Upload
nguyentu
View
238
Download
0
Embed Size (px)
Citation preview
MSSanté, la garantie d’échanger en toute confiance
La protection de la confidentialité autour du patient exige que les échanges dématérialisés de données de santé soient réalisés de manière sécurisée. Or aujourd’hui, la très grande majorité de ces échanges sont réalisés via des messageries « grand public », non sécurisées. Afin de doter les professionnels de santé de services répondant à de telles exigences, les pouvoirs publics mettent en œuvre le système MSSanté.
MSSanté est un système de messageries sécurisées réservé aux professionnels de santé. Développé par l’asiP santé avec le soutien des ordres professionnels, et en concertation avec les acteurs du monde sanitaire (industriels, représentants des professionnels de santé, établissements, etc.), le système mssanté va permettre au million de professionnels d’intégrer progressivement dans leurs pratiques l’utilisation de la messagerie électronique, avec les outils de leur choix, en toute sécurité et en conformité avec la réglementation en vigueur.
MSSanté se fonde sur trois principes : universalité (tout professionnel doit pouvoir échanger avec un autre professionnel dans le cadre de son exercice), simplicité d’utilisation (la messagerie est aujourd’hui entrée dans notre quotidien, elle doit aussi s’intégrer facilement dans les outils et pratiques professionnels, sécurité (tout doit être mis en œuvre pour protéger les données des patients et la responsabilité professionnelle).Complémentaires au Dossier médical Personnel (DmP), qui permet le partage de données de santé, les messageries sécurisées mssanté constituent une étape supplémentaire pour la e-santé, en facilitant l’échange de données dématérialisées entre professionnels de santé et en respectant la confidentialité autour du patient. elles contribuent à faciliter la coordination des soins et à améliorer les échanges entre l’hôpital et la ville.
en juin 2013, les spécifications techniques et fonctionnelles actuellement en concertation, sont mises à disposition de tous afin de permettre à tout opérateur de prendre connaissance des exigences pour devenir mssanté compatible. Dans ses premiers mois d’utilisation, le système mssanté sera ainsi en « bêtatest » avec les professionnels de santé, avant son déploiement à partir de l’année 2014.
en outre, pour permettre à tous de commencer à échanger en toute confiance, un premier service de messagerie sécurisée sera accessible sur internet (webmail) dès juin 2013. Proposé par l’asiP santé et l’ensemble des ordres des professionnels de santé à tous ceux qui sont dotés d’une carte CPs, il leur permettra de tester sans attendre les échanges professionnels par mail sécurisé.
www.mssante.fr
Juin 2013 / V1 2 • DOSSIER DE PRESSE MSSanté •
Les professionnels de santé ont toujours échangé entre eux des informations sur leurs patients. si
ces échanges sont encore essentiellement effectués par voie épistolaire, le développement des systèmes
d’information de santé transforme cette communication en la dématérialisant. La transformation numérique
est ainsi en marche dans le secteur de la santé et s’accélère avec les usages mobiles (téléphones et
tablettes). or, aujourd’hui, la plupart des échanges par mail se font en utilisant des services de messagerie
« grand public », non sécurisés. Pour les pouvoirs publics, l’enjeu est double : assurer la sécurité et la
protection des données personnelles de santé des patients, particulièrement sensibles et protégées par la
loi 1, mais également protéger la responsabilité des professionnels de santé.
Du point de vue des professionnels de santé, le besoin croissant de prise en charge coordonnée des patients
est une réalité. Face au développement des maladies chroniques, au vieillissement de la population, à
l’isolement géographique de certains professionnels de santé, de nouveaux modes d’organisation (maisons
et pôles de santé par exemple) se mettent en place : la coopération interprofessionnelle et interdisciplinaire
est plus que jamais indispensable. Grâce aux nouvelles technologies, les professionnels de santé trouvent
des solutions pour améliorer leurs échanges. soucieux des questions de confidentialité des données et
de responsabilité que cela soulève, les représentants des professionnels de santé se mobilisent depuis
plusieurs années, afin de répondre au besoin de disposer d’outils simples, sécurisés et universels pour
l’échange de données de santé.
