Arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au Système national des données de santé
Sur l'arrêté
| Entrée en vigueur : | 9 mai 2024 |
|---|---|
| Dernière modification : | 9 mai 2024 |
Commentaires • 25
Décision • 0
Document parlementaire • 0
Versions du texte
Le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention, et la secrétaire d'État auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée du numérique,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment ses articles L. 1461-1 et R. 1461-7 ;
Vu le code de la recherche, notamment son article L. 225-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 20 juillet 2023,
Arrêtent :
- Arrêté du 22 mars 2017Art. 1, Art. 2, Art. 3, Sct. Annexe, Art. null
I. - Les systèmes d'information existants soumis au référentiel fixé par l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé sont mis en conformité avec le référentiel fixé par le présent arrêté pour leur prochaine homologation de sécurité, et au plus tard dans un délai de deux ans à compter de la publication du présent arrêté. Durant ces délais, ces systèmes d'information restent conformes au référentiel fixé par l'arrêté du 22 mars 2017 précité.
II. - Les systèmes d'information existants non soumis au référentiel fixé par l'arrêté du 22 mars 2017 précité sont mis en conformité avec le référentiel fixé par le présent arrêté dans un délai maximal de deux ans à compter de sa publication.
III. - Les gestionnaires des systèmes d'information mentionnés aux I et II définissent, dans un délai maximal de six mois, un plan d'action de mise en conformité avec le référentiel fixé par le présent arrêté, indiquant les mesures à prendre dans l'immédiat puis à court et moyen terme. Dans le même délai, ils mènent une analyse de risques et mettent en place des actions garantissant la confidentialité et l'intégrité des données, ainsi que la traçabilité des accès et traitements de ces données, afin d'assurer la protection des données et le respect de la vie privée des personnes concernées.
IV. - Les systèmes d'information créés après l'entrée en vigueur du présent arrêté sont en conformité avec le référentiel fixé par ce dernier dès leur création.
- Cour de cassation, 1re chambre civile, 15 mai 2024, n° 23-13.998
- CJCE, n° C-97/86, Arrêt de la Cour, Asteris AE et autres et République hellénique contre Commission des Communautés européennes, 26 avril 1988
- Article R414-4 du Code de la route
- Cour de cassation, Chambre civile 2, 22 octobre 2020, 19-16.847, Inédit
- Cour d'appel d'Angers, Chambre a - civile, 21 novembre 2017, n° 15/01195
- Tribunal administratif de Cergy-Pontoise, Reconduite à la frontière, 4 octobre 2024, n° 2413365
- Tribunal Judiciaire de Saint-Étienne, 1re chambre civile, 13 février 2025, n° 24/02974
- Entreprises MAULEVRIER (49360)
- HOLY COOK (MORESTEL, 980036545)
- C.S.E ASSURANCE (PARIS 11, 829445857)