Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information

Sur l'arrêté

Entrée en vigueur :	9 novembre 2017
Dernière modification :	9 novembre 2017

Commentaires • 6

1. Comment réagir lors d'une faille de sécurité des données de santé ?

Stéphane Astier Et Olivier Prevost · Haas avocats · 2 juillet 2019

cidTexte=JORFTEXT000035986261&dateTexte=&categorieLien=id">arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information [7] Article 34 du Règlement Général sur la Protection des Données

2. Les obligations de notification des incidents de sécurité

www.scaraye.com · 4 juin 2018

id=JORFTEXT000035986261" target="_blank" rel="nofollow noopener" class="external external_icon">annexe de l'arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information (1). […]

3. Droit informatique – Signalement et traitement des incidents graves de sécurité

Le Petit Juriste · 1^er février 2018

Un arrêté du 30 octobre 2017 vient modifier les modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information mentionnés à l'article L. 1111-8-2 du code de la santé publique. Le signalement de ces dits incidents doit être effectué sur le portail de signalement des événements sanitaires indésirables.

Afficher tout (6)

Décision • 0

Aucune décision indexée sur Doctrine ne cite cette loi.

Document parlementaire • 0

Doctrine propose ici les documents parlementaires sur les articles modifiés par les lois à partir de la XVe législature (2017).

Versions du texte

Version initiale (JORF)

Version consolidée à une date précise

Dernière version consolidée

La ministre des solidarités et de la santé,
Vu le code de la santé publique, notamment ses articles L. 1110-4-1, L. 1111-8-2 et D. 1111-16-3 ;
Vu le code de la défense, notamment son article R. 1143-5 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information ;
Vu l'arrêté du 1er octobre 2015 portant approbation de la politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales ;
Vu l'arrêté du 27 février 2017 relatif au traitement automatisé de données à caractère personnel dénommé « portail de signalement des évènements sanitaires indésirables » ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 14 septembre 2017,
Arrête :

Article 1

Cité dans 0 amendementCité dans 0 commentaireCité dans 0 décision

Sous réserve des dispositions relatives à la protection du secret de la défense nationale, la déclaration d'un incident grave de sécurité mentionné à l'article L. 1111-8-2 du code de la santé publique est effectuée sur le portail de signalement des évènements sanitaires indésirables prévu par l'arrêté du 27 février 2017 susvisé, au moyen du formulaire de déclaration figurant en annexe du présent arrêté.
En cas d'impossibilité de déclaration par voie électronique, celle-ci peut se faire par tout moyen en respectant la forme et le contenu figurant en annexe auprès de l'agence régionale de santé territorialement compétente.
Le formulaire de déclaration permet au déclarant de fournir toutes les informations dont il dispose au moment de la découverte de l'incident. Il comporte les informations suivantes :

- les informations permettant d'identifier la structure concernée par l'incident ainsi que le déclarant ;
- la description de l'incident, notamment la date du constat, le périmètre de l'incident, les systèmes d'information et données concernées et l'état de la prise en charge ;
- la description de l'impact de l'incident sur les données, sur les personnes, sur les systèmes d'information et sur la structure ;
- les causes de l'incident, si celles-ci sont identifiées.

Article 2

Cité dans 0 amendementCité dans 0 commentaireCité dans 0 décision

Les déclarations reçues sur le portail de signalement des évènements sanitaires indésirables mentionné à l'article 1er du présent arrêté sont transmises à l'agence régionale de santé compétente et à l'agence des systèmes d'information partagés de santé, qui en informe les personnes mentionnées à l'article D. 1111-16-3 du code de la santé publique, selon les modalités prévues par cet article.

Article 3

Cité dans 0 amendementCité dans 0 commentaireCité dans 0 décision

L'agence régionale de santé compétente s'appuie sur l'agence des systèmes d'information partagés de santé qui analyse la déclaration et qualifie les incidents signalés pour son compte.
La structure concernée par l'incident est informée de la prise en compte et de l'analyse de son signalement par l'agence des systèmes d'information partagés de santé.
L'agence des systèmes d'information partagés de santé et l'agence régionale de santé compétente peuvent demander à la structure concernée par l'incident toute information complémentaire permettant la qualification de l'incident et la mise en place d'une réponse adaptée.
A la demande de la structure concernée par l'incident, l'agence des systèmes d'information partagés de santé et l'agence régionale de santé compétente l'accompagnent dans la gestion de l'incident. Elles peuvent formuler des recommandations et notamment proposer des mesures d'urgence pour limiter l'impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d'information concernés.