Politique de sécurité AuraMed

1Article 1. Objet et nature du document

(1)Cette politique de sécurité (la « Politique») décrit les principes généraux, les mesures organisationnelles et techniques, ainsi que les règles de gouvernance de la sécurité applicables à la plateforme AuraMed (la « Plateforme »), opérée par PTECHIT SRL, dont le siège social est situé Bdul. Mamaia Nord 14, CORP B2, Étage 2, Apt. 38, Navodari, Comté de Constanta, code postal 905700, Roumanie, immatriculée au Registre du Commerce sous le n° J2025043440008, code d'identification fiscale 51988476, EUID ROONRC.J2025043440008, contact e-mail contact@auramed.ro, téléphone +40 750 484 004.
(2)La Politique a un rôle d'information publique et de transparence et ne décrit pas de manière exhaustive tous les contrôles, configurations, procédures internes, architectures, journaux, seuils d'alerte, mécanismes de défense ou plans opérationnels appliqués par AuraMed.
(3)AuraMed met en œuvre et met à jour les mesures de sécurité en fonction de la nature, de l'objet, du contexte et des risques du traitement, ainsi que de l'évolution technologique, des menaces et des obligations légales applicables.
(4)Dans l'interprétation et l'application de cette Politique, AuraMed prend en compte, notamment, le principe d'intégrité et de confidentialité prévu à l'article 5(1)(f) du RGPD, l'obligation générale du responsable du traitement prévue à l'article 24(1)-(2) du RGPD et l'obligation d'intégrer la protection des données dès la conception et par défaut, conformément à l'article 25(1)-(2) du RGPD.

2Article 2. Cadre juridique pertinent

(1)Cette Politique est interprétée conjointement avec :
a)le Règlement (UE) 2016/679 (« RGPD ») ;
b)la loi roumaine n° 190/2018 sur les mesures de mise en œuvre du RGPD ;
c)la législation roumaine et européenne applicable à la cybersécurité ;
d)le cas échéant, la législation relative aux communications électroniques, à la confidentialité, à la continuité des activités et à la gestion des incidents.
(2)En ce qui concerne la sécurité du traitement des données personnelles, AuraMed prend en compte notamment :
a)l'article 24 du RGPD – responsabilité du responsable du traitement ;
b)l'article 25 du RGPD – protection des données dès la conception et par défaut ;
c)l'article 28 du RGPD – sélection des sous-traitants et obligations contractuelles ;
d)l'article 30 du RGPD – registres des activités de traitement ;
e)l'article 32 du RGPD – sécurité du traitement ;
f)les articles 33-34 du RGPD – notification des violations de données ;
g)l'article 35 du RGPD – évaluation d'impact relative à la protection des données ;
h)les articles 37-39 du RGPD – le délégué à la protection des données, le cas échéant.
(3)En matière de cybersécurité, AuraMed suit également les exigences applicables, dans la mesure où elles deviennent pertinentes pour son modèle opérationnel, y compris celles découlant de la directive (UE) 2022/2555 (NIS2) et de sa transposition en droit roumain par l'ordonnance d'urgence du gouvernement n° 155/2024, approuvée par la loi n° 124/2025.

3Article 3. Principes de sécurité appliqués par AuraMed

(1)AuraMed applique une approche basée sur les risques, proportionnée et axée sur la minimisation, de sorte que le niveau de sécurité soit approprié à la nature des données, y compris les données de santé, au volume du traitement, aux finalités poursuivies et à l'impact potentiel sur les personnes concernées.
(2)Les mesures de sécurité visent cumulativement à assurer :
a)la confidentialité des données ;
b)l'intégrité des données et des systèmes ;
c)la disponibilité des services et l'accès légitime ;
d)la résilience de l'infrastructure ;
e)la détection, la réponse et la remédiation des incidents ;
f)la traçabilité et la capacité d'audit.
(3)AuraMed poursuit également, le cas échéant, une approche « tous risques » pour les risques cyber et opérationnels, y compris en ce qui concerne le développement logiciel, la chaîne d'approvisionnement, la continuité des activités, les vulnérabilités et les communications sécurisées. NIS2 exige précisément une approche proportionnée et basée sur les risques et énumère parmi les éléments minimaux : l'analyse des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement, l'acquisition/développement/maintenance sécurisés, la gestion et la divulgation des vulnérabilités, la formation et la cryptographie / le cas échéant, le chiffrement.

