Article L1111-8-2 of the French Public Health Code

Les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins et les établissements médico-sociaux signalent sans délai aux autorités compétentes de l’Etat et au groupement d’intérêt public mentionné à l’article L. 1111-24, dans des conditions fixées par décret, les incidents significatifs ou graves de sécurité des systèmes d’information.

Sous réserve du respect des règles relatives à la protection du secret de la défense nationale, le présent article est applicable au service de santé des armées en ce qui concerne les incidents significatifs ou graves de sécurité des systèmes d’information intéressant les activités de prévention, de diagnostic ou de soins des hôpitaux des armées.

Un décret définit les catégories d’incidents concernés, les modalités selon lesquelles sont signalés les incidents mentionnés au premier alinéa et les conditions dans lesquelles ils sont traités.