La loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé avait introduit dans le Code de la Santé Publique un article L1111-8-2 imposant aux « établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins » de signaler « sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information ».

Le décret d’application était attendu pour avril 2016. Mais vu les tractations auxquelles le texte a dû donner lieu, on ne s’étonnera pas qu’il n’ait été publié au Journal Officiel que ce matin.

Revenons donc sur ce décret n° 2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d’information. Le texte devait préciser les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information.

Les catégories d’incidents sont définies à l’article D1111-16-2, II et III du Code de la Santé Publique.

Enfin parler de définition est peut-être prématuré. Cela relève plus de la Lapalissade puisque par « incident grave », il faut simplement entendre « événement générateur d’une situation exceptionnelle ». Nous voilà bien avancés.

Certains se réjouiront alors des trois tirets suivants, extraits du décret, dont ils résultent que constituent des incidents graves :

  • « les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service ».

D’autres souhaiteront bon courage au directeur d’établissement qui aura relevé l’adverbe « notamment » précédant cette liste à la Prévert. Neuf lettres qui vont faire un naitre un véritable casse-tête, celui de déterminer si un incident ne relevant pas des trois exemples précités est ou non « événement générateur d’une situation exceptionnelle ». Si vous n’avez pas encore de responsable de la sécurité du système d’information (RSSI) dans votre établissement, c’est peut-être le moment d’y penser.

Les Agences Régionales de Santé (ARS), chargées de transmettre au niveau national les « incidents de sécurité jugés significatifs », ne seront pas en reste.

Elles devront vérifier, pour tout signalement reçu, si l’incident a « un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé » ou s’il est « susceptible de toucher d’autres établissements, organismes ou services ». En présence d’un ver informatique, la question devrait être aisément résolue… et le niveau national rapidement saturé de déclaration d’incidents graves significatifs. Pour le reste, les ARS devront vraisemblablement également songer à recruter du personnel formé à la sécurité des systèmes d’information (SSI). A moins que l’ARS et les établissements décident de mutualiser cette compétence ?

Passons aux conditions de traitement des incidents de sécurité. L’article D1111-16-3 confère donc au directeur de l’établissement de santé, de l’organisme ou du service le soin de procéder à la déclaration – sans préjudice des autres déclarations obligatoires (vous n’avez pas encore étudié les obligations de votre établissement découlant du Règlement Général sur la Protection des Données ou de la directive NIS ?!) – auprès du directeur général de l’agence régionale de santé.

Celui-ci sera sûrement ravi de pouvoir procéder à « la qualification des incidents signalés » (moins ravi cependant que le directeur de l’établissement de santé, de l’organisme ou du service, heureusement déchargé de cette responsabilité).

Lorsqu’il jugera significatif l’incident, le directeur général de l’ARS devra le signifier non pas au Ministère de la Santé (ce qui eût été logique, les ARS n’étant que la représentation de l’Etat au niveau régional), ni à l’Agence Nationale de la Sécurité des Système d’Information (ce qui eût été cohérent, celle-ci n’hésitant d’ailleurs pas à intervenir en matière de santé, comme ce fut le cas avec la PSSIE), mais « au groupement d’intérêt public mentionné à l’article L1111-24 ».

La litote n’a d’autre but que de désigner l’ASIP Santé qui devra donc :

  • analyser des incidents significatifs ;
  • appuyer aux ARS, la prévention des incidents en organisant les retours d’expérience au niveau national, la proposition de mesures d’aide au traitement des incidents ;
  • gérer et mettre en œuvre du traitement automatisé de données à caractère personnel relatif aux signalements ;
  • informer sans délai le service du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales de tout signalement analysé ;
  • informer sans délai les services compétents de la direction générale de la santé (DGS) de tout signalement susceptible d’avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l’offre de soins.

Vous aurez toutefois noté que l’ASIP n’a pas pour mission d’appuyer le directeur de l’établissement de santé, de l’organisme ou du service dans le traitement ou la résolution de l’incident.

Vous aurez également noté que le directeur de l’établissement de santé, de l’organisme ou du service ayant signalé un incident ensuite jugé significatif ne sera pas avisé des conclusions de l’analyse de l’ASIP Santé.

Pourtant, le rédacteur du décret, ne craignant pas d’outrepasser les limites fixées par le législateur – ce qui permettrait de contester le décret – avait précisé à l’article D1111-16-2, I que le mécanisme de déclaration était destiné à « aider les établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins (…) ».

Pardonnez la familiarité de mon champ lexical. Mais grosso modo, le directeur de l’établissement de santé, de l’organisme ou du service signale… et se débrouille ?

Constructif !

Concernant le descriptif des conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information, nous n’en saurons pas plus, le décret renvoyant à un arrêté du ministre chargé de la santé pour la définition des modalités de signalement et de traitement des incidents et l’élaboration d’un formulaire de déclaration.

Toujours constructive, cette façon d’édicter les normes au compte-gouttes.

Le décret contient une autre anomalie, par rapport à l’habilitation conférée par le législateur au Gouvernement. Il définit la liste des établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins concernés par le décret, sans avoir été interrogé sur ce point.

Seront donc seuls concernés :

  • les établissements de santé ;
  • les hôpitaux des armées ;
  • les laboratoires de biologie médicale ;
  • les centres de radiothérapie.

La sphère médico-sociale est totalement ignorée, alors que la loi Touraine lui avait justement étendu les dispositions relatives à l’hébergement de données de santé et permis un partage de données de santé avec elle.

Une riche idée, non ? Comme ça, les incidents pourront librement se propager dans les systèmes d’information du médico-social et prendre de l’ampleur (ignorés de tous ou presque ?) avant de déferler sur les systèmes d’information de santé.

Concluons par une touche d’espoir. Le décret n’entre en vigueur que le 1er octobre 2017. Il a le temps d’être révisé avant d’être mis en œuvre !