Le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention, et la secrétaire d'État auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée du numérique,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment ses articles L. 1461-1 et R. 1461-7 ;
Vu le code de la recherche, notamment son article L. 225-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 20 juillet 2023,
Arrêtent :
Le référentiel mentionné au 3° du IV de l'article L. 1461-1 et au II de l'article R. 1461-7 du code de la santé publique figure en annexe au présent arrêté.
1 version
1 cité
A abrogé les dispositions suivantes : > - Arrêté du 22 mars 2017 > > Art. 1, Art. 2, Art. 3, Sct. Annexe, Art. null > >
1 version
6 abrogés
1 cité
I. - Les systèmes d'information existants soumis au référentiel fixé par l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé sont mis en conformité avec le référentiel fixé par le présent arrêté pour leur prochaine homologation de sécurité, et au plus tard dans un délai de deux ans à compter de la publication du présent arrêté. Durant ces délais, ces systèmes d'information restent conformes au référentiel fixé par l'arrêté du 22 mars 2017 précité.
II. - Les systèmes d'information existants non soumis au référentiel fixé par l'arrêté du 22 mars 2017 précité sont mis en conformité avec le référentiel fixé par le présent arrêté dans un délai maximal de deux ans à compter de sa publication.
III. - Les gestionnaires des systèmes d'information mentionnés aux I et II définissent, dans un délai maximal de six mois, un plan d'action de mise en conformité avec le référentiel fixé par le présent arrêté, indiquant les mesures à prendre dans l'immédiat puis à court et moyen terme. Dans le même délai, ils mènent une analyse de risques et mettent en place des actions garantissant la confidentialité et l'intégrité des données, ainsi que la traçabilité des accès et traitements de ces données, afin d'assurer la protection des données et le respect de la vie privée des personnes concernées.
IV. - Les systèmes d'information créés après l'entrée en vigueur du présent arrêté sont en conformité avec le référentiel fixé par ce dernier dès leur création.
1 version
1 cité
Le présent arrêté sera publié au Journal officiel de la République française.
1 version
Fait le 6 mai 2024.
Le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention,
Frédéric Valletoux
La secrétaire d'État auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée du numérique,
Marina Ferrari