Les obligations de signalement des incidents de sécurité des systèmes d’information de santé se multiplient. A compter du 25 mai 2018, de nouvelles obligations de notification des violations de données à caractère personnel entreront en application (1). Celles-ci s’ajouteront aux obligations de signalement déjà mises en place concernant les failles de sécurité des systèmes d’informations de santé.
Signalement à l’ARS des systèmes d’information de santé défaillants
Depuis le 1er octobre 2017, de nouvelles obligations s’imposent aux :
- établissements de santé et
- organismes et services exerçant des activités de prévention, de diagnostic ou de soins.
Ils ont l’obligation de signaler à l’Agence régionale de santé (ARS) les incidents graves de sécurité des systèmes d’information.
A charge pour l’ARS de transmettre le signalement des incidents jugés significations à l’Agence des Systèmes d’Information Partagé de Santé (ASIP Santé).
Issue de la loi de modernisation de notre système de santé (2) et précisée par un décret du 12 septembre 2016 (3), cette obligation avait fait l’objet d’un précédent article.
Plus récemment, une instruction du ministère des solidarités et de la santé (4) a précisé le rôle des ARS dans la mise en œuvre du dispositif de
- déclaration obligatoire et
- traitement des signalements des incidents graves de sécurité des systèmes d’information des structures de santé.
Conditions de signalement à l’ARS
L’instruction rappelle l’obligation de signalement incombant au directeur de la structure par le biais du portail dédié : http://signalement.social-sante.gouv.fr.
Le signalement doit s’effectuer sans délai après son observation.
A cet égard, seuls les incidents graves de sécurité des systèmes d’information de santé doivent être signalés, c’est-à-dire :
- les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
- ceux ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
- ou encore, ceux portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.
L’instruction précise également qu’en parallèle du signalement réalisé par le biais du portail :
- lorsque le déclarant considère avoir besoin d’une aide spécifique pour gérer l’incident dans de brefs délai,
- il en informe le Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) à l’adresse ssi@sg.social.gouv.fr
Traitement des signalements par les ARS
Le signalement poursuit un objectif double de suivi des incidents et d’aide aux structures concernées à prendre des mesures de sécurité utiles.
Une Cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) a été mise en place pour le traitement des signalements. Ce traitement consiste à accompagner la structure déclarante afin de répondre à l’incident concernant les systèmes d’information de santé.
Ainsi, après avoir qualifié le signalement et définit la criticité de l’incident, le rôle de la cellule ACSS consiste à proposer à la structure des actions concrètes afin de stopper la progression de l’incident et de protéger les systèmes d’information de santé.
Dans le cadre de ses missions, la cellule ACSS peut solliciter les éditeurs de logiciels participant à la prise en charge du patient ainsi que les hébergeurs de données de santé et les prestataires de services assurant la protection des données ou des systèmes d’information de santé en tant qu’acteur participant au traitement des incidents de sécurité.
En présence d’un incident significatif, le traitement de l’incident de sécurité est piloté par le FSSI ou le Haut Fonctionnaire de Défense et de Sécurité (HFDS).
Signalement des incidents de sécurité à l’Anssi
A cette obligation de signalement des incidents de sécurité des systèmes d’information de santé s’ajoutent plusieurs autres obligations de ces notifications auprès de l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).
Conformément à l’article R. 1332-41-10 du Code de la défense, tout opérateur d’importance vitale (OIV) relevant du secteur « Produits de santé » déclare chaque incident affectant la sécurité ou le fonctionnement de son système d’information d’importance vitale auprès de l’ANSSI, dès que l’opérateur en a connaissance, par le biais d’un formulaire de déclaration disponible sur le site internet de l’agence (5) ;
Signalement des violations de données à la Cnil
A compter du 25 mai 2018, lorsque l’incident porte sur des traitements de données à caractère personnel, le responsable de traitement devra notifier à la Cnil la violation en question dans les meilleurs délais et, si possible, 72h au plus tard après en avoir pris connaissance.
Lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement en informe ces derniers dans les meilleurs délais.
Au vu de ces multiples obligations de signalement et de notification mises à la charge des structures de santé, des procédures internes permettant de répondre à ces obligations doivent être développées dont :
- procédure de signalement des incidents de sécurité du système d’information ;
- procédure de violation des données à caractère personnel ;
- registre des violations de données à caractère personnel.
Ces documents doivent en effet permettre d’identifier :
- le type d’incident de sécurité ;
- les personnes et administrations à informer ;
- les délais à respecter.
Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique
Notes
(1) Règlement général sur la protection des données, art. 33 et 34.
(2) Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, art. 110
(3) Décret n° 2016-1214 du 12 septembre 2016 relatif aux conditions de signalement des incidents graves de sécurité des systèmes d’information
(4) Instruction n° SG/SHFDS/FSSI/2017/281 du 26 septembre 2017 relative au rôle des ARS dans la mise en œuvre du dispositif de déclaration obligatoire et de traitement des signalement des incidents graves de sécurité des systèmes d’information des structures de santé
(5) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense