🟦 DĂ©cret du 27 avril 2022 relatif aux conditions et aux modalitĂ©s de mise en Ĺ“uvre du signalement des incidents significatifs ou graves de sĂ©curitĂ© des systèmes d’information

Références

NOR : SSAZ2123175D
ELI : https://www.legifrance.gouv.fr/eli/decret/2022/4/27/SSAZ2123175D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2022/4/27/2022-715/jo/texte
Source : JORF n°0099 du 28 avril 2022, texte n° 35

Informations

Publics concernés : établissements de santé ; organismes et services exerçant des activités de prévention, de diagnostic ou de soins ; établissements médico-sociaux.

Objet : conditions et modalitĂ©s de mise en Ĺ“uvre du signalement des incidents significatifs ou graves de sĂ©curitĂ© des systèmes d’information.

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le texte dĂ©finit les catĂ©gories d’incidents de sĂ©curitĂ© des systèmes d’information des Ă©tablissements de santĂ©, des hĂ´pitaux des armĂ©es, des organismes et services exerçant des activitĂ©s de prĂ©vention, de diagnostic ou de soins et des Ă©tablissements mĂ©dico-sociaux devant faire l’objet d’un signalement aux autoritĂ©s compĂ©tentes de l’Etat, ainsi que les conditions et modalitĂ©s selon lesquelles ils sont traitĂ©s.

RĂ©fĂ©rences : le dĂ©cret est pris pour l’application de l’article L. 1111-8-2 du code de la santĂ© publique, dans sa rĂ©daction issue de l’article 1er de l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences rĂ©gionales de santĂ©. Le dĂ©cret ainsi que les dispositions du code de la santĂ© publique qu’il modifie peuvent ĂŞtre consultĂ©s, dans leur rĂ©daction issue de cette modification, sur le site LĂ©gifrance (https://www.legifrance.gouv.fr).

En-tĂŞte

Le Premier ministre,
Sur le rapport du ministre des solidarités et de la santé,
Vu l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences rĂ©gionales de santĂ© ;
Vu le code de la santé publique, notamment ses articles L. 1111-8-2, L. 1111-24 et D. 1413-58 ;
Vu le code de la défense, notamment ses articles R.* 1132-3 et R. 1143-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu le dĂ©cret n° 2018-384 du 23 mai 2018 relatif Ă  la sĂ©curitĂ© des rĂ©seaux et systèmes d’information des opĂ©rateurs de services essentiels et des fournisseurs de service numĂ©rique ;
Vu le dĂ©cret n° 2009-834 du 7 juillet 2009 modifiĂ© portant crĂ©ation d’un service Ă  compĂ©tence nationale dĂ©nommĂ© « Agence nationale de la sĂ©curitĂ© des systèmes d’information »,
Décrète :

Article 1

Le code de la santé publique est ainsi modifié :
1° Dans l’intitulĂ© de la sous-section 4 de la section 1 du chapitre Ier du titre Ier du livre Ier de la première partie rĂ©glementaire, les mots : « et conditions » sont remplacĂ©s par les mots : « , conditions et modalitĂ©s » et, après les mots : « des incidents », sont insĂ©rĂ©s les mots : « significatifs ou » ;
2° L’article D. 1111-16-2 est ainsi modifiĂ© :
a) Le 1° du I est complĂ©tĂ© par les mots : « ou permettant d’assurer la continuitĂ© de la prise en charge sanitaire » ;
b) Au 2° du I, après les mots : « survenue d’incidents », sont insĂ©rĂ©s les mots : « significatifs ou » ;
c) Au premier alinéa du II, après les mots : « comme incidents », sont insérés les mots : « significatifs ou » ;
d) Le II est complété par deux alinéas ainsi rédigés :

« – les incidents ayant un retentissement potentiel ou avĂ©rĂ© sur l’organisation dĂ©partementale, rĂ©gionale ou nationale du système de santĂ© ;
« – les incidents susceptibles de toucher d’autres Ă©tablissements, organismes ou services. » ;

3° L’article D. 1111-16-3 est remplacĂ© par les dispositions suivantes :

« Art. D. 1111-16-3. – I. – La dĂ©claration des incidents significatifs ou graves de sĂ©curitĂ© des systèmes d’information, sans prĂ©judice des autres dĂ©clarations obligatoires, est effectuĂ©e sans dĂ©lai par le directeur de l’Ă©tablissement de santĂ©, de l’organisme ou du service exerçant des activitĂ©s de prĂ©vention, de diagnostic ou de soins, de l’Ă©tablissement mĂ©dico-social ou la personne dĂ©lĂ©guĂ©e Ă  cet effet, auprès du groupement d’intĂ©rĂŞt public mentionnĂ© Ă  l’article L. 1111-24.
« Le groupement d’intĂ©rĂŞt public assure :

