Politique de
Sécurité de l'information

Octobre 2025
Imagen Sello Certificación 27001. Clínica Universidad de Navarra

Introduction

Le Système de Gestion de la Sécurité de l’Information (ci-après, SGSI) de la Clínica Universidad de Navarra (ci-après, CUN ou l’Organisation) est fondé sur le modèle ISO 27001:2022 de Sécurité de l’information, Cybersécurité et Protection de la vie privée – Systèmes de management de la sécurité de l’information, qui adopte une approche de gestion des risques portant sur l’ensemble du système, afin d’identifier, de planifier et d’agir sur les risques et opportunités pertinents pour l’atteinte des résultats attendus et le respect des objectifs de Sécurité de l’Information qui auraient été fixés à cet égard.

Leadership et engagement

La Direction de la CUN démontre son leadership et son engagement à l’égard du Système de Gestion de la Sécurité de l’Information de la manière suivante :

  • En garantissant que la Politique de Sécurité de la CUN et ses objectifs ont été établis et sont compatibles avec l’orientation stratégique de l’Organisation.
  • En garantissant l’intégration des exigences du SGSI dans les processus de l’organisation.
  • En fournissant les ressources nécessaires pour mettre en œuvre, maintenir et améliorer en continu le SGSI.
  • En communiquant l’importance d’une gestion efficace du système et de la satisfaction de ses exigences.
  • En veillant à ce que le SGSI atteigne les résultats prévus.
  • En dirigeant et en soutenant les personnes afin qu’elles contribuent à l’efficacité du SGSI.
  • En promouvant l’amélioration continue.
  • En favorisant une culture de sécurité de l’information parmi tous les membres de l’Organisation.
  • En veillant à ce que les objectifs de sécurité de l’information soient définis et communiqués.
  • En soutenant les autres fonctions de management concernées afin de démontrer leur leadership dans leurs domaines de responsabilité respectifs.

Politique générale de sécurité de l’information

La Direction de la CUN convient que le développement des activités de cette Organisation, ainsi que l’atteinte de ses objectifs stratégiques en matière de Sécurité de l’Information, exigent de garantir, à tout moment, un haut niveau de conformité aux niveaux établis en matière de confidentialité, disponibilité, traçabilité, authenticité et intégrité de l’information pour ses actifs, ainsi qu’aux principes juridiques, organisationnels et techniques correspondants, en particulier, et aux fins de la présente politique, en ce qui concerne la protection des données à caractère personnel.

La CUN considère qu’il est essentiel de garantir la sécurité de l’information dans toutes ses dimensions (intégrité, confidentialité, disponibilité), ainsi que la sécurité des processus, des infrastructures, des personnes et des autres ressources impliquées dans la prestation des services de l’Organisation. La CUN doit gérer de manière appropriée la sécurité : protéger ces éléments contre d’éventuelles menaces, minimiser leurs risques et garantir la continuité de ses processus métier.

Par conséquent, la protection de l’information et le maintien de sa sécurité deviennent un objectif global qui doit être assumé comme propre par chacun des membres de la CUN, lesquels doivent connaître et respecter la Politique de Sécurité de l’Information, les procédures, normes, standards et recommandations qui en assurent la mise en œuvre.

À cette fin, un SGSI a été développé et mis en œuvre, établissant le cadre de référence pour le traitement sécurisé des actifs de ladite Organisation.

Les engagements de la CUN en matière de Gestion de la Sécurité de l’Information sont les suivants :

  • Rendre manifeste l’engagement de la Direction envers le SGSI, y compris la Gestion de la Sécurité de l’Information.
  • Garantir l’intégration des exigences du SGSI dans les processus métier de la CUN.
  • Veiller à ce que les objectifs de Sécurité de l’Information soient définis dans le SGSI et qu’ils soient compatibles avec le contexte et l’orientation stratégique de l’Organisation.
  • Définir, développer et mettre en œuvre les contrôles nécessaires, en promouvant l’approche processus et la pensée fondée sur les risques afin de garantir, à tout moment, le respect des niveaux de risque approuvés par l’Organisation.
  • Respecter en permanence la législation en vigueur, ainsi que les normes et spécifications particulières applicables aux services fournis par l’Organisation.
  • Créer une culture de gestion intégrée des Systèmes d’Information et de la Sécurité, aussi bien en interne, pour l’ensemble du personnel, qu’en externe vis-à-vis des patients et des prestataires.
  • Engager, diriger et soutenir le personnel afin de contribuer à l’efficacité du SGSI, garantir la disponibilité des ressources nécessaires, ainsi que soutenir les autres rôles de management concernés dans la mise en œuvre du système de gestion dans leurs domaines de responsabilité.
  • Considérer la gestion de la Sécurité de l’Information comme un processus d’amélioration continue.
  • Maintenir la confiance et la satisfaction des patients et du personnel de l’Organisation.

Portée et champ d’application

La présente Politique de Sécurité de l’Information s’applique à l’ensemble des informations gérées par la CUN, à tous les systèmes d’information, réseaux, applications, équipements matériels et logiciels appartenant à la CUN ou placés sous son contrôle, ainsi qu’à l’ensemble du personnel qui, de manière permanente ou ponctuelle, exerce ses fonctions à la CUN, y compris le personnel d’organisations externes, directement ou indirectement lié à la CUN et à son SGSI, qui a besoin de ces ressources pour l’exercice de ses fonctions et tâches.

Cadre légal et réglementaire

La CUN s’engage à respecter l’ensemble de la législation et de la réglementation en vigueur applicables en matière de protection des données et de sécurité de l’information, notamment :

  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
  • Reglamento General de Protección de Datos (RGPD).
  • Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
  • Ley de Prevención de Riesgos Laborales (LPRL).
  • Ley de Propiedad Intelectual (LPI).
  • Ley 6/2020, de 11 de noviembre (Servicios Electrónicos de Confianza).
  • Règlement eIDAS 2.
  • Exigences de la Joint Commission International.
  • Directive NIS2 du Parlement européen et du Conseil.
  • ISO 27001 Sécurité de l’information, Cybersécurité et Protection de la vie privée.

Révision et conformité

La présente Politique de Sécurité de l’Information sera révisée chaque année ou lorsqu’interviendront des changements significatifs dans l’environnement de la CUN ou dans la réglementation applicable. Son non-respect pourra entraîner des mesures disciplinaires, conformément au régime interne de la CUN et à la législation en vigueur.