Le formulaire de déclaration des incidents informatiques dans les structures de santé publié par arrêté

PARIS, 20 novembre 2017 (TICsanté) - Le formulaire de déclaration des incidents graves de sécurité des systèmes d'information affectant les structures de santé a été publié dans un arrêté le 8 novembre au Journal officiel.

La loi du 26 janvier 2016 a renforcé le dispositif d'alerte en cas d'atteintes aux systèmes informatiques des établissements de santé, des hôpitaux des armées, des laboratoires de biologie médicale et des centres de radiothérapie, rappelle-t-on.

Depuis le 1er octobre 2017, ces structures sont tenues de relayer à leur agence régionale de santé (ARS) les incidents de sécurité "graves" et "significatifs" sur leurs systèmes d'information de santé. Un décret publié en septembre 2016 a détaillé les catégories d'incidents devant faire l'objet d'un signalement (voir dépêche du 19 septembre 2016)

Ces remontées doivent se faire sur le portail de signalement des évènements sanitaires indésirables depuis l'espace dédié aux professionnels de santé (www.signalement.social-sante.gouv.fr).

Les informations que doit contenir le formulaire de déclaration des incidents sont détaillées en annexe de l'arrêté paru mercredi au Journal officiel. Elles portent sur la date de l'incident, son périmètre, son suivi, ses impacts sur la sécurité de la structure et celle de ses données, et son origine.

"En cas d'impossibilité de déclaration par voie électronique, celle-ci peut se faire par tout moyen en respectant la forme et le contenu figurant en annexe auprès de l'agence régionale de santé territorialement compétente", précise l'arrêté.

A réception de la déclaration, l'ARS compétente "s'appuie sur l'Agence des systèmes d'information partagés de santé [Asip santé] qui analyse la déclaration et qualifie les incidents signalés pour son compte", poursuit l'arrêté. Le texte reprend les dispositions prévues par une instruction du ministère des solidarités et de la santé mise en ligne début octobre concernant le rôle des ARS dans le traitement des incidents informatiques (voir dépêche du 18 octobre 2017).

Ces dernières peuvent, avec l'Asip santé, "formuler des recommandations et notamment proposer des mesures d'urgence" pour limiter l'impact de l'incident, "des mesures de remédiation" et des "mesures destinées à améliorer la sécurité du ou des systèmes d'information concernés".

L'arrêté détaille ensuite les catégories de données à caractère personnel "susceptibles d'être enregistrées" dans le cadre du traitement des incidents, dont la responsabilité incombe à l'Asip santé.

Ce traitement a pour finalités "le recueil, l'analyse et, le cas échéant, la qualification et la transmission des signalements des incidents" et "la mise en oeuvre d'un service d'information et d'accompagnement des établissements de santé, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des agences régionales de santé et des autorités compétentes de l'Etat, concernant la prévention et la gestion des incidents de sécurité ainsi que la sécurité des systèmes d'information", indique l'arrêté.

Les déclarations d'incidents sont enregistrées dans le système d'information de l'ARS compétente "prévu à cet effet par celle-ci" et dans un système d'information de l'Asip santé.

Elles ne sont directement accessibles que par des personnels désignés et spécialement habilités par les directions générales des ARS, de l'Asip santé et des services du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales.

(Journal officiel, mercredi 8 novembre, texte 7)

rm/gb/ab