Conditions générales d’administration du dispositif PLAGE
Les conditions générales suivantes s’appliquent à tout organisme utilisant PLAGE pour la gestion d’utilisateurs.
PLAGE est un dispositif technique de gestion d’utilisateurs mis à disposition par l’ATIH pour l’accès à des applications (applications à l’initiative de responsables de traitement comme le Ministère chargé de la santé, la HAS, le CNG, l’ATIH…). PLAGE inclut la gestion de comptes/profils utilisateurs et d’habilitations via PLAGE (PLAte-forme de GEstion des utilisateurs - https://plage.atih.sante.fr) et le contrôle d’accès aux applications.
Le système d’information accessible via PLAGE contient des données sensibles, notamment des données de santé à caractère personnel.
En utilisant PLAGE, votre organisme s’engage à :
Désignation d’un administrateur principal :
- désigner un administrateur principal en charge la gestion des comptes/profils et habilitations des utilisateurs. A ce titre, l’administrateur principal est l’interlocuteur privilégié de l’ATIH et des responsables de traitement à l’initiative des applications accessibles via PLAGE
- l’administrateur principal désigné doit être une personne physique employée par votre organisme (et non un sous-traitant)
Gestion des comptes/profils et habilitations :
- créer des comptes/profils utilisateurs uniques, individuels, nominatifs et incessibles. L’adresse de courriel indiquée dans le compte/profil doit être une adresse de messagerie professionnelle valide
- attribuer à ses utilisateurs les habilitations strictement nécessaires à l’exercice de leurs missions (et les retirer lorsqu’elles ne le sont plus)
- supprimer le profil des utilisateurs n’ayant plus aucune habilitation
- réaliser, au moins une fois par an, une revue des comptes/profils et habilitations des utilisateurs pour s’assurer que les habilitations et les comptes/profils obsolètes sont bien supprimés
- réaliser les traitements relatifs à la gestion des comptes, profils et habitations conformément aux dispositions communiquées aux utilisateurs (en particulier la durée de conservation des données si elles sont exportées de PLAGE) et se conformer aux normes en matière de protection des données pour tout autre traitement réalisé à son initiative (information des personnes, registre…)
Sécurité du système d’information :
- se conformer aux normes en matière de sécurité du système d’information, en particulier pour la sécurisation de ses postes de travail et outils
- alerter l’ATIH si le système d’information de l’organisme fait l’objet d’une attaque (car celle-ci pourrait notamment compromettre la confidentialité des mots de passe PLAGE de vos utilisateurs)
- veiller à la sécurité de PLAGE et des applications associées et répondre à toute alerte de l’ATIH
Protection des données à caractère personnel accessibles via PLAGE :
- se conformer aux instructions du responsable de traitement à l’initiative de l’application ou de l’ATIH, ainsi qu’aux normes en matière de protection des données à caractère personnel pour le traitement de telles données
- sauf autre disposition communiquée par le responsable de traitement, informer sans délais l’ATIH à donneespersonnelles@atih.sante.fr en cas de violation de données à caractère personnel
Les présentes conditions générales d’administration pourront être précisées ou amenées à évoluer. Votre organisme s’engage à accepter toute précision ou évolution de ces conditions communiquée par courriel à l’administrateur principal.
En cas de manquements constatés dans la gestion des profils et habilitations (ex : non suppression des profils dans un délai raisonnable, attribution d’habilitations par excès…), l’ATIH indiquera à l’administrateur principal lesdits manquements.
En cas de problème persistant, une radiation de l’administrateur principal pourra être demandée par l’ATIH au responsable légal de l’organisme.
Définitions :
- « Un compte »
- désigne un compte utilisateur créé par l’utilisateur via PLAGE. Un compte utilisateur comporte un ou plusieurs profils.
- « Un profil »
- désigne la déclinaison d’un compte utilisateur au sein d’un organisme. Cette déclinaison permet à un utilisateur intervenant pour le compte de plusieurs organismes d’avoir un seul compte utilisateur décliné en plusieurs profils, chaque profil étant administré de manière propre par chaque organisme.
- « Les applications »
- désignent les applications informatiques utilisant PLAGE comme dispositif d’accès.
- « Les habilitations »
- désignent les droits d’accès aux applications. Chaque organisme, via son administrateur principal, peut attribuer ou retirer une habilitation au profil d’un utilisateur.
- « L’administrateur principal »
- la personne physique désignée par l’organisme pour prendre en charge la gestion technique et administrative des comptes, profils et habilitations des utilisateurs. L’administrateur principal peut déléguer des activités d’administration à d’autres administrateurs.
- « Les utilisateurs »
- désignent les droits d’accès aux applications. Chaque organisme, via son administrateur principal, peut attribuer ou retirer une habilitation au profil d’un utilisateur.