🏥 Protection des données de santé
Les dossiers de prévoyance contiennent par nature des données de santé : certificats médicaux, diagnostics, taux d'invalidité, motifs d'arrêt. Ces données sont catégorie particulière au sens de l'article 9 du RGPD et bénéficient d'une protection renforcée.
🚨 Les données de santé sont les plus sensibles que nous traitons. Cette page
détaille les mesures spécifiques appliquées pour les protéger.⚖️ Cadre légal
Le traitement de données de santé est interdit par défaut. Il n'est autorisé que dans des cas limitativement énumérés (art. 9.2 RGPD). MDN combine **3 couches complémentaires** :
| # | Couche | Base légale | Ce que c'est concrètement |
|---|---|---|---|
| 1 | Activité mutualiste | art. 9.2.h | Gestion des régimes de protection sociale — base principale, ne requiert pas de consentement individuel (contrat collectif employeur) |
| 2 | Consentement explicite écrit | art. 9.2.a | Formulaire-type signé par le salarié (ou chaque bénéficiaire pour un décès) joint à chaque dossier comme pièce Déclaration de sinistre |
| 3 | Attestation RH applicative | Traçabilité | Case à cocher obligatoire à la soumission du dossier sur le portail — un événement case.consent_attested est écrit dans le journal d'audit immuable |
✅ Résultat : double ceinture-bretelles. Même en cas de contestation ultérieure
sur la couche 1 (activité mutualiste), les couches 2 et 3 fournissent la preuve
matérielle du consentement individuel.Cas particulier du décès
L'assuré décédé ne peut évidemment plus consentir. Dans ce cas :
- Données de santé du défunt (cause du décès, certificat médical) → art. 9.2.h uniquement (pas de consentement requis)
- Données des bénéficiaires (identité, RIB, lien de parenté) → chaque bénéficiaire signe sa propre demande de capital décès avec clause de consentement pour ses données. Un exemplaire signé par bénéficiaire est attendu.
Formulaires-types
Les formulaires-types à imprimer et faire signer sont mis à disposition dans la boîte à outils du portail :
- 📄 Déclaration d'arrêt de travail
- 📄 Déclaration d'incapacité temporaire
- 📄 Déclaration d'invalidité / rente
- 📄 Demande de capital décès (un par bénéficiaire)
- 📄 Désignation préventive de bénéficiaires (à remplir de son vivant pour déroger à la clause-type)
✂️ Minimisation
✅ Nous appliquons strictement le principe de minimisation : seules les
données strictement nécessaires à l'instruction du dossier sont collectées.| Règle | Mise en œuvre |
|---|---|
| Pas de donnée hors dossier | Aucune collecte spéculative |
| Pas de transit en clair | Aucune donnée médicale dans les emails ou SMS |
| Sanitiseur applicatif | Refuse d'envoyer si motif sensible détecté (n° CAFAT, IBAN, montant > 10 000 XPF) |
| Notifications génériques | "Votre dossier DOS-XXXX a évolué — connectez-vous au portail" |
🔐 Stockage des pièces médicales
| Mesure | Détail |
|---|---|
| Chiffrement | AES-256-GCM par fichier (clé maître + nonce unique) |
| Emplacement | Hors webroot (jamais d'URL publique) |
| Nom physique | UUID opaque (aucune information dans le chemin) |
| Nom d'origine | Lui aussi chiffré séparément |
| Intégrité | Hash SHA-256 du clair vérifié au déchiffrement |
🚪 Accès aux pièces
Le téléchargement d'une pièce médicale exécute systématiquement :
- ✅ Vérification authentification + 2FA actifs
- ✅ Vérification rôle (gestionnaire MDN, RH créateur, Admin Entreprise)
- ✅ Vérification cloisonnement entreprise
- ✅ Déchiffrement en RAM uniquement (jamais sur disque)
- ✅ Vérification du hash SHA-256
- ✅ Trace dans le journal d'audit immuable
👥 Limitation des destinataires
Côté MDN
| Rôle | Accès aux pièces médicales |
|---|---|
| Gestionnaire MDN assigné | Lecture / écriture sur ses dossiers |
| Superviseur MDN | Consultation pour supervision |
| Super-Admin MDN | Configuration + incidents (tracé) |
| Médecin-conseil (si configuré) | Avis médical |
Côté entreprise cliente
| Rôle | Accès |
|---|---|
| Admin Entreprise | Voit les dossiers de son entreprise (sans contenu médical détaillé) |
| RH Entreprise | Uniquement ses propres dossiers (déclarés par lui-même) |
⚠️ Aucun rôle "lecture libre" n'existe. Chaque accès est nominatif et tracé.
🛡 Anti-fuite & cloisonnement technique
- Moindre privilège : compte MySQL applicatif limité aux opérations CRUD,
- Prepared statements PDO uniquement (jamais de concaténation SQL)
- Échappement HTML systématique (
htmlspecialchars(ENT_QUOTES | ENT_SUBSTITUTE)) - CSP stricte côté navigateur (interdit iframes externes, scripts limités)
⏳ Conservation et anonymisation
| Phase | Durée | Données accessibles |
|---|---|---|
| Dossier actif | Le temps du traitement | Toutes |
| Conservation post-décision | 5 à 10 ans (selon type) | Toutes (archive consultable) |
| Anonymisation automatique | Au-delà de la rétention | 🚫 Aucune donnée nominative |
| Audit | 6 ans après anonymisation | Métadonnées uniquement |
✅ L'anonymisation est physique : pièces chiffrées supprimées du disque,
identifiants nominatifs remplacés par un pseudonyme irréversible. Une donnée
anonymisée ne peut plus être ré-attribuée.🚨 Violation de données — engagement renforcé
En cas de violation impliquant des données de santé :
- Détection par notre supervision (alertes audit, logs)
- Confinement immédiat : suspension comptes, rotation clés
- Évaluation criticité sous 24 h
- Notification autorité sous 72 h
- Information directe des personnes sous 72 h si risque élevé
- Audit forensique post-incident + plan de remédiation
⚖️ Droits spécifiques (santé)
En complément des droits RGPD standards :
| Droit spécifique | Détail |
|---|---|
| Accès indirect via médecin traitant | Art. 9 § 3 RGPD |
| Information préalable | Avant tout transfert vers un médecin-conseil |
| Médecin de confiance | Possibilité d'en désigner un pour la communication des éléments médicaux |
👨⚕️ Médecin-conseil
Lorsqu'une expertise médicale est nécessaire (notamment dossier invalidité), le dossier est consulté par un **médecin-conseil tenu au secret médical professionnel** (art. R. 4127-4 du Code de la santé publique).
✅ Ses échanges avec MDN sont strictement limités aux informations
administratives nécessaires (taux retenu, garantie applicable). Jamais le
diagnostic clinique détaillé.🎓 Personnel formé
L'ensemble du personnel MDN ayant accès aux dossiers médicaux a signé une clause de confidentialité renforcée et reçoit une formation annuelle :
- 🎯 Sensibilisation aux risques (phishing, ingénierie sociale)
- 🔑 Politique de mots de passe et de poste de travail
- 🚨 Gestes en cas de suspicion d'incident
- ⚖️ Cadre juridique du secret médical
📞 Contact
| Canal | Adresse |
|---|---|
| 📋 DPO | dpo@mdn.nc |
| 👨⚕️ Médecin-conseil | Sur demande via le DPO |
Dernière mise à jour : 24/04/2026