Conformité légale et règlementaire

RGPD

Le RGPD (Règlement général sur la protection des données) est le nouveau cadre européen relatif au traitement et à la circulation des données à caractère personnel. Ce texte, applicable à partir du 25 mai 2018, qui uniformise les législations des États membres de l’Union européenne en matière de données personnelles, a vocation à donner à l’ensemble des résidents de l’Union européenne plus de contrôle sur leurs données personnelles, à responsabiliser davantage les responsables de traitements tout en réduisant leurs formalités préalables auprès des régulateurs et à renforcer le rôle des Autorités de protection des données.

Cette conformité a été vérifiée et validée par le Cabinet d’Avocats Racine, spécialisé dans le domaine du numérique.
Le Cabinet Racine, sert également à Pineappli de DPO délégué (Data Protection Officer). Ce nouvel acteur prévu aux articles 37 et suivants du RGPD est obligatoire.
Ses missions sont les suivantes :
– informer et conseiller les membres de l’entité quant aux obligations légales en matière de traitement de données
– contrôler le respect du RGPD
– conseiller, sur demande, au sujet des analyses d’impact sur la vie privée et vérifier l’exécution de celles-ci
– coopérer avec l’Autorité compétente de protection des données
– être le point de contact avec cette Autorité sur les questions relatives au traitement, y compris en cas de consultation sur les analyses d’impact sur la vie privée
– être l’interlocuteur des personnes concernées pour toute question relative au traitement de leurs données et l’exercice de leurs droits.

ISO 270001

Pineappli est très fier d’être aujourd’hui certifiée ISO !

Pour ceux qui ne connaissent pas la certification AFAQ ISO/IEC 27001 : Elle démontre que vous avez mis en place un Système de management de la sécurité de l’information (SMSI) efficace construit sur la base de la norme internationale de référence, l’ISO 27001. Elle définit une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information.

Les principaux avantages qui contribuent à une politique d’entreprise saine et sûre :
– Une plus grande résilience des entreprises
– Alignement sur les exigences des clients
– Amélioration des processus de gestion et intégration aux stratégies de risque des entreprises
– Fiabilité et sécurité accrues des systèmes et des informations
– Amélioration de la confiance des clients et des partenaires commerciaux

La politique de contrôle d’accès contient les règles d’accès aux systèmes, équipements, installations et informations. Ces règles sont conçues pour donner un aperçu clair de l’utilisateur qui a accès à tel ou tel réseau et/ou service. L’accès à tous les systèmes est conforme à la politique de contrôle d’accès, ce qui signifie que l’accès est protégé par des procédures de connexion sécurisées et que l’accès au code source est hautement sécurisé.
Les outils logiciels donnant accès à des informations (sensibles) sont réservés aux administrateurs de système et ne sont accessibles que sous surveillance et dans certaines (rares) situations. Les utilisateurs doivent s’inscrire dans notre système d’information et avoir accès à certaines zones en fonction de leurs privilèges.
Les règles de la politique de sécurité informatique déterminent comment les utilisateurs maintiennent la confidentialité de leurs données d’authentification.
En obtenant la certification ISO 27001, nous avons réduit les risques de violation de la sécurité de l’information.
Le système de gestion des services informatiques (SGSI) garantit une gestion des risques appropriée et est mis en place pour le développement, la maintenance, la gestion et l’hébergement.

C’est la garantie que la sécurité annoncée par l’entreprise certifiée est bien réelle !
Cette certification dépend de I’ISO, l’organisation internationale de normalisation et bénéficie ainsi d’une portée et d’une reconnaissance internationale.
Elle ne peut être obtenue que par l’intervention d’organisme accrédité par des organisations nationales comme le COFRAC en France.
Cela nécessite beaucoup de travail et d’organisation en interne pour répondre à l’ensemble des exigences tant techniques qu’organisationnelles.
L’obtention de cette certification démontre l’engagement et l’importance qu’attache l’entreprise à la sécurité de l’information et représente un véritable gage de sérieux pour les sociétés avec qui nous travaillons.
Cette certification donne lieu à une remise de certificat par l’organisme certificateur et autorise l’utilisation d’un logo qui permet de vérifier la réalité de cette certification.

Respect des lois et des normes en vigueur :

• Pineappli vient d’être certifié ISO 27001. Cette certification garantit la prise en compte des exigences de sécurité dans le management de la solution Pineappli. Standard international pour renforcer la confiance des acteurs du numérique, la norme ISO 27001 est également synonyme de fiabilité et de compétitivité. Cette certification est révélatrice de notre sérieux et de notre niveau de compétence en matière de sécurité des systèmes d’information.
• Respect de la norme RGPD et technologie parfaitement conforme à l’état de l’art.
• Application au règlement européen eIDAS de juillet 2014 et de la loi monégasque de décembre 2019 « Pour une Principauté numérique ».
• La conformité de Pineappli en matière de cryptographie a également été validée par la société ADACIS, elle-même certifiée PASSI (1) par l’ANSSI (2).
(1) PASSI : Prestataire d’audit en sécurité des systèmes d’informations
(2) ANSSI : Agence Nationale de sécurité des systèmes d’informations
• Une certification est également en cours avec l’AMSN (3), pour l’archivage électronique, le coffre-fort électronique et la numérisation à valeur probante et ce en conformité avec la loi monégasque de décembre 2019.
(3) AMSN : Agence Monégasque de Sécurité Numérique

