Des changements importants ont été introduits le 18 novembre 2020 par l’Ordonnance 2020-1407 dans le Code de la Santé Publique (CSP) en matière de sécurité des systèmes d’information (SSI), impliquant dorénavant le secteur médico-social au même niveau que le secteur sanitaire :
| Avant | Après | |
|---|---|---|
| Qui | Les établissements sanitaires | Les établissements sanitaires et les établissements médico-sociaux |
| Quoi | Les incidents graves de sécurité des systèmes d’information | Les incidents significatifs ou graves de sécurité des systèmes d’information |
| À qui signaler | À son Agence Régionale de Santé (ARS) | Aux autorités compétences de l’État et Au groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés (L1111-24 du CSP), en particulier : https://www.cyberveille-sante.gouv.fr/aide-au-signalement-d-un-incident |
| Comment | Non précisé | Précisé par décret (non paru à date) |
Ainsi, tous les établissements de santé ou médico-sociaux sont soumis à un signalement des incidents liés à la sécurité des systèmes d’information dès lors qu’ils sont « signifiants ».
Et le Règlement Général sur la Protection des Données dans tout ça ?
Le RGPD encadre la protection des données à caractère personnel et en particulier quand elle sont relatives à la santé des personnes. Le RGPD est une loi Européenne, s’appliquant directement dans tous les États membres de l’Union Européenne. Les sanctions prévues sont administratives et peuvent être d’ordre économique, réputationnel, et fonctionnel.
Des sanctions sont prévues par le CSP ?
Le Code de la Santé Publique ne prévoit pas de sanction spécifique en cas d’infraction à son article L1111-8-2. En effet, lors de l’écriture de la loi, le législateur était dans un esprit d’incitation et de sensibilisation à la haute importance de la sécurité de l’information et de la protection des données pour la qualité des soins / des prises en charge et pour les bénéficiaires.
Ainsi la déclaration d’un incident grave voire significatif aux autorités de santé a pour double objectif d’améliorer la sécurité des données dans les établissements médico-sociaux et de pouvoir superviser le risque cyber dans ce secteur afin de pouvoir affiner les politiques publiques sur le sujet.
Alors quel est l’intérêt des établissements médico-sociaux dans la déclaration des incidents en sécurité de l’information et des violations de données ?
Si une structure médico-sociale pense ne pas pouvoir intégrer la cybersécurité et la protection des données dans ses activités et dans ses budgets, alors les déclarations des incidents au titre du L1111-8-2 du CSP sont particulièrement importants : ils permettront aux services publics d’envisager des financements spécifiques sur ce sujet crucial à notre époque de « santé connectée ». D’un point de vue du RGPD, cette déclaration (à la CNIL cette fois) permettra d’éviter des non-conformités, passibles a minima de 20 millions d’€uros d’amende…
En tant que structure sanitaire ou médico-sociale, remplir l’exigence du Code de la Santé Publique article L1111-8-2 permet avec très peu d’efforts de remplir également l’exigence du RGPD art.33 et 34. Et remplir ces exigences est une entrée particulièrement efficace pour la sécurité de l’information et la protection des données à caractère personnel.
Définitions
Incident grave
Pour rappel, si les incidents significatifs ne sont pas encore précisés (décret non paru à date), les incidents graves visés par ce texte sont précisés par l’article D1111-16-2 §II du CSP :
- les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
- les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
- les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.
Incident significatif
En l’état actuel des choses, les incidents significatifs sont considérés comme un sous-ensemble des incidents graves, donc pouvant être qualifié par exemple de « très graves ». L’exemple est donné d’incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d’autres établissements, organismes ou services.