4Article 4. Mesures techniques et organisationnelles

(1)Conformément à l'article 32(1) du RGPD, AuraMed met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
(2)Ces mesures peuvent inclure, le cas échéant :
a)la pseudonymisation et/ou le chiffrement des données ;
b)le contrôle d'accès basé sur les rôles et l'accès basé sur le besoin de savoir ;
c)la ségrégation des environnements de développement, de test et de production ;
d)l'authentification renforcée et, le cas échéant, l'authentification multifacteur ;
e)la surveillance, la journalisation et l'audit des accès ;
f)la protection des terminaux, les mises à jour de sécurité et la gestion des correctifs ;
g)les plans de sauvegarde, de restauration et de récupération ;
h)des tests périodiques de l'efficacité des mesures ;
i)des contrôles concernant l'exportation, le transfert et la suppression des données ;
j)des procédures de continuité et de réponse aux incidents.
(3)Conformément à l'article 32(1)(a)-(d) du RGPD, les exemples expressément prévus par la loi incluent la pseudonymisation et le chiffrement, la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience en continu, la restauration rapide de la disponibilité et l'accès aux données, ainsi qu'un processus pour tester, évaluer et examiner régulièrement l'efficacité des mesures.
(4)AuraMed ne garantit pas une sécurité absolue, mais vise à maintenir un niveau de protection adéquat, mis à jour et documenté en vertu des articles 24 et 32 du RGPD. L'ANSPDCP a réitéré dans sa pratique que l'absence de contrôles de sécurité élémentaires et de tests d'efficacité peut entraîner des sanctions en vertu des articles 24 et 32 du RGPD.

5Article 5. Contrôle d'accès et confidentialité du personnel

(1)AuraMed limite l'accès aux données et aux systèmes aux seules personnes autorisées qui ont un besoin d'accès légitime et documenté pour l'accomplissement de leurs fonctions.
(2)L'accès est accordé, revu et retiré selon les rôles, les responsabilités, le principe du « moindre privilège » et le principe de séparation des tâches, le cas échéant.
(3)Les personnes agissant sous l'autorité d'AuraMed et susceptibles d'avoir accès aux données sont liées par une obligation de confidentialité contractuelle, légale ou professionnelle et ne peuvent traiter les données que conformément aux instructions et politiques applicables.
(4)L'article 32(4) du RGPD exige expressément que le responsable du traitement et le sous-traitant prennent des mesures pour s'assurer que toute personne agissant sous leur autorité et ayant accès à des données ne les traite que sur instruction du responsable du traitement, sauf si la loi l'exige.

6Article 6. Conception, développement et fournisseurs sécurisés

(1)AuraMed vise à intégrer la sécurité et la protection des données dès les étapes de conception, de sélection, de développement, de configuration, de mise en œuvre et de modification de la Plateforme, conformément à l'article 25(1)-(2) du RGPD.
(2)Dans la mesure où AuraMed fait appel à des sous-traitants informatiques, cloud, hébergement, communication, sécurité, IA, analyse, support ou autres sous-traitants pertinents, leur sélection est effectuée en tenant compte de leurs garanties en matière de sécurité et de protection des données.
(3)Lorsqu'un tiers agit en tant que sous-traitant, AuraMed utilise, en vertu de l'article 28(1) et (3) du RGPD, uniquement des fournisseurs offrant des garanties suffisantes et conclut la documentation contractuelle nécessaire, y compris concernant la confidentialité, les mesures de sécurité, les sous-traitants ultérieurs, l'assistance en cas d'incident, la suppression/restitution et l'audit.
(4)Dans la mesure où AuraMed relève du champ d'application de NIS2/l'ordonnance d'urgence du gouvernement n° 155/2024, la gouvernance de la sécurité inclura également des exigences relatives à la sécurité de la chaîne d'approvisionnement et à l'acquisition, au développement et à la maintenance sécurisés, y compris la gestion et la divulgation des vulnérabilités.

7Article 7. Données de santé et niveau de protection élevé

(1)Dans la mesure où AuraMed traite des données de santé, ces données sont considérées comme des données de catégories particulières au sens de l'article 9(1) du RGPD et bénéficient de mesures de protection renforcées.
(2)AuraMed vise à appliquer, en fonction du contexte réel de traitement :
a)la minimisation des données ;
b)la limitation de l'accès ;
c)la pseudonymisation, le cas échéant ;
d)la conservation limitée ;
e)la séparation logique des flux et des journaux ;
f)des contrôles renforcés pour les documents médicaux et les conversations sensibles.
(3)AuraMed adapte ses mesures de sécurité à la nature particulièrement sensible des données de santé, conformément à l'article 9(1)-(2) du RGPD et à l'obligation générale de sécurité prévue à l'article 32 du RGPD. L'ANSPDCP indique expressément que les données de santé font partie des catégories particulières et ne peuvent être traitées que dans les conditions de l'article 9(2) du RGPD.