Deux conséquences majeures pour les entreprises grâce à l’application stricte des lois :
• En cas de conflit, Pineappli permet d’apporter les preuves demandées : un gestionnaire de preuves très précieux !
Pineappli peut être vu comme un Prestataire de Services de Gestion de la Preuve dans la mesure où il intègre en particulier l’ensemble des services directement liés aux environnements de confiance. Pineappli est ainsi capable de délivrer un parcours digitalisé riche qui couvre tous les besoins des clients dans le strict respect de la conformité. Son système de traçabilité à valeur probante (voir gestion des journaux plus avant) permet le cas échéant d’apporter la preuve de l’exécution de chaque action référencée, quand et par quel utilisateur.

• Pineappli est une des rares sociétés à faire de la numérisation à valeur probante : à savoir suppression du papier après numérisation des documents !
La solution Pineappli dispose d’un dispositif de numérisation valeur probante conforme à la loi de décembre 2019 « pour une Principauté numérique » qui permet de s’affranchir de la conservation du papier après numérisation. Cette dernière doit être réalisée dans le respect des conditions requises et l’on doit s’assurer que la conservation des documents numérisés répond elle-même aux conditions de l’archivage électronique à valeur probante,
ce qui est le cas pour les coffres-forts de Pineappli.

Notre brevet a été déposé par Monsieur Jean-Marc Rietsch le 8 juin 2015, traitant de la « sécurisation de données numériques »,
portant le n° d’enregistrement national 15 01179 et européen 3304409 et délivré le 7 avril 2020 aux États-Unis sous le n° 10,614,230.

Ce brevet est un véritable gage de sérieux et d’innovation pour les utilisateurs.

HDS

Héberger des données de santé (HDS), un gage de qualité pour sécuriser les données de santé.
Les données personnelles de santé sont des données particulièrement sensibles. Leur accès est ainsi encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.

“Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.”

La certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services Cloud qui hébergent les données de santé personnelles régies par les lois françaises et collectées pour fournir des services de prévention, diagnostic, et autres services de santé. La réglementation HDS a été émise par ASIP SANTÉ qui, sous l’égide du Ministère français de la Santé, est responsable de la promotion des solutions de santé électroniques en France.

L’hébergement des données relatives à la santé est régi par la loi Française et le Code de la Santé Publique Français (Article L.1111-8), qui stipule que tout organisme de santé (hôpitaux, entreprises pharmaceutiques, laboratoires) qui gère des données médicales personnelles doit utiliser un fournisseur de services certifié HDS.
La certification HDS exige que les fournisseurs de services adoptent des mesures qui assurent la sécurité, la confidentialité et l’accessibilité des données personnelles sur la santé pour les patients. Ces mesures incluent des procédures d’authentification et d’autorisation puissantes, des systèmes de sauvegarde fiables et de puissantes méthodes de chiffrement. HDS spécifie également des dispositions impératives devant être incluses dans les contrats avec le fournisseur de services Cloud. Ces exigences s’appliquent quel que soit l’emplacement de stockage des données.
Tout comme l’ISO 27001, cette certification ne peut être obtenue que par l’intervention d’organismes accrédités.
Elle donne lieu à une remise de certificat par l’organisme certificateur et l’utilisation d’un logo qui permet de vérifier la réalité de cette certification.
La société apparaît également dans la liste des organismes certifiés sur le site de l’ASIP Santé.

eiDAS

Le respect des exigences de la norme EN 319-401, permet d’apporter une présomption de conformité aux exigences du règlement européen eIDASchapitre III SERVICES DE CONFIANCE et article 24, « Exigences applicables aux prestataires de services de confiance qualifiés » et en particulier :

  • L’utilisation de systèmes et produits fiables, sécurité et fiabilité des processus
  • Disposer d’un plan d’arrêt d’activité des services proposés par le prestataire

Le fait d’être prestataire de services de confiance qualifié apporte une présomption de fiabilité des services proposés. Cela signifie qu’en cas de litige, ce sera à l’entreprise mettant en cause la solution de démontrer que le service n’a pas été rendu selon les exigences requises.
Contrairement à la situation plus courante où en cas de contestation, c’est à la société incriminée de démontrer la qualité du service rendu. C’est ce qu’on appelle le renversement de la charge de la preuve.

Cette certification, elle aussi, ne peut être obtenue que par l’intervention d’organismes accrédités qui plus est reconnus par l’organe de contrôle nationale au sens EIDAS du terme, à savoir l’AMSN pour Monaco et l’ANSSI pour la France.
Elle donne lieu à une remise de certificat par l’organisme certificateur et l’utilisation d’un logo qui permet de vérifier la réalité de cette certification.