Aller au contenu

NUMERIQUE : signalement obligatoire des incidents de sécurité des SI des ESSMS

Au JO du 28 avril 2022 a été publié le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.

.

1. Présentation

1.1. Définition des évènements à signaler

Pris en application de l’article L. 1111-8-2 du Code de la santé publique (CSP), ce décret définit les catégories d’incidents de sécurité des systèmes d’information des établissements et services sociaux et médico-sociaux (ESSMS) qui doivent faire l’objet d’un signalement aux autorités compétentes de l’Etat, ainsi que les conditions et modalités selon lesquelles ils sont traités.

Ainsi est modifié l’article D. 1111-16-2 qui prévoit désormais que doivent faire l’objet d’une information à l’Administration, sous forme de déclaration d’incident grave de sécurité des systèmes d’information, les évènements suivants :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service ;
  • les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
  • les incidents susceptibles de toucher d’autres établissements, organismes ou services.

A cet égard, sont considérés comme significatifs :

  • les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
  • les incidents susceptibles de toucher d’autres établissements, organismes ou services.

1.2. Procédure de signalement

L’article D. 1111-16-3 du CSP prescrit que la déclaration d’incident significatif ou grave de sécurité des systèmes d’information doit être effectuée sans délai par le directeur de l’ESSMS auprès de l’Agence du numérique en santé (ANS). Cette déclaration, qui doit être faite sur la plateforme Internet dédiée, doit comprendre toutes les informations dont il dispose au moment de la découverte de l’incident et notamment les données suivantes :

  • informations permettant d’identifier la structure concernée par l’incident ainsi que le déclarant ; 
  • description de l’incident, notamment la date du constat, le périmètre de l’incident, les systèmes d’information et données concernées et l’état de la prise en charge ; 
  • description de l’impact de l’incident sur les données, sur les personnes, sur les systèmes d’information et sur la structure ;
  • causes de l’incident, si celles-ci sont identifiées. 

L’agence rend compte, à son tour et sans délai :

  • au haut fonctionnaire de défense et de sécurité (HFDS) des ministères sociaux ;
  • aux services compétents du ministère de la santé,
  • aux agences régionales de santé concernées (ARS).

1.3. Clôture de la procédure

Une fois l’incident résolu, le directeur de l’ESSMS doit informer sans délai l’ANS de la résolution de l’incident.

2. Commentaire

Maîtriser cette procédure de signalement constitue un enjeu important pour les directrices et directeurs d’ESSMS, d’autane qu’elle n’est pas la seule à devoir être mise en oeuvre.

En effet, en application des articles 32 et suivants du Règlement général sur la protection des données (RGPD), le responsable de traitement porte la responsabilité de garantir la sécurité des données. C’est pourquoi, lorsqu’une violation des données est intervenue, le directeur doit, en sus de la procédure de signalement décrite ici, la notifier à la Commission nationale de l’informatique et des libertés (CNIL) au visa de l’article 33 du RGPD. Il doit également informer chaque personne concernée, conformément à l’article 34 du RGPD.

Par ailleurs, en application de l’article 1er de l’arrêté du 28 décembre 2016 relatif à l’obligation de signalement des structures sociales et médico-sociales pris au visa de l’article R. 331-8 du Code de l’action sociale et des familles (CASF), le directeur ou la directrice doit réaliser une déclaration d’événement indésirable grave (EIG).

Au total, ce sont donc 3 déclarations qu’il convient de faire. Il paraît nécessaire que les ESSMS se dotent, à l’initiative du délégué à la protection des données (DPO), d’une procédure claire dont l’objet est de traiter les dysfonctionnements considérés, recensant et organisant la réalisation de l’ensemble des déclarations obligatoires.