La plupart des messageries sécurisées de santé lancées dans les périodes précédentes se sont heurtées à
des difficultés d’ordre techniques, d’interopérabilité ou de déploiement. aujourd’hui, on estime à environ
50 000 le nombre de professionnels de santé équipés d’une messagerie sécurisée et leurs volumes
d’échanges restent modestes.
soucieux des questions de confidentialité des données et de responsabilité des professionnels, le Conseil
National de l’ordre des médecins (CNom), a pris l’initiative en 2010 de proposer des adresses de messagerie
sécurisée de santé pour chaque médecin qui le souhaiterait. en parallèle, à partir de 2011, le secteur santé
a fait l’objet d’une simplification administrative grâce au répertoire Partagé des Professionnels de santé
(rPPs) ainsi qu’à la large diffusion de la Carte de Professionnel de santé (CPs), véritable carte d’identité
professionnelle. Ces deux étapes ont préparé la mise en place d’un système de messageries sécurisées.
Depuis 2012, l’asiP santé, sur la base d’un travail conjoint élargi à l’ensemble des ordres des professions
de santé (médecins, pharmaciens, chirurgiens-dentistes, sages-femmes, masseurs-kinésithérapeutes,
pédicures–podologues), met au point un système de messageries sécurisées de santé permettant aux
messageries existantes de développer leurs usages en s’inscrivant dans un espace de confiance commun.
Un premier service, simple, permettant à tous les porteurs de CPs de créer leur boîte aux lettres de
messagerie sécurisée, est également proposé, en lien avec les ordres, sur www.mssante.fr.
L’échange de données de santé : enjeux et historique
1 Voir annexe 2 : le cadre de la protection des données de santé
Juin 2013 / V1 3 • DOSSIER DE PRESSE MSSanté •
MSSanté, un projet d’ampleur national
1. Les messageries sécurisées, une priorité pour les pouvoirs publics
La construction d’un espace de confiance dédié à l’échange de données de santé constitue un projet
d’ampleur nationale. en 2013, à l’occasion de son discours sur la stratégie nationale en matière de
e-santé2, marisol Touraine, ministre des affaires sociales et de la santé, confirme la mise en place d’une
messagerie sécurisée de santé comme une des priorités de la politique publique en matière de e-santé.
L’enjeu de la dématérialisation, pour le secteur santé comme pour les autres, est réel : gain de temps dans
les échanges au profit du temps médical et de prise en charge du patient, gain d’espace et de classement
pour l’archivage des documents, sécurisation et limitation de la fraude grâce à la mise en place de process
numériques strictement encadrés.
2. Rôle de l’ASIP Santé
L’asiP santé, agence publique chargée de définir les référentiels de sécurité et d’interopérabilité en
matière de partage et d’échange de données de santé à caractère personnel, s’est vu confier sa mise en
œuvre opérationnelle, en concertation avec les ordres professionnels et les acteurs du monde sanitaire.
Pour mettre en place le système mssanté, l’asiP santé joue deux rôles :
• Maîtrise d’ouvrage de l’espace de confiance : elle est garante des règles de fonctionnement de l’espace
de confiance incarné par le système mssanté ;
• Opérateur des domaines des Ordres professionnels, autorités d’enregistrement des professionnels
de santé dans le rPPs : elle offre un service public de messagerie sécurisée de santé standard, afin
d’amorcer la dynamique du système mssanté.
3. Un projet destiné à l’ensemble du champ sanitaire
Le développement de messageries sécurisées en santé est un enjeu partagé par tous. C’est pourquoi le
système mssanté se développe en concertation et en coordination avec les acteurs du monde sanitaire.
La mise en place de messageries sécurisées concerne l’ensemble des acteurs du monde sanitaire :
• Plus d’un million de professionnels de santé : médecins, pharmaciens, infirmiers, sages-femmes,
chirurgiens-dentistes, pédicure podologues, masseurs-kinésithérapeutes, … sont les utilisateurs potentiels
des messageries sécurisées. Qu’ils exercent en libéral ou en établissement de santé, ils sont tous concernés
par ce moyen d’échanges au service de leur pratique professionnelle.
• Les établissements de santé : au nombre de 2710 en France3, ils disposent pour la plupart de services
de messagerie. L’enjeu est d’assurer leur mise en conformité technique et de permettre ainsi à chaque
établissement d’intégrer l’espace de confiance mssanté.
2 stratégie e-santé, intervention de marisol Touraine, jeudi 28 mars 2013, dans le cadre de la 13ème Journée TeLesaNTe organisée par le CaTeL.3 Dont 956 établissements publics, source : Drees 2010
Juin 2013 / V1 4 • DOSSIER DE PRESSE MSSanté •
MSSanté, un projet d’ampleur national
• Le monde de l’industrie de la e-santé : opérateurs de messageries, hébergeurs de données, éditeurs de
logiciels de professionnels de santé, etc. sont particulièrement intéressé par la mise en place du système
mssanté qui permet de mettre en œuvre simplement des systèmes d’échange respectant les exigences
légales.