8Article 8. Registres, évaluations d'impact et gouvernance

(1)AuraMed tient, dans la mesure où cela est applicable, des registres des activités de traitement conformément à l'article 30 du RGPD et documente les mesures de sécurité et de conformité pertinentes.
(2)Si une opération de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, AuraMed réalise une évaluation d'impact relative à la protection des données (EIPD) conformément à l'article 35 du RGPD avant de lancer ou d'étendre ce traitement.
(3)L'article 35 du RGPD indique, parmi les cas typiques, le traitement à grande échelle de catégories particulières de données, et le CEPD souligne qu'une EIPD est une évaluation écrite destinée à identifier les risques et les garanties appropriées. L'ANSPDCP inclut l'EIPD parmi les obligations clés du responsable du traitement.

9Article 9. Délégué à la protection des données et fonction de sécurité

(1)AuraMed évalue périodiquement si l'obligation de désigner un Délégué à la Protection des Données (DPD) s'applique, notamment en relation avec l'article 37(1)(b) et (c) du RGPD.
(2)Conformément à l'article 37(1) du RGPD, la désignation d'un DPD est requise, entre autres cas, lorsque :
a)les activités principales impliquent une surveillance régulière et systématique à grande échelle ; ou
b)les activités principales impliquent le traitement à grande échelle de données de catégories particulières, y compris des données de santé.
(3)Si un DPD est désigné, AuraMed assure sa participation appropriée et en temps opportun à toutes les questions relatives à la protection des données, conformément à l'article 38(1) et (3) du RGPD, et ses tâches incluent également des conseils concernant l'EIPD et le suivi de la conformité, conformément à l'article 39(1)(b)-(c) du RGPD.

10Article 10. Surveillance, tests et amélioration continue

(1)AuraMed applique des processus périodiques de vérification, de test, d'évaluation et d'amélioration des contrôles techniques et organisationnels, conformément à l'article 32(1)(d) du RGPD.
(2)Ces processus peuvent inclure, le cas échéant :
a)des revues d'accès ;
b)des vérifications de configuration ;
c)des évaluations de vulnérabilité ;
d)des audits internes ou externes ;
e)des exercices de réponse aux incidents ;
f)des vérifications de sauvegarde et de restauration ;
g)la formation et la sensibilisation du personnel.
(3)L'ANSPDCP mentionne explicitement parmi les mesures nécessaires l'existence d'un processus pour tester, évaluer et examiner régulièrement l'efficacité des mesures de sécurité, et NIS2 exige également des politiques/procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité.

11Article 11. Continuité des activités, sauvegarde et reprise après sinistre

(1)AuraMed vise à maintenir la continuité des activités et la résilience opérationnelle grâce à des mesures proportionnées de sauvegarde, de restauration, de redondance, de récupération et de gestion de crise, en relation avec la nature des services fournis.
(2)L'article 32(1)(c) du RGPD exige la capacité de rétablir la disponibilité des données personnelles et l'accès à celles-ci en temps utile en cas d'incident physique ou technique.
(3)Dans la mesure où NIS2/l'ordonnance d'urgence du gouvernement n° 155/2024 s'applique, AuraMed vise également à intégrer des mesures de continuité des activités, de gestion des sauvegardes, de reprise après sinistre et de gestion de crise, qui font partie du noyau minimum de l'article 21 de NIS2. Le DNSC publie également des directives dédiées aux politiques de reprise après sinistre dans le contexte de l'ordonnance d'urgence du gouvernement n° 155/2024, approuvée par la loi n° 124/2025.

12Article 12. Gestion des incidents de sécurité et des violations de données

(1)AuraMed maintient des procédures internes pour identifier, évaluer, escalader, contenir, enquêter, corriger et documenter les incidents de sécurité.
(2)AuraMed distingue :
a)un incident de cybersécurité / opérationnel, qui affecte ou peut affecter les systèmes, les services ou la continuité des activités ; et
b)une violation de données personnelles, au sens de l'article 4(12) du RGPD, qui peut impliquer la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données.
(3)En cas de violation de données personnelles, AuraMed applique l'article 33 du RGPD et notifie à l'autorité de contrôle compétente dans les meilleurs délais et, lorsque cela est possible, dans les 72 heures suivant sa prise de connaissance, à moins que la violation ne risque d'entraîner un risque pour les droits et libertés des personnes physiques.
(4)Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, AuraMed communique également l'incident au responsable du traitement en vertu de l'article 34(1) du RGPD.
(5)L'article 33(3) du RGPD exige que la notification comprenne au moins la nature de la violation, les catégories et le nombre approximatif de personnes concernées et de jeux de données concernés, les coordonnées du point de contact/DPD, les conséquences probables et les mesures prises ou proposées ; l'article 33(5) exige également la documentation de toutes les violations. L'ANSPDCP fournit le formulaire de notification d'une violation de sécurité dans le cadre du RGPD.

