Registre National du Cancer

Charte de Sécurité
Du Système d’Information

Version 3.4 du 04/11/2014

Version approuvée par Madame la Ministre de la Santé le 24/02/2015

Registre National du Cancer Luxembourg

1ab rue Thomas EDISON
L - 1445 STRASSEN - LUXEMBOURG
 Charte de sécurité du système d’information

Sommaire

1. Préambule ................................................................................................................................................. 3
2. Objet de la Charte de Sécurité du RNC ..................................................................................................... 3
3. Engagements............................................................................................................................................. 4
3. 1 Engagements du L.I.H......................................................................................................................... 4
3.2. Engagements des collaborateurs ....................................................................................................... 4
4. Dispositions de la Charte Sécurité du RNC .............................................................................................. 5
Article I. Champ d’application ................................................................................................................... 5
Article II. Conditions d'utilisation du système d'information ................................................................... 5
Section II.1. Règles de base ................................................................................................................... 5
II.1.1. Conditions d'accès physique au RNC ...................................................................................... 5
II.1.2. Isolation des composants critiques du système d’information du RNC ................................. 5
II.1.3. Conditions d’accès des collaborateurs ................................................................................... 6
II.1.4. Informations individuelles concernant le collaborateur......................................................... 6
II.1.5. Respect du caractère confidentiel des informations .............................................................. 6
Section II.2. Utilisation professionnelle / privée ................................................................................... 7
Section II.3. Utilisation acceptable d’internet, des e-mails et autres canaux et moyens de
communication ..................................................................................................................................... 7
Section II.4. Continuité des activités : gestion des entrées, absences et des départs ......................... 7
Section II.5. Conformité aux règlements et lois en vigueur .................................................................. 8
II.5.1. Respect de la propriété intellectuelle ..................................................................................... 8
II.5.2. Respect de la politique de sécurité HEALTHNET / Agence e-Santé ....................................... 8
Article III. Principes de sécurité................................................................................................................. 8
Section III.1. Règles de sécurité applicables ......................................................................................... 8
Section III.2. Devoirs de signalement et d'information ...................................................................... 10
Section III.3. Mesures de contrôle de la sécurité................................................................................ 10
Article IV. Journalisation des accès ......................................................................................................... 10
Article V. Demande d’accès à des données agrégées ou à des résultats ............................................... 10
Article VI. Protection des patients .......................................................................................................... 11
Article VII. Protection des sources .......................................................................................................... 12
Article VIII. Archivage des données......................................................................................................... 12
Article IX. Transmission des données électroniques vers le RNC ........................................................... 12
Article X. Publication des résultats ......................................................................................................... 13
Article XI. Signature d’un engagement de confidentialité ...................................................................... 13
Article XII. Réalisation d’un audit de sécurité ......................................................................................... 13
Article XIII. Mise en place de procédures internes au RNC..................................................................... 14
Article XIV. Garantie de la pérennité d’exploitation des données ......................................................... 14
Article XV. Démonstration publique du RNC .......................................................................................... 14
Article XVI. Limitation des usages et sanctions des abus........................................................................ 14
Article XVII. Entrée en vigueur de la charte ............................................................................................ 15

2 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

1. Préambule
La présente Charte de Sécurité du Registre National du Cancer (RNC) fait partie intégrante du règlement
interne du RNC. Elle est inscrite dans le règlement grand-ducal sur le RNC, et de ce fait s’applique au
périmètre du RNC y défini. Elle a fait l’objet d’une approbation par le Ministre de la Santé avant sa mise
en application.

Les bases légales de l’enregistrement des données sur les cancers sont le règlement grand-ducal du 18
avril 2013 déterminant les modalités et conditions de fonctionnement du registre national du cancer,
publié au Mémorial A – N°79 du 29 avril 2013, ainsi que la loi modifiée du 2 août 2002 relative à la
protection des personnes à l'égard du traitement des données à caractère personnel.
Les raisons pour lesquelles la collecte des données sur les cancers est réalisée sont clairement définies
dans le règlement grand-ducal sur le RNC.
Les organismes notifiant les cas de cancers sont habilités à le faire par le règlement grand-ducal sur le
RNC.

La Charte de Sécurité du RNC a pour objectif principal de protéger de manière permanente la

confidentialité des données à caractère personnel du patient même après sa mort, ainsi que les données
relatives à la source de données. Le principe de confidentialité s’applique tant aux données nominatives
qu’aux autres données collectées dans le cadre du RNC, quel que soit le mode d’archivage ou le mode
de transmission.

Le Luxembourg Institute of Health (L.I.H.) (anciennement Centre de Recherche Public de la Santé (CRP-
Santé)) a été désigné par le Ministre de la Santé en tant qu’institution responsable du RNC. Le L.I.H. est
responsable de la sécurité du traitement des données et du respect de la confidentialité, au sens de la
loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données
à caractère personnel (article 22).
Il délègue cette mission au responsable opérationnel du RNC, qui est sous contrat de travail avec le
L.I.H.

