Le cadre législatif
L’article L.1111-8-2 du code de la santé publique institue l’obligation de signalement des incidents de sécurité des systèmes d’information.
Structures concernées par l’obligation
Le décret d’application n°2022-715 du 27 avril 2022 précise que les incidents graves de sécurité des systèmes d’information du secteur santé doivent être signalés sans délai pour :
• les établissements de santé,
• les hôpitaux des armées,
• les centres de radiothérapie,
• les laboratoires de biologie médicale,
• et les établissements médico-sociaux.
Nature des incidents à déclarer
Les incidents graves de sécurité des systèmes d’information ont des conséquences :
• potentielles ou avérées sur la sécurité des soins ;
• sur l’intégrité ou la confidentialité des données de santé ;
• sur le fonctionnement normal de l’établissement ;
Cette obligation s’applique également aux incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et ceux qui sont susceptibles de toucher d’autres établissements et organismes ou services.