I. - Les systèmes d'information existants soumis au référentiel fixé par l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé sont mis en conformité avec le référentiel fixé par le présent arrêté pour leur prochaine homologation de sécurité, et au plus tard dans un délai de deux ans à compter de la publication du présent arrêté. Durant ces délais, ces systèmes d'information restent conformes au référentiel fixé par l'arrêté du 22 mars 2017 précité.
II. - Les systèmes d'information existants non soumis au référentiel fixé par l'arrêté du 22 mars 2017 précité sont mis en conformité avec le référentiel fixé par le présent arrêté dans un délai maximal de deux ans à compter de sa publication.
III. - Les gestionnaires des systèmes d'information mentionnés aux I et II définissent, dans un délai maximal de six mois, un plan d'action de mise en conformité avec le référentiel fixé par le présent arrêté, indiquant les mesures à prendre dans l'immédiat puis à court et moyen terme. Dans le même délai, ils mènent une analyse de risques et mettent en place des actions garantissant la confidentialité et l'intégrité des données, ainsi que la traçabilité des accès et traitements de ces données, afin d'assurer la protection des données et le respect de la vie privée des personnes concernées.
IV. - Les systèmes d'information créés après l'entrée en vigueur du présent arrêté sont en conformité avec le référentiel fixé par ce dernier dès leur création.