2. Objet de la Charte de Sécurité du RNC

La présente charte définit de ce fait les règles d’usages, de sécurité et de confidentialité du système
d’information du Registre National du Cancer (RNC) que le L.I.H. et ses collaborateurs s’engagent à
respecter. Elle abordera les mesures de sécurité particulières mises en place au sens de l’article 23 de
la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données
à caractère personnel ainsi que la protection de la confidentialité des données. Elle précise les droits et
devoirs de chacun.

Par « système d'information » s’entend l’ensemble des moyens matériels, logiciels, applications,
bases de données et réseaux de télécommunications, pouvant être mis à disposition par le L.I.H.
ou ses partenaires dans le cadre du RNC. L’informatique nomade (clés USB, assistants personnels,
ordinateurs portables, téléphones mobiles, etc.) est également un élément constitutif du système
d'information.

3 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Le terme « partenaire » désigne une institution ou une personne physique participant à

l’exécution des missions du RNC, dont les sources de données, les membres des comités et des
groupes de travail mis en place dans le cadre du RNC.

Le terme « source » désigne un partenaire fournisseur de données pour le RNC : hôpitaux,

Laboratoire National de Santé, Caisse Nationale de Santé, Direction de la Santé Programme de
dépistage et service des statistiques, Centre de radiothérapie François Baclesse, le Régime
Commun d’Assurance Maladie des Communautés Européennes, le Contrôle Médical de la
Sécurité Sociale. En accord avec les dispositions de l’article 2(1)3, du règlement grand-ducal
précité, une convention de transfert de données est signée entre la source et le L.I.H., avant tout
transfert de données de la source vers le RNC. Les médecins intervenant dans le traitement du
patient sont considérés comme des sources soit indirectement lorsqu’ils ont un agrément ou un
contrat de travail avec une des sources, soit directement lorsqu’ils ont signé une convention de
transfert de données avec le L.I.H.

Le terme « collaborateur » désigne toute personne ayant accès, dans le cadre de l’exercice de son
activité professionnelle, aux ressources du système d'information du RNC quel que soit son statut.
Il s’agit notamment de :
 Tout personnel affecté au RNC employé par le L.I.H. ou par les partenaires du RNC :
responsable du département de santé publique, responsable scientifique du RNC,
responsable opérationnel du RNC, épidémiologiste, statisticien, data manager,
informaticien, stagiaire, étudiant, chercheur, invité, personnel externe (collaborateur
scientifique, partenaire, etc.) concourant à l’exécution des missions du RNC ;
 Tout prestataire ayant un contrat avec le L.I.H. ou ses partenaires, typiquement la société
LINKS qui fournit la solution MoviBase ou les experts scientifiques du registre.

Le bon fonctionnement du système d’information suppose le respect des dispositions législatives et

réglementaires concernant la sécurité, la performance des traitements et la conservation des données.
Cette Charte de Sécurité du Système d’Information s'applique à l'ensemble de la chaîne du système
d'information du RNC depuis la source jusqu’à son traitement final.

3. Engagements

3. 1 Engagements du L.I.H.
Le L.I.H. met en œuvre toutes les mesures nécessaires pour assurer la sécurité du système d’information
du RNC et la protection des données des patients et des sources.
Le L.I.H. et ses partenaires contrôlent l’accès des collaborateurs aux ressources du système d'information.
Les ressources mises à leur disposition sont obligatoirement destinées à un usage strictement
professionnel. Une utilisation même ponctuelle du système d’information à titre privé ne saurait être
tolérée.

3.2. Engagements des collaborateurs

Le collaborateur est responsable, en tout lieu, de l'usage qu’il fait du système d'information auquel il a
accès. Il a une obligation de réserve et de confidentialité à l’égard des informations et documents auxquels
il accède. Cette obligation implique le respect des règles d’éthique professionnelle et de déontologie, ainsi

4 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

que de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des
données à caractère personnel.
En tout état de cause, le collaborateur est soumis au respect des obligations résultant de son statut ou de
son contrat.
Afin de sensibiliser et responsabiliser le collaborateur à son obligation de confidentialité spécifique dans
le cadre de sa mission au sein du RNC, il lui est demandé de signer un formulaire de confidentialité en
complément du contrat qui le lie au L.I.H. Cet engagement reste en vigueur après la rupture de contrat
entre le collaborateur et le L.I.H. Le collaborateur s’engage dans ce formulaire à ne pas divulguer de
données ou informations confidentielles aux personnes non autorisées.
Lors de son engagement en tant que collaborateur au sein du RNC, il bénéficie de la part du responsable
opérationnel du RNC d’une formation, entre autre relative à la sécurité des données, au respect de la
confidentialité, au devoir de protection des données à caractère personnel des patients et des sources, et
aux procédures inhérentes à ces aspects.
Le collaborateur bénéficie également d’une formation continue relative à la sécurité organisée suivant un
cycle annuel par le L.I.H., en collaboration avec la Commission Nationale pour la Protection des Données
(CNPD).

4. Dispositions de la Charte Sécurité du RNC

Article I. Champ d’application
Les règles d'usage et de sécurité figurant dans la présente charte s'appliquent à l’équipe en charge de la
gestion du RNC ainsi qu'à l’ensemble des collaborateurs au sein des partenaires externes du L.I.H.

Article II. Conditions d'utilisation du système d'information

Section II.1. Règles de base

II.1.1. Conditions d'accès physique au RNC

Le RNC est situé dans l’enceinte du L.I.H. et de ce fait bénéficie de toutes les mesures de sécurité physiques
applicables à l’ensemble des activités du centre de recherche. Les bâtiments sont accessibles par badge
essentiellement. Les badges sont attribués par territoire d’accès (modules géographiques), par le service
QSE (Qualité – Sécurité – Environnement) sur demande du service de ressources humaines, en fonction
du contrat du collaborateur avec le L.I.H. et donc du lieu de travail.
Les locaux attribués au RNC bénéficient de portes fermées à clé, dont disposent les personnels affectés
au RNC. Les locaux du RNC bénéficient d’un système de mise sous alarme en dehors des heures
d’ouverture du L.I.H.
Les documents relatifs au RNC faisant l’objet de confidentialité sont stockés dans des armoires fermées
et archivés ensuite dans un local fermé à clé, sous surveillance électronique, dont l’accès est réservé à un
nombre limité de collaborateurs enregistrés.

II.1.2. Isolation des composants critiques du système d’information du RNC

Le service de pseudonymisation, la base de données du RNC et le serveur d’application permettant l’accès

à cette base de données sont des composants critiques du système d’information du RNC.
La base de données utilisée par le service de pseudonymisation ne se trouve pas physiquement au L.I.H.
mais est hébergée par un prestataire externe et n'est pas accessible depuis Internet.

5 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Les autres composants sont isolés du réseau informatique du L.I.H. et sont placés dans un VLAN dédié.

Le poste client d'un utilisateur autorisé se connecte via un Virtual Private Natwork (VPN) à un serveur
d'applications situé dans le VLAN Registre sécurisé. Une Gateway spécifique contrôle l'ouverture du VPN
et nécessite une authentification forte. Un pare-feu contrôle les types de trafic autorisés ou non.

Le poste de l’utilisateur du RNC se connectera sur une passerelle sécurisé. Cette passerelle lui permettra
d’exécuter un bureau virtuel se trouvant dans le VLAN Registre sécurisé. Aucun échange autre que
l’affichage du bureau virtuel sur l’écran du poste de l’utilisateur n’est autorisé. Ce bureau virtuel ne
permet pas la communication vers l’extérieur. L’utilisateur du RNC ne pourra donc pas réaliser d’échange
entre son poste et le bureau virtuel.

Une passerelle d'échange humainement contrôlée et donc les accès sont historisés permettra le transfert
de données entre le VLAN Registre sécurisé et le réseau du L.I.H.

II.1.3. Conditions d’accès des collaborateurs

Le droit d'accès d'un collaborateur aux ressources informatiques est soumis à autorisation. Ce droit est
personnel et incessible. Il disparaît dès qu’il ne remplit plus les conditions qui lui ont autorisé l'accès. Le
responsable opérationnel du RNC a la responsabilité d’attribuer les droits d’accès qui sont ensuite mis en
œuvre par l’informaticien affecté au RNC.
Les droits d’accès sont régis selon la fonction occupée par le collaborateur dans le RNC. Un tableau des
fonctions possibles et des droits d'accès y associés est tenu par le responsable opérationnel.
Les droits d’accès au système d’information du RNC sont établis selon divers rôles possibles :
 Consultation exclusive des données,
 Insertion de données,
 Modification de données,
 Suppression de données.

II.1.4. Informations individuelles concernant le collaborateur

Lors de sa demande d’accès au système d’information, chaque collaborateur est tenu de fournir des
informations valides : adresses personnelle et/ou professionnelle, numéro de téléphone,
établissement/institution de rattachement, etc. permettant de le contacter en cas d’incident
informatique. Il s’engage à notifier toutes modifications de ces informations.

