Entrée en vigueur le 29 avril 2022
Modifié par : Décret n°2022-715 du 27 avril 2022 - art. 1
I.-La déclaration des incidents graves de sécurité des systèmes d'information prévue par l'article L. 1111-8-2 est destinée à :
1° Fournir aux autorités compétentes de l'Etat les informations nécessaires pour décider des mesures de prévention en matière de sécurité des systèmes d'information ou permettant d'assurer la continuité de la prise en charge sanitaire ;
2° Aider les établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins à prendre toute mesure utile pour prévenir la survenue d'incidents significatifs ou graves de sécurité des systèmes d'information ou en limiter les effets.
II.-Sont considérés comme incidents significatifs ou graves de sécurité des systèmes d'information les événements générateurs d'une situation exceptionnelle au sein d'un établissement, organisme ou service, et notamment :
-les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
-les incidents ayant des conséquences sur la confidentialité ou l'intégrité des données de santé ;
-les incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service ;
-les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé ;
-les incidents susceptibles de toucher d'autres établissements, organismes ou services.
III.-Parmi les incidents graves de sécurité des systèmes d'information, sont jugés significatifs les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d'autres établissements, organismes ou services.
La loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé avait introduit dans le Code de la Santé Publique un article L1111-8-2 imposant aux « établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins » de signaler « sans délai à l'agence régionale de santé les incidents graves de sécurité des systèmes d'information ». Le décret d'application était attendu pour avril 2016. […] Les catégories d'incidents sont définies à l'article D1111-16-2, II et III du Code de la Santé Publique. […]
Lire la suite…Il réforme des conditions et modalités des signalements prévus à l'article L. 1111-8-2 du code de la santé publique. […] Les établissements médico-sociaux désormais concernés Jusqu'à présent, les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et centres de radiothérapie étaient seuls concernés par cette procédure (Décret n° 2016-1214 du 12 septembre 2016). […] Les établissements médicaux-sociaux sont dorénavant intégrés à la liste de l'article D. 1111-16-4 du CSP, au même titre donc, que les organismes et services exerçant des activités de prévention, de diagnostic ou de soins. […]
Lire la suite…
Dans ce 3ème cas, une communication publique est alors réalisée, en application de l'article 34.3 c) du RGPD. […] Cette notification se réalise sur le site internet de la CNIL. […] Dans le secteur de la santé par exemple, les incidents graves de sécurité des systèmes d'information doivent être notifiées à l'Agence du numérique en santé, en application des articles L1111-8-2 et D.1111-16-2 du code de la santé publique. […]
Lire la suite…