13Article 13. Signalement des incidents cyber dans la mesure où NIS2 s'applique

(1)Dans la mesure où AuraMed relève du champ d'application de NIS2 et de la législation de transposition roumaine, les incidents significatifs seront également gérés et signalés conformément aux règles de cybersécurité sectorielles applicables.
(2)Dans le cadre de NIS2, les entités concernées ont des obligations de reporting à plusieurs étapes : alerte précoce dans les 24 heures suivant la prise de connaissance, notification dans les 72 heures et un rapport final, généralement dans un délai d'un mois.
(3)Par cette Politique, AuraMed n'affirme pas automatiquement qu'elle se qualifie comme une entité essentielle ou importante au sens de NIS2/l'ordonnance d'urgence du gouvernement n° 155/2024 ; cette qualification est analysée séparément, en fonction des activités réelles, du secteur, de la taille et des critères juridiques applicables.

14Article 14. Responsabilités des utilisateurs

(1)Les utilisateurs de la Plateforme sont tenus d'utiliser des services et des appareils raisonnablement sécurisés, de protéger leurs identifiants, d'éviter le partage non autorisé de comptes ou de liens d'accès et de nous informer sans délai s'ils suspectent une utilisation non autorisée ou une vulnérabilité.
(2)Les utilisateurs ne doivent pas télécharger de code malveillant, tenter de contourner les mesures de sécurité, effectuer des tests non autorisés, du scraping, de l'ingénierie inverse interdite, des tentatives d'escalade de privilèges ou toute autre action susceptible d'affecter la disponibilité, l'intégrité ou la confidentialité de la Plateforme.
(3)AuraMed se réserve le droit de suspendre, limiter ou bloquer l'accès en cas d'activités présentant un risque de sécurité ou violant la loi ou la documentation contractuelle applicable.

15Article 15. Signalement des vulnérabilités

(1)Si vous identifiez une vulnérabilité, un comportement anormal, une configuration non sécurisée ou un incident de sécurité lié à la Plateforme, veuillez nous contacter à l'adresse : dev@auramed.ro.
(2)AuraMed encourage la divulgation responsable et de bonne foi des vulnérabilités et peut analyser, valider, prioriser et corriger les problèmes signalés en fonction de leur gravité et de leur impact.
(3)Dans la mesure où NIS2 s'applique, la gestion et la divulgation des vulnérabilités font partie des éléments expressément mentionnés par le cadre européen de gestion des risques cyber.

16Article 16. Révision et mise à jour de la politique

(1)AuraMed peut réviser et mettre à jour cette Politique pour des raisons juridiques, techniques, opérationnelles ou commerciales.
(2)Toute version mise à jour sera publiée sur la Plateforme, avec la date de la dernière mise à jour indiquée.
(3)Les changements pertinents pourront également être corrélés avec des modifications de l'architecture technique, des fournisseurs, des flux de données, des obligations RGPD, du cadre NIS2 ou des menaces cyber actuelles.

1Article 1. Objet et nature du document

(1)Cette politique de sécurité (la « Politique») décrit les principes généraux, les mesures organisationnelles et techniques, ainsi que les règles de gouvernance de la sécurité applicables à la plateforme AuraMed (la « Plateforme »), opérée par PTECHIT SRL, dont le siège social est situé Bdul. Mamaia Nord 14, CORP B2, Étage 2, Apt. 38, Navodari, Comté de Constanta, code postal 905700, Roumanie, immatriculée au Registre du Commerce sous le n° J2025043440008, code d'identification fiscale 51988476, EUID ROONRC.J2025043440008, contact e-mail contact@auramed.ro, téléphone +40 750 484 004.
(2)La Politique a un rôle d'information publique et de transparence et ne décrit pas de manière exhaustive tous les contrôles, configurations, procédures internes, architectures, journaux, seuils d'alerte, mécanismes de défense ou plans opérationnels appliqués par AuraMed.
(3)AuraMed met en œuvre et met à jour les mesures de sécurité en fonction de la nature, de l'objet, du contexte et des risques du traitement, ainsi que de l'évolution technologique, des menaces et des obligations légales applicables.
(4)Dans l'interprétation et l'application de cette Politique, AuraMed prend en compte, notamment, le principe d'intégrité et de confidentialité prévu à l'article 5(1)(f) du RGPD, l'obligation générale du responsable du traitement prévue à l'article 24(1)-(2) du RGPD et l'obligation d'intégrer la protection des données dès la conception et par défaut, conformément à l'article 25(1)-(2) du RGPD.