II.1.5. Respect du caractère confidentiel des informations

En l’absence d’une autorisation explicite, toute tentative d’accès à des informations confidentielles par le
collaborateur en dehors de celles établies par le caractère de son poste est considérée comme illicite et
peut faire l’objet de sanctions disciplinaires pouvant aller jusqu’au licenciement au sein de l’institution
responsable du RNC ou de rupture de contrat pouvant aller jusqu’à une action en justice devant un
tribunal compétent s’il s’agit d’un partenaire externe. Elle peut aussi être considérée comme infraction
pénale pouvant être dénoncée auprès des instances compétentes sur base des dispositions légales
applicables en matière de secret professionnel, d'infractions en matières informatiques et de protection
des données à caractère personnel.

6 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Section II.2. Utilisation professionnelle / privée

Le système d’information est destiné à des usages professionnels conformes aux missions du RNC (gestion
du registre, recherche, valorisation, administration).

L’utilisation résiduelle du système d'information du RNC à titre privé est strictement interdite.

Section II.3. Utilisation acceptable d’internet, des e-mails et autres canaux et moyens
de communication

L’accès internet, les e-mails, le téléphone, le fax ainsi que tous les autres canaux et moyens de
communication doivent être utilisés à des fins professionnelles et de manière sûre, éthique et conforme
à la Loi. Leur utilisation doit être conforme aux missions du RNC.

L’usage de tout moyen de communication doit faire l’objet d’attention particulière notamment vis-à-vis
des risques suivants.
 Perte de confidentialité lors de l’envoi d’un e-mail ou d’un fax,
 Réception d’e-mails contenant des liens internet malicieux ou des virus,
 Sollicitations mal intentionnées,
 Ect.

L’envoi de messages électroniques à des tiers obéit aux mêmes règles que l’envoi de correspondances
postales, en particulier en termes d’organisation hiérarchique et de respect des autorisations de
signature.
L’utilisation de logiciels de messagerie instantanée ou de partage de fichiers « peer to peer » n’est pas
autorisée sur le VLAN Registre sécurisé.
L’utilisation de solution dites de « stockage cloud » (exemples : DropBox, SkyDrive, Google Drive, etc.) est
interdite. Le transfert de fichier volumineux vers des tiers peut être accompli avec des services proposés
par le HelpDesk du L.I.H. en fonction du besoin.

Section II.4. Continuité des activités : gestion des entrées, absences et des départs

Aux seules fins d’assurer la continuité des activités du RNC, le responsable opérationnel du RNC gère les
droits d’accès au système d’information en cas de départ d’un collaborateur, d’arrivée d’un nouveau
collaborateur, et de remplacement d’un collaborateur en cas d’absence prolongée.
Le responsable opérationnel et l’informaticien sont tenus de conserver une traçabilité de tous les accès
qui ont été donnés aux collaborateurs du RNC dans un tableau reprenant : l’identité du collaborateur, la
fonction occupée par le collaborateur, le type de droits d’accès, la date d’attribution des droits d’accès, la
date de clôture des droits d’accès.
Tout changement de fonction d’un collaborateur au sein du RNC entraînera une modification de ses droits
d’accès et un enregistrement de ces changements dans le tableau de traçabilité.
Le responsable opérationnel et l’informaticien affecté au RNC sont tenus d’archiver le tableau de
traçabilité de telle manière qu’il puisse être produit lors de tout contrôle demandé par le Comité de
Surveillance du RNC ou par toute autre instance externe habilitée.

7 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Section II.5. Conformité aux règlements et lois en vigueur

II.5.1. Respect de la propriété intellectuelle

Le L.I.H. rappelle que l’utilisation des ressources informatiques du RNC implique le respect des droits de
propriété intellectuelle ainsi que ceux de ses partenaires et plus généralement, de tout tiers titulaire de
tels droits. En conséquence, chaque collaborateur doit :

 Utiliser les logiciels dans les conditions des licences souscrites (notamment effectuer les
éventuelles copies de données ou exports de manière strictement conforme aux dispositions
prévues) ;
 Ne pas reproduire, copier, diffuser, modifier ou utiliser tout document numérique ou données
protégées par le droit d’auteur ou un droit privatif, sans avoir obtenu préalablement l’autorisation
des titulaires de ces droits ;

II.5.2. Respect de la politique de sécurité HEALTHNET / Agence e-Santé

«La plateforme télématique dédiée au secteur de la santé» HEALTHNET fournit une connectivité nationale
aux établissements de cette communauté à laquelle appartient le L.I.H. Les règles d’usage d’HEALTHNET
(réseau réservé à une utilisation professionnelle) sont définies par une politique de sécurité qui s’impose
à tous les collaborateurs.
(http://www.sante.public.lu/fr/travailler-sante-social/healthnet/services-healthnet/hnl-security-policy-
fr.pdf )
Le L.I.H. s’engage à adopter toute nouvelle politique de sécurité discutée et négociée avec l’Agence e-
Santé pendant la durée d’exploitation du RNC.

