Les modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins sont dévoilées.
Mis en place sur le modèle de la déclaration des événements indésirables graves liés aux soins, la mise en œuvre du dispositif de signalement des incidents graves de sécurité des systèmes d’information dans le secteur de la santé se poursuit.
Remarque : sont considérés comme des incidents graves de sécurité des systèmes d’information les événements générateurs d’une situation exceptionnelle au sein d’un établissement, organisme ou service (
D. n° 2016-1214, 12 sept. 2016 : JO, 14 sept.).
Le 1er octobre 2017 marque le début de l’obligation pour les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins de signaler sans délai à l'agence régionale de santé (ARS) les incidents graves de sécurité des systèmes d'information. Les modalités de signalement et de traitement de ces incidents sont détaillées dans un arrêté du 30 octobre 2017.
Modalités de signalement
Les déclarations d’incidents graves de sécurité sont effectuées sur le portail de signalement des événements sanitaires indésirables au moyen du formulaire de déclaration figurant en annexe de l’arrêté. Elles sont ensuite transmises à l’ARS compétente et à l’Agence des systèmes d’information partagés de santé (ASIP Santé).
La structure concernée par l’incident, informée de la prise en compte et de l’analyse de son signalement, peut demander à ce que l’ASIP santé et l’ARS compétente l’accompagnent dans la gestion de l’incident. Ces dernières peuvent formuler des recommandations et notamment proposer des mesures d’urgence pour limiter l’impact de l’incident, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés.
Quid des données recueillies ?
Les systèmes d’information apparaissent comme critiques au regard, notamment, de l’intégrité et de la confidentialité des données qu’ils manipulent.
L’ARS compétente met en œuvre les mesures de sécurité destinées à garantir la confidentialité et l’intégrité de la conservation, de la sauvegarde et des transmissions de données à caractère personnel dans le système d’information où sont enregistrées et traitées les déclarations reçues. L'Asip Santé est, pour sa part, responsable de cette mise en oeuvre.
Les données contenues dans le formulaire de déclaration et celles relatives à l’identification des personnes chargées du traitement du signalement sont conservées pendant la durée nécessaire à la gestion de l’incident de sécurité. Elles font ensuite l’objet d’un archivage.
Le droit d’opposition ne s’applique pas au traitement ayant pour finalité le recueil, l’analyse, la qualification, la transmission et la gestion des signalements des incidents de sécurité par les agences ou les autorités compétentes de l’Etat.
Le droit public se définit comme la branche du droit s'intéressant au fonctionnement et à l’organisation de l’Etat (droit constitutionnel notamment), de l’administration (droit administratif), des personnes morales de droit public mais aussi, aux rapports entretenus entre ces derniers et les personnes privées.
Karima Haroun, Dictionnaire Permanent Santé, bioéthique, biotechnologies