2Article 2. Cadre juridique pertinent

(1)Cette Politique est interprétée conjointement avec :
a)le Règlement (UE) 2016/679 (« RGPD ») ;
b)la loi roumaine n° 190/2018 sur les mesures de mise en œuvre du RGPD ;
c)la législation roumaine et européenne applicable à la cybersécurité ;
d)le cas échéant, la législation relative aux communications électroniques, à la confidentialité, à la continuité des activités et à la gestion des incidents.
(2)En ce qui concerne la sécurité du traitement des données personnelles, AuraMed prend en compte notamment :
a)l'article 24 du RGPD – responsabilité du responsable du traitement ;
b)l'article 25 du RGPD – protection des données dès la conception et par défaut ;
c)l'article 28 du RGPD – sélection des sous-traitants et obligations contractuelles ;
d)l'article 30 du RGPD – registres des activités de traitement ;
e)l'article 32 du RGPD – sécurité du traitement ;
f)les articles 33-34 du RGPD – notification des violations de données ;
g)l'article 35 du RGPD – évaluation d'impact relative à la protection des données ;
h)les articles 37-39 du RGPD – le délégué à la protection des données, le cas échéant.
(3)En matière de cybersécurité, AuraMed suit également les exigences applicables, dans la mesure où elles deviennent pertinentes pour son modèle opérationnel, y compris celles découlant de la directive (UE) 2022/2555 (NIS2) et de sa transposition en droit roumain par l'ordonnance d'urgence du gouvernement n° 155/2024, approuvée par la loi n° 124/2025.

3Article 3. Principes de sécurité appliqués par AuraMed

(1)AuraMed applique une approche basée sur les risques, proportionnée et axée sur la minimisation, de sorte que le niveau de sécurité soit approprié à la nature des données, y compris les données de santé, au volume du traitement, aux finalités poursuivies et à l'impact potentiel sur les personnes concernées.
(2)Les mesures de sécurité visent cumulativement à assurer :
a)la confidentialité des données ;
b)l'intégrité des données et des systèmes ;
c)la disponibilité des services et l'accès légitime ;
d)la résilience de l'infrastructure ;
e)la détection, la réponse et la remédiation des incidents ;
f)la traçabilité et la capacité d'audit.
(3)AuraMed poursuit également, le cas échéant, une approche « tous risques » pour les risques cyber et opérationnels, y compris en ce qui concerne le développement logiciel, la chaîne d'approvisionnement, la continuité des activités, les vulnérabilités et les communications sécurisées. NIS2 exige précisément une approche proportionnée et basée sur les risques et énumère parmi les éléments minimaux : l'analyse des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement, l'acquisition/développement/maintenance sécurisés, la gestion et la divulgation des vulnérabilités, la formation et la cryptographie / le cas échéant, le chiffrement.

4Article 4. Mesures techniques et organisationnelles

(1)Conformément à l'article 32(1) du RGPD, AuraMed met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
(2)Ces mesures peuvent inclure, le cas échéant :
a)la pseudonymisation et/ou le chiffrement des données ;
b)le contrôle d'accès basé sur les rôles et l'accès basé sur le besoin de savoir ;
c)la ségrégation des environnements de développement, de test et de production ;
d)l'authentification renforcée et, le cas échéant, l'authentification multifacteur ;
e)la surveillance, la journalisation et l'audit des accès ;
f)la protection des terminaux, les mises à jour de sécurité et la gestion des correctifs ;
g)les plans de sauvegarde, de restauration et de récupération ;
h)des tests périodiques de l'efficacité des mesures ;
i)des contrôles concernant l'exportation, le transfert et la suppression des données ;
j)des procédures de continuité et de réponse aux incidents.
(3)Conformément à l'article 32(1)(a)-(d) du RGPD, les exemples expressément prévus par la loi incluent la pseudonymisation et le chiffrement, la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience en continu, la restauration rapide de la disponibilité et l'accès aux données, ainsi qu'un processus pour tester, évaluer et examiner régulièrement l'efficacité des mesures.
(4)AuraMed ne garantit pas une sécurité absolue, mais vise à maintenir un niveau de protection adéquat, mis à jour et documenté en vertu des articles 24 et 32 du RGPD. L'ANSPDCP a réitéré dans sa pratique que l'absence de contrôles de sécurité élémentaires et de tests d'efficacité peut entraîner des sanctions en vertu des articles 24 et 32 du RGPD.