Article III. Principes de sécurité

Section III.1. Règles de sécurité applicables

Le L.I.H. met en œuvre les mécanismes de protection appropriés sur le système d'information mis à la
disposition des collaborateurs. Même dans les cas où le collaborateur ne se trouve pas au sein des locaux
du L.I.H., il doit suivre la politique de sécurité de l’établissement.

Le collaborateur est informé que les mots de passe constituent une mesure de sécurité destinée à éviter
toute utilisation malveillante ou abusive. Cette mesure ne confère pas aux outils informatiques protégés
un caractère personnel.
Les niveaux d'accès ouverts au collaborateur sont définis en fonction de la mission qui lui est conférée.
La sécurité du système d'information mis à sa disposition lui impose :

 de respecter les consignes de sécurité, notamment les règles relatives à la gestion des mots de
passe;
 de garder strictement confidentiels son (ou ses) mot(s) de passe et ne pas le(s) dévoiler à un tiers;
 de respecter la gestion des accès, en particulier ne pas utiliser les mots de passe d’un autre
collaborateur, ni chercher à les connaître;
 d’utiliser des mots de passe différents pour accéder à des environnements différents (Connexion
à son PC, connexion au registre MoviBase…);

8 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

 Le choix d’un mot de passe non trivial et son changement en cas de doute, notamment lorsqu'il a
été utilisé à partir d'un poste connecté à un réseau extérieur non sécurisé, est une obligation pour
le collaborateur. Le choix d’un mot de passe doit respecter la politique du mot de passe de la
Charte sécurité du L.I.H.

La connexion par le Virtual Private Network à la base de données du RNC et aux autres composants
critiques du système d’information du RNC est soumise à une authentification forte reposant sur 3
éléments : l’accès depuis un poste client autorisé, l’utilisation d’un token digipass à mot de passe unique,
un compte utilisateur (login + mot de passe) autorisé.

Le responsable opérationnel du RNC et l’informaticien affecté au RNC mettent en place une procédure
interne spécifique pour gérer des situations exceptionnelles et ponctuelles d’accès aux données du RNC
gérées par un collaborateur. Cette procédure prévoit l’intervention obligatoire d’au moins un tiers, dont
obligatoirement le responsable hiérarchique du collaborateur concerné, et la documentation de la
situation pour en assurer la traçabilité.

Par ailleurs, et conformément à la charte de sécurité, la protection des ressources mises à la disposition
du collaborateur nécessite l’application d’un certain nombre de règles élémentaires :

De la part du L.I.H. et de l’établissement partenaire:

 veiller à ce que les ressources sensibles ne soient accessibles qu’aux personnes habilitées, en
dehors des mesures d’organisation de la continuité des activités mises en place ;
 limiter l'accès aux seules ressources pour lesquelles le collaborateur est expressément habilité ;

De la part du collaborateur:

 ne pas abuser des ressources informatiques auxquelles il a accès et être attentif à celles dont il a
la responsabilité ;
 ne pas tenter d'accéder à des ressources du système d'information et aux communications entre
tiers pour lesquelles il n'a pas reçu d'habilitation explicite ;
 ne pas rendre accessibles à des tiers les services qui lui sont offerts dans le cadre de son activité;
 ne pas connecter aux réseaux locaux des équipements non autorisés par le L.I.H. ou son
établissement ; la connexion à la base de données du RNC et aux autres composants critiques du
système d’information du RNC nécessite l’accès depuis un poste client autorisé et ne permet donc
pas l’accès à des équipements non autorisés ;
 ne déposer des données relatives au RNC (pour lesquelles a été identifié un besoin direct ou
indirect de confidentialité) en dehors du système d’information du RNC qu’en accord avec la
procédure d’exportation des données et la procédure de diffusion des résultats;
 se conformer aux dispositifs mis en place par chaque établissement concernant les règles de
sécurité ;
 assurer la protection des informations sensibles du RNC et ne pas les transporter sans chiffrement
sur des supports mobiles (ordinateurs portables, clés USB, disques externes, etc.) ;
 ne pas quitter son poste de travail, a fortiori un ordinateur en libre-service, sans se déconnecter
ou verrouiller sa session par un mot de passe, même lorsque la session se verrouille
automatiquement.

9 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Section III.2. Devoirs de signalement et d'information

Le L.I.H. doit porter à la connaissance du collaborateur les éléments susceptibles de lui permettre
d’apprécier le niveau de risque encouru dans l’utilisation du système d’information (ci-présente charte de
sécurité, avis et alertes de sécurité, notes spécifiques, etc.).

Le collaborateur doit avertir le responsable Qualité du L.I.H. dans les meilleurs délais en cas de découverte
d’une anomalie affectant le système d’information, notamment une intrusion ou une tentative d’accès
illicite à son propre compte. Le collaborateur doit se référer à la procédure « Management of
Unanticipated Problems CESP - SOP – QA20_00 ».

