Call Us + 33 1 84 88 31 00

Home | French Legislation Articles | French Public Health Code | Regulatory part | Part One: General health protection | Book I: Health protection for individuals | Title I: Rights of patients and users of the healthcare system | Chapter I: Information for users of the healthcare system and expression of their wishes | Section 1: General principles | Subsection 4: Categories of incidents, terms and conditions for reporting significant or serious information systems security incidents | Article D1111-16-3 of the French Public Health Code

French Public Health Code
- Regulatory part
  - Part One: General health protection
    - Book I: Health protection for individuals
      - Title I: Rights of patients and users of the healthcare system
        Chapter I: Information for users of the healthcare system and expression of their wishes
        Section 1: General principles
        Subsection 4: Categories of incidents, terms and conditions for reporting significant or serious information systems security incidents

Article D1111-16-3 of the French Public Health Code

November 6, 2023
7:31 am

I.-Reports of significant or serious information system security incidents, without prejudice to other mandatory reports, are made without delay by the director of the health establishment, the organisation or service providing preventive, diagnostic or care activities, or the medico-social establishment, or the person delegated for this purpose, to the public interest group mentioned in article L. 1111-24.

The public interest grouping is responsible for :

-analysing significant or serious information system security incidents and proposing measures to be taken to deal with the incident;

-supporting the structure reporting the incident. It may make recommendations and in particular propose emergency measures to limit the impact of the incident, remediation measures and measures to improve the security of the information system(s) concerned;

-relation with the French National Information Systems Security Agency, in particular in the event of an incident involving an essential service operator or which could have an impact of national scope;

-incident prevention, by organising feedback at national level, and proposing measures to assist in the handling of incidents;

-managing and implementing the processing of personal data relating to alerts, the characteristics of which are specified by an order of the Minister for Health.

The public interest grouping shall immediately inform the department of the senior defence and security official of the social ministries of any alert analysed. It shall also immediately inform the relevant departments of the Directorate-General for Health and the regional health agencies concerned of any alert likely to have a direct or indirect impact on health, particularly in the event of a malfunction in the provision of healthcare.

The public interest grouping is informed without delay of the resolution of incidents by one of the persons mentioned in the first paragraph of this I.

On the basis of the information provided by the establishments and organisations concerned, it draws up an annual statistical report on anonymised reports of information system security incidents. This report is made public.

II – Subject to the provisions relating to the protection of the confidentiality of national defence, the report of a significant or serious security incident mentioned in Article L. 1111-8-2 is made via the website mentioned in Article D. 1413-58.

The person making the report must provide all the information available at the time the incident is discovered, and in particular the following information:

information enabling the structure concerned by the incident and the reporter to be identified;

-a description of the incident, in particular the date on which it was reported, the scope of the incident, the information systems and data concerned and the status of the response;

-a description of the impact of the incident on data, people, information systems and the structure;

-the causes of the incident, if identified.

The public interest group referred to in Article L. 1111-24 may ask the structure concerned by the incident for any additional information needed to classify the incident and implement an appropriate response.

Original in French 🇫🇷

Article D1111-16-3

I.-La déclaration des incidents significatifs ou graves de sécurité des systèmes d’information, sans préjudice des autres déclarations obligatoires, est effectuée sans délai par le directeur de l’établissement de santé, de l’organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, de l’établissement médico-social ou la personne déléguée à cet effet, auprès du groupement d’intérêt public mentionné à l’article L. 1111-24.

Le groupement d’intérêt public assure :

-l’analyse des incidents significatifs ou graves de sécurité des systèmes d’information et la proposition des mesures à prendre pour faire face à cet incident ;

-l’appui de la structure déclarant l’incident. Il peut formuler des recommandations et notamment proposer des mesures d’urgence pour limiter l’impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés ;

-la relation avec l’Agence nationale de sécurité des systèmes d’information, notamment en cas d’incident concernant un opérateur de service essentiel ou qui pourrait avoir un impact de portée nationale ;

-la prévention des incidents, en organisant les retours d’expérience au niveau national, et la proposition de mesures d’aide au traitement des incidents ;

-la gestion et la mise en œuvre du traitement de données à caractère personnel relatif aux signalements, dont les caractéristiques sont précisées par un arrêté du ministre chargé de la santé.

Le groupement d’intérêt public informe sans délai le service du haut fonctionnaire de défense et de sécurité des ministères sociaux de tout signalement analysé. Il informe également sans délai les services compétents de la direction générale de la santé, ainsi que les agences régionales de santé concernées, de tout signalement susceptible d’avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l’offre de soins.

Le groupement d’intérêt public est informé sans délai de la résolution des incidents par l’une des personnes mentionnées au premier alinéa du présent I.

Il établit, au vu des informations communiquées par les établissements et organismes concernés, un rapport annuel à caractère statistique relatif aux signalements anonymisés des incidents de sécurité des systèmes d’information. Ce rapport est rendu public.

II.-Sous réserve des dispositions relatives à la protection du secret de la défense nationale, la déclaration d’un incident significatif ou grave de sécurité mentionné à l’article L. 1111-8-2 est effectuée via le site internet mentionné à l’article D. 1413-58.

Le déclarant fournit toutes les informations dont il dispose au moment de la découverte de l’incident et notamment les informations suivantes :

-les informations permettant d’identifier la structure concernée par l’incident ainsi que le déclarant ;

-la description de l’incident, notamment la date du constat, le périmètre de l’incident, les systèmes d’information et données concernées et l’état de la prise en charge ;

-la description de l’impact de l’incident sur les données, sur les personnes, sur les systèmes d’information et sur la structure ;

-les causes de l’incident, si celles-ci sont identifiées.

Le groupement d’intérêt public mentionné à l’article L. 1111-24 peut demander à la structure concernée par l’incident toute information complémentaire permettant la qualification de l’incident et la mise en place d’une réponse adaptée.

Need help with this article? Get help from a French lawyer

Our French business lawyers are here to help.
We offer a FREE evaluation of your case.
Call us at +33 (0) 1 84 88 31 00 or send us an email.

Call Us + 33 1 84 88 31 00

Call Us + 33 1 84 88 31 00

Article D1111-16-3 of the French Public Health Code