5Article 5. Contrôle d'accès et confidentialité du personnel

(1)AuraMed limite l'accès aux données et aux systèmes aux seules personnes autorisées qui ont un besoin d'accès légitime et documenté pour l'accomplissement de leurs fonctions.
(2)L'accès est accordé, revu et retiré selon les rôles, les responsabilités, le principe du « moindre privilège » et le principe de séparation des tâches, le cas échéant.
(3)Les personnes agissant sous l'autorité d'AuraMed et susceptibles d'avoir accès aux données sont liées par une obligation de confidentialité contractuelle, légale ou professionnelle et ne peuvent traiter les données que conformément aux instructions et politiques applicables.
(4)L'article 32(4) du RGPD exige expressément que le responsable du traitement et le sous-traitant prennent des mesures pour s'assurer que toute personne agissant sous leur autorité et ayant accès à des données ne les traite que sur instruction du responsable du traitement, sauf si la loi l'exige.

6Article 6. Conception, développement et fournisseurs sécurisés

(1)AuraMed vise à intégrer la sécurité et la protection des données dès les étapes de conception, de sélection, de développement, de configuration, de mise en œuvre et de modification de la Plateforme, conformément à l'article 25(1)-(2) du RGPD.
(2)Dans la mesure où AuraMed fait appel à des sous-traitants informatiques, cloud, hébergement, communication, sécurité, IA, analyse, support ou autres sous-traitants pertinents, leur sélection est effectuée en tenant compte de leurs garanties en matière de sécurité et de protection des données.
(3)Lorsqu'un tiers agit en tant que sous-traitant, AuraMed utilise, en vertu de l'article 28(1) et (3) du RGPD, uniquement des fournisseurs offrant des garanties suffisantes et conclut la documentation contractuelle nécessaire, y compris concernant la confidentialité, les mesures de sécurité, les sous-traitants ultérieurs, l'assistance en cas d'incident, la suppression/restitution et l'audit.
(4)Dans la mesure où AuraMed relève du champ d'application de NIS2/l'ordonnance d'urgence du gouvernement n° 155/2024, la gouvernance de la sécurité inclura également des exigences relatives à la sécurité de la chaîne d'approvisionnement et à l'acquisition, au développement et à la maintenance sécurisés, y compris la gestion et la divulgation des vulnérabilités.

7Article 7. Données de santé et niveau de protection élevé

(1)Dans la mesure où AuraMed traite des données de santé, ces données sont considérées comme des données de catégories particulières au sens de l'article 9(1) du RGPD et bénéficient de mesures de protection renforcées.
(2)AuraMed vise à appliquer, en fonction du contexte réel de traitement :
a)la minimisation des données ;
b)la limitation de l'accès ;
c)la pseudonymisation, le cas échéant ;
d)la conservation limitée ;
e)la séparation logique des flux et des journaux ;
f)des contrôles renforcés pour les documents médicaux et les conversations sensibles.
(3)AuraMed adapte ses mesures de sécurité à la nature particulièrement sensible des données de santé, conformément à l'article 9(1)-(2) du RGPD et à l'obligation générale de sécurité prévue à l'article 32 du RGPD. L'ANSPDCP indique expressément que les données de santé font partie des catégories particulières et ne peuvent être traitées que dans les conditions de l'article 9(2) du RGPD.

8Article 8. Registres, évaluations d'impact et gouvernance

(1)AuraMed tient, dans la mesure où cela est applicable, des registres des activités de traitement conformément à l'article 30 du RGPD et documente les mesures de sécurité et de conformité pertinentes.
(2)Si une opération de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, AuraMed réalise une évaluation d'impact relative à la protection des données (EIPD) conformément à l'article 35 du RGPD avant de lancer ou d'étendre ce traitement.
(3)L'article 35 du RGPD indique, parmi les cas typiques, le traitement à grande échelle de catégories particulières de données, et le CEPD souligne qu'une EIPD est une évaluation écrite destinée à identifier les risques et les garanties appropriées. L'ANSPDCP inclut l'EIPD parmi les obligations clés du responsable du traitement.