Section III.3. Mesures de contrôle de la sécurité

Le collaborateur est informé :

 que pour effectuer la maintenance corrective, curative ou évolutive, le L.I.H. se réserve la
possibilité de réaliser des interventions (le cas échéant à distance) sur les ressources mises à sa
disposition ;
 qu'une intervention à distance sur le poste de travail du collaborateur est précédée d'une
information de ce dernier;

Le L.I.H. informe le collaborateur que le système d’information peut donner lieu à une surveillance et un
contrôle à des fins statistiques, de traçabilité, d’optimisation, de sécurité ou de détection des abus, dans
le respect de la législation applicable.
Les personnels chargés des opérations de contrôle du système d’information sont soumis à l’obligation
de discrétion.

Article IV. Journalisation des accès

Le L.I.H. mettra en place un système de journalisation des accès aux bases de données du RNC, de ses
logiciels et aux caractéristiques des données échangées.
La gestion de ces journaux informatiques de type journaux de log, journaux d’évènements (finalités,
contenus, traitements, droits d’accès, destinataires, délais de conservation…) sera conforme aux règles
énoncées dans une procédure spécifique et à leur déclaration auprès de la CNPD.

Article V. Demande d’accès à des données agrégées ou à des résultats

La base de données du RNC ou un extrait de cette base de données n’est pas transférable à un tiers, même
s’il s’agit d’une source.

La fourniture de données non agrégées anonymisées extraites du RNC est strictement encadrée. Les
organisations internationales (Organisation Mondiale de la Santé, IARC, OCDE,…) peuvent recevoir des
données non agrégées extraites du RNC. Le L.I.H. assure le transfert des données, selon une procédure
officielle, et après avoir demandé l’autorisation de transfert des données et reçu un accord écrit du
Ministère de la Santé.

Afin de garantir une utilisation des données agrégées et des résultats issus du RNC à des fins de santé
publique dans des conditions optimales, le L.I.H. a mis en place deux formulaires de demande accessibles

10 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

sur le site Internet www.rnc.lu: le 1er formulaire concerne les demandes de résultats complémentaires
issus du RNC par une source, le 2ème formulaire concerne les demandes de données agrégées ou de
résultats dans le cadre d’une étude ou d’un projet de recherche.

Tout demandeur de données agrégées ou de résultats en provenance du RNC adresse sa demande aux
responsables scientifique et opérationnel du RNC, conformément à la procédure de diffusion des
résultats, définie par le Comité Scientifique.

Si cette demande est prévue dans le catalogue des résultats, défini par le Comité Scientifique, les résultats
peuvent être mis à disposition du demandeur sans autre formalité qu’une information du Comité
Scientifique.

S’il s’agit d’une demande spécifique non prévue dans le catalogue de résultats, cette demande est revue
par le Comité Scientifique du RNC, ainsi que par le Comité de Surveillance, pour avis.

S’il s’agit d’un projet de recherche, le demandeur doit fournir un avis positif du Comité National d’Ethique
de Recherche (CNER), et une notification ou une autorisation de l'instance nationale compétente en
matière de protection des données en accord avec la législation applicable.

Si un avis favorable est donné par le Comité Scientifique, et que tous les autres éléments requis sont
fournis, le demandeur est autorisé à venir traiter des données individuelles anonymisées au sein des
locaux du L.I.H., afin de produire les données agrégées ou les résultats faisant l’objet de sa requête. Il
bénéficie ainsi de l’encadrement de l’équipe du RNC. Il doit s’engager par écrit à ne pas copier les données
mises à sa disposition et à ne pas les diffuser.

Il n’est jamais fourni au demandeur un accès total à la base de données du RNC. Seules les données
utiles pour répondre à sa requête sont extraites de la base de données du RNC et sont rendues
accessibles au demandeur dans un fichier sécurisé. Le responsable opérationnel du RNC est chargé de
vérifier le contenu du fichier en regard de la requête, de l’avis du Comité Scientifique et du Comité de
Surveillance, et de s’assurer de l’anonymisation des données, avant de mettre à disposition le fichier de
données au demandeur.

Avant de pouvoir être publiés à quelque niveau que ce soit, les résultats obtenus par le demandeur sur
les données agrégées ou les résultats issus du RNC doivent être validés par les responsables scientifique
et opérationnel du RNC. Le demandeur donne son accord sur ce principe avant de pouvoir accéder au
fichier de données.

Article VI. Protection des patients

Seules les données prévues au règlement grand-ducal concernant le RNC sont incluses dans la base de
données du RNC gérée par le L.I.H. Ces données sont envoyées au L.I.H. par la source selon un protocole
d’exportation sécurisé.