« – l’analyse des incidents significatifs ou graves de sĂ©curitĂ© des systèmes d’information et la proposition des mesures Ă  prendre pour faire face Ă  cet incident ;
« – l’appui de la structure dĂ©clarant l’incident. Il peut formuler des recommandations et notamment proposer des mesures d’urgence pour limiter l’impact de celui-ci, des mesures de remĂ©diation ainsi que des mesures destinĂ©es Ă  amĂ©liorer la sĂ©curitĂ© du ou des systèmes d’information concernĂ©s ;
« – la relation avec l’Agence nationale de sĂ©curitĂ© des systèmes d’information, notamment en cas d’incident concernant un opĂ©rateur de service essentiel ou qui pourrait avoir un impact de portĂ©e nationale ;
« – la prĂ©vention des incidents, en organisant les retours d’expĂ©rience au niveau national, et la proposition de mesures d’aide au traitement des incidents ;
« – la gestion et la mise en Ĺ“uvre du traitement de donnĂ©es Ă  caractère personnel relatif aux signalements, dont les caractĂ©ristiques sont prĂ©cisĂ©es par un arrĂŞtĂ© du ministre chargĂ© de la santĂ©.

« Le groupement d’intĂ©rĂŞt public informe sans dĂ©lai le service du haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© des ministères sociaux de tout signalement analysĂ©. Il informe Ă©galement sans dĂ©lai les services compĂ©tents de la direction gĂ©nĂ©rale de la santĂ©, ainsi que les agences rĂ©gionales de santĂ© concernĂ©es, de tout signalement susceptible d’avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l’offre de soins.
« Le groupement d’intĂ©rĂŞt public est informĂ© sans dĂ©lai de la rĂ©solution des incidents par l’une des personnes mentionnĂ©es au premier alinĂ©a du prĂ©sent I.
« Il Ă©tablit, au vu des informations communiquĂ©es par les Ă©tablissements et organismes concernĂ©s, un rapport annuel Ă  caractère statistique relatif aux signalements anonymisĂ©s des incidents de sĂ©curitĂ© des systèmes d’information. Ce rapport est rendu public.
« II. – Sous rĂ©serve des dispositions relatives Ă  la protection du secret de la dĂ©fense nationale, la dĂ©claration d’un incident significatif ou grave de sĂ©curitĂ© mentionnĂ© Ă  l’article L. 1111-8-2 est effectuĂ©e via le site internet mentionnĂ© Ă  l’article D. 1413-58.
« Le dĂ©clarant fournit toutes les informations dont il dispose au moment de la dĂ©couverte de l’incident et notamment les informations suivantes :

« – les informations permettant d’identifier la structure concernĂ©e par l’incident ainsi que le dĂ©clarant ;
« – la description de l’incident, notamment la date du constat, le pĂ©rimètre de l’incident, les systèmes d’information et donnĂ©es concernĂ©es et l’Ă©tat de la prise en charge ;
« – la description de l’impact de l’incident sur les donnĂ©es, sur les personnes, sur les systèmes d’information et sur la structure ;
« – les causes de l’incident, si celles-ci sont identifiĂ©es.

« Le groupement d’intĂ©rĂŞt public mentionnĂ© Ă  l’article L. 1111-24 peut demander Ă  la structure concernĂ©e par l’incident toute information complĂ©mentaire permettant la qualification de l’incident et la mise en place d’une rĂ©ponse adaptĂ©e. » ;

4° L’article D. 1111-16-4 est ainsi modifiĂ© :
a) Au premier alinéa, après les mots : « établissements de santé, », est inséré le mot : « les » et, après les mots : « article D. 1111-16-2 », sont insérés les mots : « et les établissements médico-sociaux » ;
b) Il est ajouté un alinéa ainsi rédigé :

« – les Ă©tablissements mĂ©dico-sociaux. »

Article 2

La ministre des armĂ©es et le ministre des solidaritĂ©s et de la santĂ© sont chargĂ©s, chacun en ce qui le concerne, de l’exĂ©cution du prĂ©sent dĂ©cret, qui sera publiĂ© au Journal officiel de la RĂ©publique française.

Date et signature(s)

Fait le 27 avril 2022.

Jean Castex
Par le Premier ministre :

Le ministre des solidarités et de la santé,
Olivier VĂ©ran

La ministre des armées,
Florence Parly