Le cadre législatif et les déclarations

14/04/2026

L’article L.1111-8-2 du code de la santé publique institue l’obligation de signalement des incidents de sécurité des systèmes d’information.

Structures concernées par l’obligation
Le décret d’application n°2022-715 du 27 avril 2022 précise que les incidents graves de sécurité des systèmes d’information du secteur santé doivent être signalés sans délai pour :
•   les établissements de santé,
•   les hôpitaux des armées,
•   les centres de radiothérapie,
•   les laboratoires de biologie médicale,
•   et les établissements médico-sociaux.

Nature des incidents à déclarer
Les incidents graves de sécurité des systèmes d’information ont des conséquences :
•   potentielles ou avérées sur la sécurité des soins ;
•   sur l’intégrité ou la confidentialité des données de santé ;
•   sur le fonctionnement normal de l’établissement.

En plus de la déclaration au CERT Santé de l’ANS, des déclarations complémentaires sont à réaliser auprès de l’ANSSI, de la CNIL et du ministère de l’intérieur (Policeou Gendarmerie) en fonction de la qualité de votre établissement (entité régulée (OIV/OSE/EE/EI)) ou de la nature de l’incident.

Un support présentant ces différentes déclarations, la chaine de traitement des signalements d’incidents et le service de réponse à incident du CERT Santé est présenté dans le support ci-dessous.

Fiche de présentation des déclarations et du service de réponse à incidents du CERT Santé

CERT Santé_Fiche_déclaration_incident VF.pdf - 14 avril 2026 - PDF - 493.53 Ko