Une méthode de pseudonymisation a été mise en place afin de garantir la confidentialité, la sécurité et
l’anonymat des données reçues par le RNC. Pour ce faire, les données personnelles identifiantes du
patient (Nom, prénom, matricule national) ne sont jamais envoyées par les sources au RNC, mais c’est un

11 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

pseudonyme d’identification du patient, commun à toutes les sources, qui est envoyé au RNC en même
temps que les données Patient propres à chaque source, et prévues au règlement grand-ducal.
Cette méthode permet au RNC de lier les données Patient provenant de différentes sources, tout en
protégeant les données personnelles identifiantes du patient.

La base de données du RNC est hébergée sur un serveur sécurisé séparé de celui qui abrite le logiciel de
pseudonymisation.

Le L.I.H. assure une mise en conformité de la méthode de pseudonymisation mise en place, avec la norme
ISO/TS 25237 « Health informatics – Pseudonymisation ».

Article VII. Protection des sources

Afin de garantir aux sources, et notamment aux médecins, une protection de leurs données, il est attribué
à chaque source un identifiant unique RNC, qui permet de publier les résultats selon les sources.
Le responsable opérationnel du RNC est responsable de l’attribution des identifiants aux sources. Il
conserve la table de correspondance dans un fichier sécurisé. Il en assure la maintenance, notamment en
ce qui concerne les entrées et sorties des sources.
Seul le responsable opérationnel du RNC et l’informaticien affecté au RNC ayant à mettre en œuvre les
identifiants des sources, sont habilités à avoir accès à la table de correspondance des sources.

Article VIII. Archivage des données

Les données électroniques du RNC sont archivées dans un répertoire sécurisé sur un serveur d’archivage
situé au L.I.H. Les données archivées seront cryptées. Le code de décryptage sera maintenu dans le coffre-
fort du Département de Santé Publique. La procédure de décryptage des données archivées prévoit que
seul l’informaticien et le responsable opérationnel du RNC soient conjointement habilités à utiliser le code
de décryptage.
L’accès au répertoire de ce serveur est contrôlé et son accès est limité. Le serveur se trouve situé dans la
salle de serveurs du L.I.H., ses données sont sauvegardées journalièrement, répliquées sur un autre
serveur situé dans un autre bâtiment, et leurs accès est tracé. Les procédures générales de sécurité
informatique applicables à la salle des serveurs du L.I.H. s’appliquent aussi au serveur du RNC.

Les données transmises sur support papier au RNC seront saisies dans la base de données du RNC puis
scannées et archivées électroniquement avec protection par un mot de passe. Le document papier sera
détruit à l’issue de ce travail par une solution de destruction de document confidentiel.

Article IX. Transmission des données électroniques vers le RNC

Les données sont transmises par les sources au RNC, dans la grande majorité des cas par voie électronique,
sur base d’un protocole d’exportation défini par le responsable opérationnel du RNC avec chacune des
sources. Le protocole précise le type de données transmises et leur format, ainsi que la fréquence de
transmission. Quelle que soit la source, la confrontation des données en provenance de plusieurs sources
se fera essentiellement dans les locaux du RNC afin d’optimiser la sécurité des données.
Un accusé de réception des données est renvoyé à la source afin de statuer sur le bon déroulement de la
transmission des données au RNC et leur validité.

12 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Lors de la transmission, les données seront transmises par le biais de protocoles sécurisés qui seront
qualifiés en fonction de chaque source. Ces protocoles sécurisés seront toujours en conformité avec un
modèle de chiffrement asymétrique reposant sur une architecture de type PKI (Public Key Infrastructure).
En cas de questions quant aux données transmises par la source au RNC, l’équipe du RNC, afin de garantir
la confidentialité, soit se rendra sur place pour élucider la question avec la source ou contactera la source
par messagerie sécurisée sur une plateforme de communication dédiée.

Article X. Publication des résultats

Des règles de publication des résultats sont définies par le Comité Scientifique du RNC afin de publier les
résultats du RNC sans pouvoir reconnaître les patients et les sources. Pour s’assurer de cela, un Comité
de Surveillance a été mis en place qui a pour mission de contrôler l’application de ces règles de publication
des résultats. De principe, les résultats sont prioritairement divulgués sous forme agrégée.
De même, des règles ont été mises en place pour garantir la protection des médecins et des sources, tout
en garantissant la publication de résultats utiles pour la politique de santé publique et l’amélioration de
la qualité des soins.

Article XI. Signature d’un engagement de confidentialité

Dans le cadre des activités du RNC, plusieurs acteurs interviendront dans divers comités ou groupes de
travail sans être du personnel employé du L.I.H. Ils interviendront à titre d’expert. Pour l’exercice de leur
mission, ils auront accès à un certain nombre d’informations ou de résultats issus du RNC. Il leur sera
demandé de signer un engagement de confidentialité au même titre que les collaborateurs du RNC.
Cet engagement reste en vigueur même après résiliation de la fonction au sein d’un comité ou d’un
groupe.