9Article 9. Délégué à la protection des données et fonction de sécurité

(1)AuraMed évalue périodiquement si l'obligation de désigner un Délégué à la Protection des Données (DPD) s'applique, notamment en relation avec l'article 37(1)(b) et (c) du RGPD.
(2)Conformément à l'article 37(1) du RGPD, la désignation d'un DPD est requise, entre autres cas, lorsque :
a)les activités principales impliquent une surveillance régulière et systématique à grande échelle ; ou
b)les activités principales impliquent le traitement à grande échelle de données de catégories particulières, y compris des données de santé.
(3)Si un DPD est désigné, AuraMed assure sa participation appropriée et en temps opportun à toutes les questions relatives à la protection des données, conformément à l'article 38(1) et (3) du RGPD, et ses tâches incluent également des conseils concernant l'EIPD et le suivi de la conformité, conformément à l'article 39(1)(b)-(c) du RGPD.

10Article 10. Surveillance, tests et amélioration continue

(1)AuraMed applique des processus périodiques de vérification, de test, d'évaluation et d'amélioration des contrôles techniques et organisationnels, conformément à l'article 32(1)(d) du RGPD.
(2)Ces processus peuvent inclure, le cas échéant :
a)des revues d'accès ;
b)des vérifications de configuration ;
c)des évaluations de vulnérabilité ;
d)des audits internes ou externes ;
e)des exercices de réponse aux incidents ;
f)des vérifications de sauvegarde et de restauration ;
g)la formation et la sensibilisation du personnel.
(3)L'ANSPDCP mentionne explicitement parmi les mesures nécessaires l'existence d'un processus pour tester, évaluer et examiner régulièrement l'efficacité des mesures de sécurité, et NIS2 exige également des politiques/procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité.

11Article 11. Continuité des activités, sauvegarde et reprise après sinistre

(1)AuraMed vise à maintenir la continuité des activités et la résilience opérationnelle grâce à des mesures proportionnées de sauvegarde, de restauration, de redondance, de récupération et de gestion de crise, en relation avec la nature des services fournis.
(2)L'article 32(1)(c) du RGPD exige la capacité de rétablir la disponibilité des données personnelles et l'accès à celles-ci en temps utile en cas d'incident physique ou technique.
(3)Dans la mesure où NIS2/l'ordonnance d'urgence du gouvernement n° 155/2024 s'applique, AuraMed vise également à intégrer des mesures de continuité des activités, de gestion des sauvegardes, de reprise après sinistre et de gestion de crise, qui font partie du noyau minimum de l'article 21 de NIS2. Le DNSC publie également des directives dédiées aux politiques de reprise après sinistre dans le contexte de l'ordonnance d'urgence du gouvernement n° 155/2024, approuvée par la loi n° 124/2025.

12Article 12. Gestion des incidents de sécurité et des violations de données

(1)AuraMed maintient des procédures internes pour identifier, évaluer, escalader, contenir, enquêter, corriger et documenter les incidents de sécurité.
(2)AuraMed distingue :
a)un incident de cybersécurité / opérationnel, qui affecte ou peut affecter les systèmes, les services ou la continuité des activités ; et
b)une violation de données personnelles, au sens de l'article 4(12) du RGPD, qui peut impliquer la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données.
(3)En cas de violation de données personnelles, AuraMed applique l'article 33 du RGPD et notifie à l'autorité de contrôle compétente dans les meilleurs délais et, lorsque cela est possible, dans les 72 heures suivant sa prise de connaissance, à moins que la violation ne risque d'entraîner un risque pour les droits et libertés des personnes physiques.
(4)Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, AuraMed communique également l'incident au responsable du traitement en vertu de l'article 34(1) du RGPD.
(5)L'article 33(3) du RGPD exige que la notification comprenne au moins la nature de la violation, les catégories et le nombre approximatif de personnes concernées et de jeux de données concernés, les coordonnées du point de contact/DPD, les conséquences probables et les mesures prises ou proposées ; l'article 33(5) exige également la documentation de toutes les violations. L'ANSPDCP fournit le formulaire de notification d'une violation de sécurité dans le cadre du RGPD.

