Le système de signalement des incidents graves de sécurité des systèmes d’information est mis en place.
Nouveauté de la loi de modernisation de notre système de santé
L’article 110 de la loi de modernisation de notre système de santé (1) a inséré un nouvel article L1111-8-2 du Code de la santé publique (2) prévoyant un nouveau dispositif de sécurité incombant aux établissements de santé et aux organismes et services exerçant des activités de prévention, de diagnostic ou de soins. Ceux-ci ont l’obligation de signaler sans délai à l’Agence régionale de santé (ARS) les incidents graves de sécurité des systèmes d’information, à charge pour l’ARS de transmettre le signalement des incidents jugés significatifs aux autorités compétentes de l’Etat.
Cet article, non prévu dans le projet de loi initial, résulte d’un amendement déposé à l’Assemblée Nationale (3). Il vise à renforcer la sécurité des systèmes d’information des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins.
Il a été adopté en considération des risques pour la disponibilité, la traçabilité, l’intégrité ou la confidentialité des données de santé qu’une attaque malveillante pourrait engendrer. En effet, une protection insuffisante des données de santé serait susceptible de mettre en danger la sécurité des soins.
Ce dispositif n’est pas sans rappeler les systèmes existants pour les événements indésirables graves liés à des soins, où une déclaration à l’ARS est également imposée (4).
Précisions sur les conditions de signalement des incidents
Les conditions du signalement des incidents graves ont été précisées par un décret du 12 septembre 2016 (5), applicable à compter du 1er octobre 2016.
Le signalement poursuit un double objectif d’aide aux autorités compétences de l’Etat à décider des mesures de prévention et d’aide aux entités concernées à prendre des mesures de sécurité utiles.
Le champ d’application de l’obligation est tout d’abord précisé. En effet, seules les entités suivantes sont concernées :
- les établissements de santé ;
- les hôpitaux des armées ;
- les laboratoires de biologie médicale ;
- les centres de radiothérapie.
Afin de permettre à ces entités de déterminer les cas où un signalement est nécessaire, le décret précise ensuite la notion d’incidents graves. Il s’agit d’ « événements générateurs d’une situation exceptionnelle au sein d’un établissement, organisme ou service ». Une liste non exhaustive détaille plusieurs incidents entrants dans cette définition :
- les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
- les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
- les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.
Le caractère significatif de l’incident, nécessitant une information des autorités compétentes de l’Etat, résulte du « retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d’autres établissements, organismes ou services ».
Le signalement doit être réalisé par le directeur de l’entité concerné au directeur de l’ARS, via un formulaire qui sera adopté ultérieurement par arrêté du ministre chargé de la Santé.
Dans l’hypothèse d’un incident jugé significatif par le directeur de l’ARS, le signalement de l’incident sera transmis auprès de l’ASIP Santé qui aura pour mission de :
- analyser des incidents significatifs ;
- aider les agences régionales de santé à la prévention des incidents en organisant les retours d’expérience au niveau national, la proposition de mesures d’aide au traitement des incidents ;
- assurer la gestion et la mise en œuvre du traitement automatisé de données à caractère personnel relatif aux signalements.
L’ASIP Santé devra signaler « sans délai » au service du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales tout signalement analysé.
En outre, l’ASIP Santé devra signaler « sans délai » aux services compétents de la Direction générale de la santé tout signalement susceptible d’avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l’offre de soins.
L’ASIP Santé devra enfin édicter un rapport annuel public relatif à ces signalements anonymisés.
Le signalement des incidents suit ainsi un système pyramidal où chaque acteur devra qualifier et analyser l’incident. La pratique des établissements, des ARS et de l’ASIP Santé permettra à terme d’affiner ces notions.
Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique
(1) Loi 2016-41 du 26-1-2016
(2) CSP, art. L1111-8-2
(3) Rapport 653, tome I (2014-2015) de M. Alain MILON, Mmes Catherine Deroche et Élisabeth Doineau, fait au nom de la commission des affaires sociales, déposé le 22-7-2015.
(4) CSP, art. L1413-14
(5) Décret 2016-1214 du 12-9-2016