1. Responsabilités & gouvernance

Avez-vous désigné formellement un responsable de la protection des données / sécurité informatique (interne ou externe) et disposez-vous de directives écrites pour l’utilisation de l’informatique au cabinet (mots de passe, stockage des données, messagerie, accès distant, appareils privés, etc.) ?

2. Inventaire des ressources & des données

Disposez-vous d’un inventaire à jour de vos ressources informatiques (PC, portables, tablettes, serveurs, routeurs, imprimantes, logiciels métier, services cloud) indiquant où sont stockées les données patients et qui y a accès ?

3. Gestion des accès & des comptes

Les accès aux systèmes et aux données sont-ils gérés au moyen de comptes nominatifs avec droits limités au strict nécessaire, mots de passe robustes / authentification forte, et une procédure systématique de création, modification et suppression des comptes (y compris lors du départ d’un collaborateur) ?

4. Sensibilisation du personnel

Votre équipe (médecins, assistantes, secrétariat, personnel externe régulier) bénéficie-t-elle d’une sensibilisation régulière à la protection des données et à la cybersécurité (phishing, mots de passe, gestion des supports, confidentialité à l’accueil) avec une traçabilité des formations effectuées ?

5. Protection contre les logiciels malveillants

Tous les appareils utilisés pour le cabinet (y compris portables en télétravail) disposent-ils d’une protection contre les logiciels malveillants (antivirus/EDR ou équivalent) activée, à jour et surveillée de manière centralisée (alertes, rapports) ?

6. Sécurité du réseau & du Wi-Fi

Votre réseau est-il protégé par un routeur/pare-feu correctement configuré, avec au minimum :

• un Wi-Fi invité séparé du réseau médical,
• des mots de passe Wi-Fi forts et uniques,
• et, lorsque nécessaire, un accès distant via VPN ou solution sécurisée plutôt qu’un simple port ouvert sur Internet ?

7. Configuration sécurisée & maintenance technique

Avez-vous un processus documenté pour :

• installer régulièrement les mises à jour de sécurité de vos systèmes, logiciels et équipements réseau,
• retirer ou isoler les systèmes obsolètes ou non supportés,
• vérifier périodiquement l’état de sécurité (correctifs critiques manquants, configuration par défaut, etc.) ?

8. Sauvegardes & reprise des données

Disposez-vous de sauvegardes automatiques, chiffrées et régulières des données importantes (dossier patient, facturation, comptabilité), conservées sur au moins deux emplacements distincts (dont un hors du cabinet), et testez-vous la restauration de ces sauvegardes au moins une fois par an ?

9. Sécurité des échanges de données

Les échanges de données patients avec des tiers (laboratoires, hôpitaux, assureurs, patients, fournisseurs) passent-ils par des canaux sécurisés (p. ex. messagerie ou plateforme certifiée, HIN ou équivalent, portails sécurisés, partage chiffré), avec des règles claires sur ce qui peut ou non être envoyé par e-mail classique ?

10. Gestion des incidents de sécurité

Disposez-vous d’une procédure écrite en cas d’incident (panne majeure, indisponibilité prolongée, infection par ransomware, perte/vol d’appareil, suspicion de fuite de données) précisant :

• qui doit être contacté (interne, partenaire IT, assurance, autorités),
• quelles mesures immédiates prendre,
• comment documenter l’incident et, le cas échéant, informer les patients ou autorités compétentes ?

11. Prestataires IT & fournisseurs

Avez-vous des contrats ou accords écrits avec vos prestataires IT, éditeurs de logiciels, hébergeurs cloud et autres fournisseurs précisant leurs responsabilités en matière de sécurité (sauvegardes, mises à jour, accès à distance, support, confidentialité et soustraitance des données patients), ainsi que la manière dont vous contrôlez le respect de ces engagements ?

Informations de contact