Ouverture de la cellule Accompagnement Cybersécurité des Structures de Santé


Depuis le 1er octobre 2017  vous devez déclarer vos incidents de sécurité de systèmes d’information.

Cette obligation est précisée dans l’art. 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016.

Art. L. 1111-8-2.-Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’Etat. « Un décret définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. »

Le décret d’application n°2016-1214 du 12 sept.2016 décrit quant à lui les conditions selon lesquelles vous devez signaler ces incidents graves de sécurité des systèmes d’information.

Sont considérés comme incidents graves de sécurité des systèmes d’information les événements générateurs d’une situation exceptionnelle au sein d’un établissement, organisme ou service, et notamment :

«-les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
«-les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
«-les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.

Vous trouverez ci dessous les différentes vigilances concernées

L’article L 1111-8-2 du Code de la Santé Publique fixe à présent cette obligation.

Art. D. 1111-16-3.-La déclaration des incidents graves de sécurité des systèmes d’information, sans préjudice des autres déclarations obligatoires, est effectuée sans délai par le directeur de l’établissement de santé, de l’organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, ou la personne déléguée à cet effet, auprès du directeur général de l’agence régionale de santé. L’agence régionale de santé est responsable de la qualification des incidents signalés.

Pour déclarer vos incidents de sécurité, vous devez vous rendre sur l’espace « professionnels de santé » du portail de signalement des évènements sanitaires indésirables et renseigner ensuite un formulaire spécifique.  L’adresse pour accéder à cette déclaration en ligne est ici