Contexte réglementaire

L’interconnexion croissante des réseaux et les besoins de dématérialisation exposent les systèmes d’information à des incidents de sécurité. Dans le secteur santé, ces systèmes apparaissent comme critiques, que ce soit au regard de leur disponibilité ou vis-à-vis de l’intégrité et la confidentialité des données qu’ils manipulent. La mise en défaut de ces systèmes pourrait impacter fortement l’activité de l’ensemble des acteurs du secteur et la prise en charge des patients.

 

Obligations

L’article L.1111-8-2 du code de la santé publique institue l’obligation de signalement des incidents de sécurité des systèmes d’information.

Le décret d’application n°2016-1214 du 12 septembre 2016 précise que les incidents graves de sécurité des systèmes d’information du secteur santé doivent être signalés sans délai à compter du 1er octobre 2017 pour : 

  • les établissements de santé,
  • les hôpitaux des armées,
  • les centres de radiothérapie,
  • les laboratoires de biologie médicale.

L’arrêté du 30 octobre 2017 présente les modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information.

Les incidents de sécurité à signaler

Les incidents graves de sécurité des systèmes d’information ont des conséquences :

  • potentielles ou avérées sur la sécurité des soins ;
  • sur l’intégrité ou la confidentialité des données de santé ;
  • sur le fonctionnement normal de l’établissement.