13Article 13. Signalement des incidents cyber dans la mesure où NIS2 s'applique

(1)Dans la mesure où AuraMed relève du champ d'application de NIS2 et de la législation de transposition roumaine, les incidents significatifs seront également gérés et signalés conformément aux règles de cybersécurité sectorielles applicables.
(2)Dans le cadre de NIS2, les entités concernées ont des obligations de reporting à plusieurs étapes : alerte précoce dans les 24 heures suivant la prise de connaissance, notification dans les 72 heures et un rapport final, généralement dans un délai d'un mois.
(3)Par cette Politique, AuraMed n'affirme pas automatiquement qu'elle se qualifie comme une entité essentielle ou importante au sens de NIS2/l'ordonnance d'urgence du gouvernement n° 155/2024 ; cette qualification est analysée séparément, en fonction des activités réelles, du secteur, de la taille et des critères juridiques applicables.

14Article 14. Responsabilités des utilisateurs

(1)Les utilisateurs de la Plateforme sont tenus d'utiliser des services et des appareils raisonnablement sécurisés, de protéger leurs identifiants, d'éviter le partage non autorisé de comptes ou de liens d'accès et de nous informer sans délai s'ils suspectent une utilisation non autorisée ou une vulnérabilité.
(2)Les utilisateurs ne doivent pas télécharger de code malveillant, tenter de contourner les mesures de sécurité, effectuer des tests non autorisés, du scraping, de l'ingénierie inverse interdite, des tentatives d'escalade de privilèges ou toute autre action susceptible d'affecter la disponibilité, l'intégrité ou la confidentialité de la Plateforme.
(3)AuraMed se réserve le droit de suspendre, limiter ou bloquer l'accès en cas d'activités présentant un risque de sécurité ou violant la loi ou la documentation contractuelle applicable.

15Article 15. Signalement des vulnérabilités

(1)Si vous identifiez une vulnérabilité, un comportement anormal, une configuration non sécurisée ou un incident de sécurité lié à la Plateforme, veuillez nous contacter à l'adresse : dev@auramed.ro.
(2)AuraMed encourage la divulgation responsable et de bonne foi des vulnérabilités et peut analyser, valider, prioriser et corriger les problèmes signalés en fonction de leur gravité et de leur impact.
(3)Dans la mesure où NIS2 s'applique, la gestion et la divulgation des vulnérabilités font partie des éléments expressément mentionnés par le cadre européen de gestion des risques cyber.

16Article 16. Révision et mise à jour de la politique

(1)AuraMed peut réviser et mettre à jour cette Politique pour des raisons juridiques, techniques, opérationnelles ou commerciales.
(2)Toute version mise à jour sera publiée sur la Plateforme, avec la date de la dernière mise à jour indiquée.
(3)Les changements pertinents pourront également être corrélés avec des modifications de l'architecture technique, des fournisseurs, des flux de données, des obligations RGPD, du cadre NIS2 ou des menaces cyber actuelles.

POLITIQUE DE SÉCURITÉ AURAMED

1Article 1. Objet et nature du document

2Article 2. Cadre juridique pertinent

3Article 3. Principes de sécurité appliqués par AuraMed

4Article 4. Mesures techniques et organisationnelles

5Article 5. Contrôle d'accès et confidentialité du personnel

6Article 6. Conception, développement et fournisseurs sécurisés

7Article 7. Données de santé et niveau de protection élevé

8Article 8. Registres, évaluations d'impact et gouvernance

9Article 9. Délégué à la protection des données et fonction de sécurité

10Article 10. Surveillance, tests et amélioration continue

11Article 11. Continuité des activités, sauvegarde et reprise après sinistre

12Article 12. Gestion des incidents de sécurité et des violations de données

13Article 13. Signalement des incidents cyber dans la mesure où NIS2 s'applique

14Article 14. Responsabilités des utilisateurs

15Article 15. Signalement des vulnérabilités

16Article 16. Révision et mise à jour de la politique

POLITIQUE DE SÉCURITÉ AURAMED

1Article 1. Objet et nature du document

2Article 2. Cadre juridique pertinent

3Article 3. Principes de sécurité appliqués par AuraMed

4Article 4. Mesures techniques et organisationnelles

5Article 5. Contrôle d'accès et confidentialité du personnel

6Article 6. Conception, développement et fournisseurs sécurisés

7Article 7. Données de santé et niveau de protection élevé

8Article 8. Registres, évaluations d'impact et gouvernance

9Article 9. Délégué à la protection des données et fonction de sécurité

10Article 10. Surveillance, tests et amélioration continue

11Article 11. Continuité des activités, sauvegarde et reprise après sinistre

12Article 12. Gestion des incidents de sécurité et des violations de données

13Article 13. Signalement des incidents cyber dans la mesure où NIS2 s'applique

14Article 14. Responsabilités des utilisateurs

15Article 15. Signalement des vulnérabilités

16Article 16. Révision et mise à jour de la politique