• Les représentants des professionnels (instances ordinales mais également syndicats, UrPs, fédérations
hospitalières, …) : ils participent à la concertation, à la mise au point, à l’amélioration et au déploiement
du projet de messageries sécurisées.
Les ordres professionnels, premiers partenaires de MSSanté
4 Les Conseils nationaux des ordres des professions de santé: ordres des médecins, des pharmaciens, des chirurgiens-dentistes, des sages-femmes, des masseurs-kinésithérapeutes, des pédicures-podologues et des infirmiers. Voir communiqué de Presse du 26 avril 2013 intitulé « messageries sécurisées de santé : Une clé d’échanges de données personnelles de santé au bénéfice des patients : coordination des parcours et coopérations interprofessionnelles »
au titre de ses missions, le rôle de l’asiP santé consiste à favoriser les échanges et le partage des données de santé à des fins d’amélioration de la qualité et de la coordination des soins.
Dès les prémisses du projet, les conseils nationaux des ordres des professions de santé4 ont apporté leur soutien au projet et œuvrent à une construction menée aujourd’hui avec l’ensemble des acteurs du champ sanitaire.
Les ordres professionnels sont les premiers partenaires de mssanté en tant que représentants des professionnels de santé utilisateurs de messageries sécurisées. ils sont aussi garants du développement des usages du numérique dans un cadre éthique et technique conforme au cadre légal et déontologique.
aujourd’hui, tout opérateur de messagerie ou représentant de professionnels de santé peut devenir partenaire mssanté et s’engager à promouvoir les messageries sécurisées mssanté.
Juin 2013 / V1 5 • DOSSIER DE PRESSE MSSanté •
MSSanté, un projet d’ampleur national
Le « betatest », une démarche de mise au point
L’asiP santé organise une démarche de « betatest » permettant de mettre au point le système avec l’ensemble des acteurs. Les sites pilotes sont simplement les premiers utilisateurs volontaires, souhaitant mettre en œuvre une messagerie sécurisée de santé : établissements, régions, opérateurs privés.
a partir de l’été 2013, l’asiP santé met à disposition de ces « betatesteur » le cadre et l’infrastructure permettant le développement de messageries sécurisées interopérables autour d’un annuaire certifié, mais aussi un premier service permettant aux professionnels de santé le souhaitant d’ouvrir une boite aux lettres et de commencer à échanger de manière dématérialisée avec leurs correspondants.
Leurs retours sur cette première étape permettront de faire évoluer et d’améliorer le système. Le dispositif d’homologation permettra aux sites pilotes/betatesteurs, dès la fin 2013, de pleinement participer à cette mise au point en devenant opérateurs mssanté.
enfin l’asiP santé communiquera sur la nécessaire protection des données de santé à l’attention de l’ensemble des acteurs et proposera des outils d’accompagnement (guide avec les établissements de santé, état des lieux avec les régions, etc.)
3. La trajectoire 2013-2014
Dans le prolongement de la phase de concertation, l’objectif est d’initier la phase de mise au point du
système, en lien avec les ordres professionnels et l’ensemble des acteurs, notamment ceux qui ont eu
l’expérience et l’usage d’un service de messagerie sécurisé (établissements de santé, opérateurs de
messageries, éditeurs). Cette phase de mise au point se poursuivra tout au long de l’année 2013 pour
laisser place au déploiement du système mssanté dans l’ensemble du monde sanitaire en 2014.
en juin 2013, un premier niveau de service opéré par l’asiP santé, accessible sur internet sous forme
de webmail, est mis en production dans une version beta. il permet à tout professionnel de santé doté
d’une carte CPs d’activer son adresse de messagerie sécurisée et de commencer à échanger de façon
dématérialisée avec ses confrères et collègues.
Le déploiement du système mssanté démarre avec la mise à disposition des spécifications techniques
pour permettre le développement de solutions mssanté compatibles et l’intégration dans l’espace de
confiance des services existants.
Fin 2013, l’asiP santé met en place le processus d’homologation à la mssanté Compatibilité, pour tous
les candidats (établissements de santé, opérateurs, éditeurs, etc.).
C’est la première étape de la construction du système MSSanté.
