L’Arrêté du 6 mai 2024 (publié au Journal Officiel du 8 mai 2024) instaure un nouveau référentiel de sécurité applicable au Système national des données de santé (SNDS), abrogeant l’arrêté du 22 mars 2017.

L'intégralité du référentiel figure en annexe de l’arrêté.

Mise en conformité

• Les systèmes d'information existants soumis au référentiel fixé par l'arrêté du 22 mars 2017 sont mis en conformité avec le référentiel 2024 pour leur prochaine homologation de sécurité, et au plus tard dans un délai de deux ans à compter de la publication de l’arrêté du 6 mai 2024. Durant ces délais, ces systèmes d'information restent conformes au référentiel fixé par l'arrêté du 22 mars 2017.
• Les systèmes d'information existants non soumis au référentiel fixé par l'arrêté du 22 mars 2017 sont mis en conformité avec le référentiel fixé par l’arrêté du 6 mai 2024 dans un délai maximal de deux ans à compter de sa publication.
• Les gestionnaires des systèmes d'information définissent, dans un délai maximal de six mois, un plan d'action de mise en conformité avec le référentiel fixé par l’arrêté du 6 mai 2024, indiquant les mesures à prendre dans l'immédiat puis à court et moyen terme. Dans le même délai, ils mènent une analyse de risques et mettent en place des actions garantissant la confidentialité et l'intégrité des données, ainsi que la traçabilité des accès et traitements de ces données, afin d'assurer la protection des données et le respect de la vie privée des personnes concernées.
• Les systèmes d'information créés après l'entrée en vigueur de l’arrêté du 6 mai 2024 sont en conformité avec le référentiel fixé par ce dernier dès leur création.