4.2 - Confidentialité
4.2.1 Le laboratoire doit assurer la protection des informations confidentielles et des droits de propriété de ses clients, y compris de la transmission et du stockage électroniques des résultats.
4.2.2 Dans le cadre d’accords juridiquement exécutoires, le laboratoire doit être responsable de la gestion de toutes les informations obtenues ou générées au cours de ses activités. Le laboratoire doit indiquer au client, à l’avance, les informations qu’il a l’intention de rendre publiques. À l’exception des informations rendues publiques par le client, ou des cas convenus entre le laboratoire et le client (par exemple dans le but de répondre à des réclamations), toutes les autres informations sont considérées comme exclusives et doivent être traitées comme confidentielles.
4.2.3 Lorsque le laboratoire est tenu par la loi, ou autorisé par des dispositions contractuelles, à divulguer des informations confidentielles, le client ou la personne concernée doivent être avisés, sauf si la loi l’interdit, des informations fournies.
4.2.4 Les informations sur le client obtenues auprès de sources autres que le client lui-même (par exemple, plaignant, autorités réglementaires) doivent être confidentielles entre le client et le laboratoire. Le laboratoire doit préserver la confidentialité du fournisseur (source) de ces informations et son identité ne doit pas être divulguée au client, sauf accord de la source.
4.2.5 Le personnel, mais aussi tous les membres des comités, les contractants, le personnel d'organismes externes ou les personnes agissant pour le compte du laboratoire, doivent préserver la confidentialité de toutes les informations obtenues ou générées au cours des activités du laboratoire.
Cette exigence a été renforcée, notamment dans la communication avec le client lors d'analyses ou d'essais pouvant être utilisés et/ou demandés par des tiers (respect de la réglementation, conformité produit, contrefaçons, ..).
La confidentialité des résultats du laboratoire
doit être maintenue à tout moment.
Le Laboratoire dispose d'une politique de confidentialité qui
respecte les lignes directrices de l'engagement de la direction.
La politique comprend les garanties suivantes pour
s'assurer de la confidentialité des informations provenant des
clients ou sur les résultats d'essai:
Le personnel de laboratoire ne peut divulguer aucune information sur
les données obtenues sans le consentement préalable du
client sauf en cas de demande d'une instance réglementaire.
L'OEC doit préciser aux clients les données qu'il souhaite rendre publiques et avant tout commencement de la prestation.
Les clients ont le droit de s'attendre à ce que les informations fournies par eux, de manière confidentielle soient consignées/enregistrées avec la même rigueur, en toute confiance, et utilisées à leur profit et non divulguées ou divulguées sans leur autorisation. Les rapports/certificats ne peuvent être transmis à des tiers sans que le client soit informé de ce qui doit être divulgué, et donner son consentement librement, sans coercition.
Le devis devra faire mention de la diffusion éventuelle des résultats ou de données même partielles, le choix de l'OEC ou la décision du client devra être re-précisé dans la revue de contrat.
Exemple: aucune donnée ne sera diffusée à des tiers non concernés par cette prestation.
Le demandeur (client ou organisme représentant une instance réglementaire) doit s'identifier correctement (nom, N° de téléphone, organisme), et fournir des éléments qui puissent apporter la preuve de leur organisme d'appartenance et la légitimité "légale" de leur demande.
Les données transmises par des tiers autre que le client et en relation avec le client doivent être conservées confidentielles et ne pas être divulguées au client (sauf avec accord du tiers).
Les résultats peuvent être envoyés
par fax ou par Email sous condition qu'une convention de preuve ait
été établie entre le demandeur et l'organisme détenant
les résultats.
Tous les employés, stagiaires, auditeur externe, signent un accord
de confidentialité lors de leur prise de fonction (formulaire
dédié, définition de fonction, contrat de prestation..).
Les résultats sensibles, sont conservés physiquement dans
des lieux protégés et sur des serveurs sécurisés
(droit d'accès) en version numérique.
Des rapports des résultats des clients sont
envoyés par voie postale dans des enveloppes correctement scellées
et adaptées au contenu.
Les informations concernant les clients ne sont pas laissées
sans surveillance sur les imprimantes, les bureaux, etc.
Les écrans d'ordinateur sont protégés par des fonctionnalités
d'économiseur d'écran / temporisation et droit d'accès.
La technologie informatique basée sur l'accès en ligne et l'utilisation plus large de programmes a mis des applications informatiques et d'autres fonctions de traitement de données entre les mains des utilisateurs.
Cette amélioration de l'efficacité présente, un sérieux défi pour assurer une sécurité adéquate des données.
Les progrès informatiques n'ont pas été accompagnés d'une augmentation de la connaissance des utilisateurs quant à la vulnérabilité des données et de l'information à de telles menaces, telles que la modification, la divulgation et la destruction délibérée ou accidentelle non autorisée des données.
Tous les utilisateurs doivent être conscients
des attaques possibles pour compromettre l'intégrité d'un
système informatique et de comprendre qu'une utilisation confiante
dépend de l'intégrité du système.
Le personnel doit être sensibilisé à certaines mauvaises
pratiques qui peuvent dégradées ou vérolées
les données et l'information en général et l'OEC
proposera des solutions pratiques pour réduire l'exposition aux
différentes menaces.
La protection des données et des informations sous-entend un système d'information qui est sous la responsabilité de tous.
L'ensemble des acteurs y compris les utilisateurs des systèmes d'information ont chacun une participation personnelle dans la protection des données.
Le gestionnaire du réseau de l'OEC (service IT) doit fournir des contrôles de sécurité appropriés pour la protection des ressources d'information qui leur sont confiées.
Ils doivent sensibiliser le personnel sur la criticité des données et l'ampleur des pertes qui pourraient survenir si elles ne sont pas protégées.
Le service informatique doit s'assurer que tous les utilisateurs des données et du système connaissent les pratiques et les procédures utilisées pour protéger les données.
Le degré de protection utilisé repose sur la valeur de l'information, c'est-à-dire une analyse de risque sur la gravité des conséquences si un certain type d'information devait être modifié, divulgué, ou détruit par erreur, et sur la nécessité de le rendre facilement disponible pour les utilisateurs.
La sauvegarde complète du système doit être effectuée périodiquement, déterminée par la rapidité avec laquelle les informations changent ou par le volume des données.
Sauvegarde sur disque, sauvegarde sur serveur, les backups doivent être stockés dans un autre emplacement afin que l'original et la sauvegarde ne soient pas perdus lors d'un problème informatique.
L'installation de matériel non autorisé ou de logiciel gratuit pouvant contenir des "Malwares" peut endommager les données.
Le lecteur pourra consulter le GEN GTA 02 pour de plus amples informations.