Article XII. Réalisation d’un audit de sécurité

Le responsable opérationnel du RNC est chargé de veiller à l’application de la présente charte ainsi que
de toutes les procédures relatives au RNC. A ce titre, il contrôle de manière régulière l’application des
procédures par l’ensemble des collaborateurs du RNC. Il intervient dès qu’une déviance de procédure est
objectivée et prend les mesures nécessaires. Il déclare par écrit au Comité de Surveillance du RNC et au
comité des évènements indésirables du L.I.H. tout incident mettant en cause la confidentialité des
données du RNC. Il informe sur le champ, dès qu’il en a eu connaissance, le responsable du département
de santé publique ainsi que la direction du L.I.H. de tout dysfonctionnement majeur dans la sécurité ou
la protection de la confidentialité.

Le L.I.H. fera réaliser de manière régulière des audits sécurité du RNC afin de garantir aux patients et aux
sources, que les procédures de sécurité et de confidentialité mises en œuvre pour le RNC sont
fonctionnelles et efficaces.

L’audit sera réalisé sous deux formes :

 un audit interne annuel réalisé par les auditeurs internes du L.I.H. sous la guidance et la
supervision du coordinateur qualité de l’institution,
 un audit externe commandité à une société indépendante qualifiée en sécurité de
l’information, dont la fréquence est déterminée par le Comité de Gestion du RNC, sur avis du

13 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Comité de Surveillance. Un premier audit externe est obligatoirement réalisé à la fin de la

première année de transfert de données des sources vers le RNC.
Les rapports d’audit seront communiqués au Comité de Surveillance et au Comité de Gestion, assortis des
plans d’amélioration si cela s’avère nécessaire.

Article XIII. Mise en place de procédures internes au RNC

Afin d’optimiser la sécurité des données collectées dans le cadre du RNC, des procédures internes sont
développées permettant de guider les collaborateurs dans leurs activités. Ces procédures font partie
intégrante du manuel qualité du RNC. Elles font l’objet d’une formation pour tout nouveau collaborateur
qui part sa signature atteste en avoir pris connaissance et avoir pu poser toutes les questions y relatives.
Elles sont mises à jour régulièrement afin qu’elles soient cohérentes avec l’évolution technique du RNC.

Article XIV. Garantie de la pérennité d’exploitation des données

Afin de garantir une utilisation de long terme des données collectées dans le cadre du RNC, le responsable
opérationnel du RNC veillera à disposer d’un code book des variables avec ses évolutions dans le temps,
précisant les règles de codage.
D’autre part, la base de données sera dupliquée sur un deuxième serveur situé dans un autre bâtiment.
Une sauvegarde journalière de la base de données garantit la récupération des données du RNC en cas de
problème technique sur le serveur. Enfin, la base de données sera transférée dès que nécessaire sur de
nouveaux outils informatiques en fonction des évolutions dans le temps des technologies de
l’information, afin d’éviter une altération des données ou l’impossibilité de les utiliser en raison des
changements de supports.

Article XV. Démonstration publique du RNC

Afin de garantir la confidentialité des données du RNC, le responsable opérationnel développera avec son
équipe une base de données fictive sur un environnement test, qui permettra de faire des démonstrations
sur demande, du RNC mis en place au Luxembourg, sans pour autant présenter des données de patients.

Article XVI. Limitation des usages et sanctions des abus

En cas de non-respect des règles définies dans la présente charte, le L.I.H. pourra, sans préjuger des
poursuites ou procédures de sanctions pouvant être engagées à l’encontre des personnels, limiter les
usages par mesure conservatoire.
Tout abus dans l'utilisation des ressources mises à la disposition du collaborateur à des fins
extraprofessionnelles est passible de sanctions. Outre les sanctions pénales prévues par le code pénal et
les lois spéciales (amendes et/ou emprisonnement), les personnels encourent des sanctions disciplinaires
conformément aux dispositions législatives, règlementaires et statutaires en vigueur.

14 Version 3.4 du 4 novembre 2014_Version approuvée

 Charte de sécurité du système d’information

Article XVII. Entrée en vigueur de la charte

La charte de sécurité du système d’information fait partie intégrante du règlement interne du RNC.

La version 2.0 du 09/10/2013 de la charte a été soumise pour avis à la Commission Nationale pour la
Protection des Données (CNPD).

La présente version de la charte a été validée par le Comité de Gestion du RNC le 4 novembre 2014.

Elle a été approuvée par Madame la Ministre de la Santé en date du 24 février 2015 et est applicable à
cette date.

15 Version 3.4 du 4 novembre 2014_Version approuvée