Juin 2013 / V1 6 • DOSSIER DE PRESSE MSSanté •
1. les principes de construction du système5
Depuis sa mise en place en 2009, l’ASIP Santé a fixé un niveau élevé d’exigence en termes de
sécurité et de confidentialité pour la production de services d’échange de données de santé
personnelles, particulièrement sensibles.
Le système de Messageries Sécurisées de Santé repose sur les trois principes suivants :
• Proposition d’un cadre de développement des services de messageries sécurisées
• Création d’un espace de confiance commun à ces services
• mise à disposition d’un annuaire national certifié de tous les utilisateurs
L’espace de confiance mssanté se caractérise par :
• Une communauté d’utilisateurs clairement identifiés : les professionnels du secteur sanitaire (Ps
libéraux et Ps exerçant en établissement de santé)
• Un système de messageries sécurisées qui autorise les échanges entre des opérateurs homologués
enregistrés dans une liste blanche moyenant la sécurisation des accès et des canaux d’échanges
entre leurs domaines de messagerie
Le système MSSanté regroupe des domaines de
messageries, conforme au cadre technique, fonctionnel
et contractuel défini dans le Dossier de spécifications
fonctionnelles et techniques (DSFT).
Le document des spécifications fonctionnelles et
techniques (DSFT V0.9) est soumis à concertation du 6 mai
au 16 juin 2013. Il décrit en détail les principes, les interfaces
d’accès et les fonctionnalités à prendre en compte pour
tout logiciel ou tout opérateur de messagerie souhaitant
intégrer le système MSSanté.
Les fondements du système MSSanté des messageries sécurisées de santé
4 Les principes, les interfaces d’accès et les fonctionnalités pour intégrer mssanté sont décrits dans le document « Dossier de spécifications fonctionnelles et techniques des interfaces externes au système de messageries sécurisées de santé (mssanté) », publié sur le site de l’asiP santé www.esante.gouv.fr.
Juin 2013 / V1 7 • DOssIER DE PREssE MSSanté •
2. Vue d’ensemble du système MSSanté
3. L’annuaire MSSanté
mssanté est un système fermé, qui assure à ses utilisateurs de pouvoir sélectionner et échanger avec
des professionnels dûment identifiés et authentifiés. L’annuaire mssanté comprend dans un premier
temps l’ensemble des professionnels de santé inscrit au répertoire Partagé des Professionnels de santé
(rPPs) ou au répertoire aDeLi, et qui dispose d’une carte CPs. a terme, l’annuaire inclura également
l’ensemble des professionnels de santé (au sens du Code de la santé publique).
4. Développement de la MSSanté-compatibilité
La mssanté-compatibilité est la capacité d’une solution logicielle de type client de messagerie à
échanger des messages et à gérer les boîtes aux lettres associées aux domaines mssanté.
Les fondements du système MSSanté des messageries sécurisées de santé
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 8
Pour intégrer l’espace de confiance un opérateur candidat doit respecter les exigences suivantes :
➊ L’opérateur satisfait à ses obligations vis-à-vis de la Commission nationale de l’informatique et des
libertés (CNIL)
➋ L’opérateur doit être titulaire, le cas échéant, de l’agrément Hébergeur de Données de Santé (HDS)
(ou son hébergeur)
➌ L’opérateur propose un service de routage des messages et d’interrogation de l’annuaire mssanté :
le service est homologué MSSanté-compatible
Un contrat d’homologation est destiné aux éditeurs de clients de messagerie et un contrat d’opérateur
est destiné aux opérateurs de services de messageries sécurisées de santé.
De nombreux opérateurs de domaines de messageries gérant des donnés de santé ont vocation à
intégrer l’espace de confiance :
• Des établissements de santé
• Des opérateurs de services de messageries, privés ou publics
• L’asiP santé, qui propose, en lien avec les ordres, un service de base de messagerie sécurisée pour
les porteurs de CPs
Ainsi, tout logiciel client de messagerie ou opérateur de messagerie qui se conforme aux
spécifications MSSanté peut devenir MSSanté compatible.
Les fondements du système MSSanté des messageries sécurisées de santé
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 9
MSSanté en questions
> MSSanté, c’est tout d’abord un système pour toutes les Messageries Professionnelles de Santé, pour tous les opérateurs.
Le système ms santé est constitué d’un cadre de compatibilité pour tout opérateur souhaitant proposer un service dans l’espace de confiance (établissement de santé, opérateur privé, opérateur régional). il est fondé sur des règles de sécurité et un annuaire commun de tous les professionnels de santé.
