La déclaration des incidents graves de sécurité des systèmes d'information, sans préjudice des autres déclarations obligatoires, est effectuée sans délai par le directeur de l'établissement de santé, de l'organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, ou la personne déléguée à cet effet, auprès du directeur général de l'agence régionale de santé. L'agence régionale de santé est responsable de la qualification des incidents signalés.

Les incidents de sécurité des systèmes d'information jugés significatifs sont transmis sans délai par l'agence régionale de santé au groupement d'intérêt public mentionné à l'article L. 1111-24. Le groupement d'intérêt public assure :



-l'analyse des incidents significatifs ;

-l'appui aux agences régionales de santé, la prévention des incidents en organisant les retours d'expérience au niveau national, la proposition de mesures d'aide au traitement des incidents ;

-la gestion et la mise en œuvre du traitement automatisé de données à caractère personnel relatif aux signalements.



Le groupement d'intérêt public informe sans délai le service du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales de tout signalement analysé.

Le groupement d'intérêt public informe sans délai les services compétents de la direction générale de la santé de tout signalement susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins.

Le groupement d'intérêt public établit, au vu des informations communiquées par les agences régionales de santé, un rapport annuel à caractère statistique relatif aux signalements anonymisés des incidents de sécurité des systèmes d'information. Ce rapport est rendu public.

Un arrêté du ministre chargé de la santé définit les modalités de signalement et de traitement des incidents, en définissant notamment un formulaire de déclaration.