La mise en application du référentiel de sécurité s'effectue selon les règles suivantes :

- le Système national des données de santé (SNDS) et tous les systèmes d'information traitant des données de santé issues du SNDS existants à la date d'entrée en vigueur du présent arrêté devront être en conformité totale avec le référentiel mentionné à l'article 1 dans un délai maximum de deux ans à compter de cette même date ;
- dès la création du SNDS, le responsable du traitement et les gestionnaires de systèmes d'information existants traitant des données de santé issues du SNDS doivent définir un plan d'action de mise en conformité indiquant les mesures à prendre dans l'immédiat puis à court et moyen terme. Ils doivent, dans les mêmes délais, mener une analyse de risques et mettre en place des actions garantissant la protection des données et le respect de la vie privée des personnes afin d'assurer la confidentialité et l'intégrité des données et la traçabilité des accès ;
- les nouveaux systèmes d'information, créés après l'entrée en vigueur du présent arrêté, traitant des données de santé issues du SNDS doivent être en conformité avec le référentiel dès leur création.