mai 2018

Flash Info – Décret sur la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels

2018-05-30T09:57:53+00:0030 mai 2018|Actualités|

Est paru le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, suite à la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

Ce décret fixe la liste des services essentiels et les modalités de désignation des opérateurs de services essentiels.

Dans le secteur de la santé, pour les établissements de soins de santé, sont visés les prestataires de soins de santé dans le cadre des services concourant aux activités de prévention, de diagnostic ou de soins mais aussi les prestataires fournissant un service d’aide médicale à l’urgence. Ainsi, la réception et la régulation d’appels ainsi que le service mobile d’urgence et réanimation sont qualifiés de services essentiels.
Est également visée, pour les produits pharmaceutiques, la distribution pharmaceutique réalisée par les grossistes-répartiteurs.

​Sont désignés, comme opérateurs de services essentiels, les opérateurs fournissant au moins un service mentionné dans la liste sus mentionnée, lorsque des réseaux et systèmes d’information sont nécessaires à la fourniture dudit service ​et qu’un incident affectant ces réseaux et systèmes aurait des conséquences graves.

​Les​ critères d’appréciation de ces conséquences graves sont :
– le nombre d’utilisateurs dépendant du service;
– la dépendance des autres secteurs d’activités figurant dans la liste des services essentiels;
– les conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, en terme de gravité ou de durée;
– la part de marché de l’opérateur;
– la portée géographique eu égard à la zone susceptible d’être concernée par l’incident ;
– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service;
– le cas échéant, des facteurs sectoriels.

​Cette désignation est faite par arrêté du Premier Ministre. ​Chaque opérateur concerné reçoit une notification du Premier Ministre de son intention de le désigner comme opérateur de services essentiels. L’opérateur dispose d’un mois pour présenter ses observations. Les arrêtés sont notifiés aux opérateurs intéressés.

​Cela implique, pour les opérateurs, d’établir et tenir à jour la liste des réseaux et systèmes d’information, y compris ceux dont l’exploitation est confiée à un tiers,  et nécessaire à la fourniture des services essentiels, et la communiquer à l’Agence nationale de la sécurité des systèmes d’information. Un arrêté détermine les règles de sécurité à respecter.

Les opérateurs devront déclarer les incidents de sécurité à l’Agence nationale de la sécurité des systèmes d’information dès lors que ces incidents ont ou sont susceptibles d’avoir un impact significatif sur la continuité de ces services, et ce, sans préjudice des autres régimes de déclarations d’incidents auxquels les opérateurs seraient soumis. Les modalités de déclaration des incidents sont définis par un arrêté du Premier Ministre. A défaut de déclaration, les dirigeants des opérateurs encourent une amende de 75 000 €.

​Les opérateurs peuvent être soumis à des contrôles pour vérifier le respect des obligations et le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels. ​Prise par le Premier Ministre, la décision de contrôle est notifiée à l’opérateur, en précisant les objectifs et le périmètre du contrôle ainsi que le délai dans lequel le contrôle est réalisé.

Une amende de 100 000 € sanctionne les dirigeants des opérateurs qui ne se conformeraient pas aux règles de sécurité à l’issue du délai fixé par la mise en demeure adressée à l’occasion d’un contrôle.

​Le fait de faire obstacle à un contrôle est puni de 125 000 € d’amende. ​

Télécharger le PDF

avril 2018

Flash Info – Recherche – Arrêtés sur les recherches impliquant la personne humaine

2018-12-11T15:46:57+00:0017 avril 2018|Actualités|

Deux arrêtés du 12 avril 2018 relatifs aux recherches impliquant la personne humaine mentionnées aux 2° et 3° de l’article L.1121-1 du Code de la santé publique sont parus au Journal Officiel de ce jour.

Si nous savions déjà que relevaient des recherches impliquant la personne humaine mentionnées au 2° de l’article L.1121-1 du Code de la santé publique, appelées « RIPH2 » les recherches comportant des risques et des contraintes minimes, cet arrêté vient préciser que ces recherches portent sur des personnes saines ou malades. De plus, les interventions réalisées dans le cadre de ces recherches doivent être détaillées et justifiées dans le protocole de la recherche.

Sont aussi des recherches « RIPH 2 » les recherches sur des personnes saines ou malades menées par des professionnels de santé, qui ne sont pas des médecins, chirurgiens-dentistes ou sages-femmes (ne relevant pas des professions médicales), si les actes pratiqués au cours de la recherche ne nécessitent pas la présence d’un médecin. Néanmoins, si ces recherches ne comportent que des entretiens, observations, des enregistrements hors imagerie médicale (audio, vidéo, photographiques), des tests ou des questionnaires, et qui ne peuvent mettre en jeu la sécurité de la personne ou conduire à la modification de sa prise en charge habituelle, alors elles relèvent des recherches mentionnées au 3° de l’article L.1121-1 du Code de la santé publique (« RIPH3 »).

Pour la première fois, les recherches portant sur un programme, une action ou une politique publique ayant pour objet des modifications de pratiques ou de comportements de personnes saines ou malades et susceptibles d’avoir une influence sur leur santé sont mentionnées et réputées être des « RIPH 2 »

Relèvent des recherches « RIPH3 » les recherches portant sur des personnes saines ou malades et comportant un ou plusieurs actes ou procédures dénués de risques. Comme les interventions prévues pour les RIPH 2, les actes ou procédures sont définies sur une liste en annexe de l’arrêté correspondant. Ces actes ou procédures doivent être détaillés et justifiés dans le protocole de la recherche. Si la recherche est réalisée au cours des soins, ces actes ou procédures ne doivent pas retarder, prolonger ou perturber le soin.

Télécharger le PDF

 

Télécharger le PDF

novembre 2017

Flash Info – Recherche – Conservation et préparation à des fins scientifiques d’éléments du corps humain

2017-11-10T17:56:07+00:0010 novembre 2017|Actualités|

Le décret n°2017-1549 relatif à la conservation et à la préparation à des fins scientifiques d’éléments du corps humain est paru au Journal Officiel de ce jour.

Ce décret vient préciser les procédures de déclaration applicables à la constitution et utilisation des collections d’échantillons biologiques dans le cadre de programmes de recherche n’impliquant pas la personne humaine. Celles constituées dans le cadre des recherches impliquant la personne humaine (RIPH) sont régies par les dispositions du titre II  du livre 1er du code de la santé publique.

En revanche, une autorisation est nécessaire à tout organisme qui assure la conservation et préparation des échantillons biologiques, en vue d’une cession à titre gratuit ou onéreux pour un usage scientifique et ce, que ces collections soient issues de recherches impliquant ou pas la personne humaine.

Le décret tient compte aussi de la nouvelle qualification des recherches impliquant la personne humaine et clarifie la procédure existante de saisine de l’administration par voie électronique.

Le décret entre en vigueur le 11 novembre 2017.

Télécharger le PDF