L’arrêté relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information a été publié le 8 novembre au Journal Officiel.

Depuis le 1er octobre 2017, les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins sont tenus de relayer à leur agence régionale de santé (ARS) les incidents de sécurité graves et significatifs de leurs systèmes d’information de santé. Ces remontées doivent se faire sur le portail de signalement des évènements sanitaires indésirables (www.signalement.social-sante.gouv.fr). L’arrêté prévoit un formulaire qui lui est annexé et qui permet au déclarant de fournir les informations suivantes :

• les informations permettant d’identifier la structure concernée par l’incident ainsi que le déclarant ;
• la description de l’incident, notamment la date du constat, le périmètre de l’incident, les systèmes d’information et données concernées et l’état de la prise en charge ;
• la description de l’impact de l’incident sur les données, sur les personnes, sur les systèmes d’information et sur la structure ;
• les causes de l’incident, si celles-ci sont identifiées.