'un traitement de données relatif au passe sanitaire font l'objet d'une contractualisation (article 28.3 du RGPD), qui porte notamment sur : - l'objet et la durée du traitement ; Dossier type à transmettre à tousanticovid-rgpd@sante.gouv.fr - La documentation des traitements et la cartographie des flux de données lors de la vérification ; (1) https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

← Retour au Code inconnu