FICHE DE SYNTHESE – Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information

FICHE DE SYNTHESE – Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information

FICHE DE SYNTHESE – Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information

Par Myriam TAMRAZ, juriste, apprentie du Centre de droit JuriSanté du CNEH.

Comment déclarer un incident grave de sécurité des systèmes d’information ?

L’article L .1111-8-2 prévoit que : « Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’Etat. »

L’arrêté du 30 octobre 2017 a pour objet de fixer les modalités de transmission de cette déclaration

I / Quelles informations doit contenir le formulaire ? (Article 1)

  • Les informations permettant d’identifier la structure concernée par l’accident ainsi que le déclarant ;
  • La description de l’incident (date du constat, périmètre de l’incident…) ;
  • La description de l’impact de l’incident sur les données, les personnes, le système d’information et la structure ;
  • Les causes de l’incident.

 

II / A quelles institutions les informations sont-elles transmises et qu’en font-elles ? (Articles 2 & 3)

Elles sont transmises à l’agence régionale de santé compétente (ARS) et à l’agence des systèmes d’information partagés de santé (ASIP).

Il leur renvient alors de d’analyser la déclaration et de qualifier les incidents signalés.

Dans le cas où la structure concernée par l’accident le souhaiterait, l’ARS et l’ASIP sont compétentes pour formuler des recommandations et proposer trois types de mesures :

  • Des mesures d’urgence,
  • Des mesures de remédiation,
  • Des mesures destinées à améliorer la sécurité du ou des systèmes concernés.

 

III / Quel est le rôle de l’ASIP et de l’ARS ?

  • l’ASIP : Elle est responsable du traitement de données à caractère personnel  mentionné à l’article D.1111-16-3 CSP. Ce traitement a pour finalités :
    • Le recueil, l’analyse, la qualification et la transmission des signalements des incidents de sécurité aux agences et autorités compétentes ;
    • « La mise en place d’un service d’information et d’accompagnement des établissements de santé, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des agences régionales de santé et des autorités compétentes de l’Etat, concernant la prévention et la gestion des incidents de sécurité, ainsi que la sécurité des systèmes d’information ».
  • L’ARS : Les déclarations transmises à l’ARS sont conservées dans le système d’information prévu à cet effet. L’Agence prend les mesures qui s’imposent pour faire face aux conséquences éventuelles d’un incident grave de sécurité des systèmes d’information sur l’offre de soin de son territoire. D’autre part, elle met en œuvre des mesures de sécurité afin de garantir la confidentialité et l’intégrité de la conservation, de la sauvegarde et des transmissions de données à caractère personnel.

La logique de vigilance dans les structures de prise en charge se poursuit. Après le signalement d’un EIG, des incidents en établissements médico-sociaux…. Vient le signalement des EIG de sécurité des systèmes d’information.