> MSSanté, c’est aussi le premier service de messagerie sécurisé accessible sur www.mssante.fr qui donnera envie de choisir une messagerie MSSanté
Pour se développer, ce système d’échange de données de santé doit être accessible rapidement à tous les professionnels de santé. Le service de messagerie simple proposé sur www.mssante.fr, en lien avec les ordres, permet à tout professionnel de santé porteur de CPs de commencer à utiliser une messagerie sécurisée. il est gratuit. Des solutions de messagerie sécurisées offrant davantage de fonctionnalités pourront être proposées par d’autres opérateurs. Les options ainsi que les prix de ces messageries varieront selon la politique commerciale des opérateurs qui les proposeront.
MSSanté, c’est quoi ?
@
Le système MSSanté
Pour toute question complémentaire, consultez le document complet « MSSanté en question »
disponible en ligne sur www.mssante.fr ainsi que sur les sites Internet des ordres professionnels.
Pourquoi utiliser MSSanté ?
Quatre bonnes raisons d’adopter une messagerie sécurisée mssanté :
➊ Trouver simplement mes correspondants dans un annuaire national commun. Toutes les professions
de santé s’y trouvent. rechercher mes confrères avec des critères multiples partout sur le territoire, en
ville comme à l’hôpital devient possible.
➋ recevoir automatiquement les données de santé de mes patients dans mon outil métier (comptes
rendus hospitaliers, de biologie, de radiologie, etc.) et économiser ainsi du temps de réception du
courrier papier, de scan ou de recherche de documents, etc.
➌ Prévenir, informer ou alerter mes confrères et partenaires, simplement et naturellement, y compris
ceux qui sont en visite, sur leur téléphone mobile ou leur tablette.
➍ Protéger les données de mes patients et protéger ainsi ma responsabilité professionnelle : il est
possible en cas de litige de retracer les échanges.
MSSANTÉ
Juin 2013 / V1
• DOSSIER DE PRESSE MSSanté • 10
MSSanté en questions
Est-ce obligatoire ?
Non, l’utilisation d’une messagerie professionnelle mssanté n’est pas obligatoire mais vivement recommandé !
Tout professionnel de santé est cependant tenu de respecter les contraintes règlementaires et de sécurité autour
des échanges et de l’hébergement des données de santé. Les données de santé à caractère personnel sont des
données sensibles et protégées par la loi, leur circulation et leur stockage sont donc strictement encadrés.
Une messagerie professionnelle mssanté permet de respecter ces obligations.
Qui peut l’utiliser ?
Ce service est réservé aux professionnels de santé qu’ils exercent en ville ou à l’hôpital. Pour cela,
chaque professionnel de santé doit être préalablement enregistré auprès de son ordre professionnel ou
de son autorité d’enregistrement.
a) est-ce que les secrétaires médicales peuvent l’utiliser ?
oui, elles peuvent l’utiliser sous la responsabilité du professionnel de santé ou de l’établissement de
santé qui l’emploie, dans le respect des exigences de sécurité et de confidentialité prévues par les textes
en vigueur, les secrétaires médicales étant en outre tenues au secret professionnel.
b) est-ce que les travailleurs sociaux et les professionnels médico-sociaux peuvent l’utiliser ?
L’accès aux données de santé à caractère personnel, strictement encadré par l’article L1110-4 du code
de la santé publique, est réservé aux professionnels de santé. Néanmoins et pour tenir compte des
besoins de prise en charge coordonnée, la loi prévoit la mise en place d’une expérimentation concernant
les personnes âgées en risque de perte d’autonomie (PaerPa). Cette expérimentation permettra de
tester à petite échelle dans un cadre légal des échanges entre professionnels de santé et professions du
domaine médico-social à partir du dernier trimestre 2013.
c) Une messagerie mssanté permet-elle l’envoi d’informations à des patients ?
Non, les messageries sécurisées mssanté sont réservées aux échanges entre professionnels de santé.
Le DmP, Dossier médical Personnel du patient, permet de partager avec le patient les informations de
santé utiles à la coordination des soins qui le concernent.
L’email a-t-il une valeur de preuve? La signature électronique du message est-elle possible ?
Un des objectifs associé au déploiement des messageries sécurisées est bien de favoriser la dématérialisation des
échanges de données de santé. La signature au sein du système mssanté est « présumée fiable » du fait notamment :
• de l’utilisation d’un annuaire certifié
• d’une authentification forte
• de l’intégrité des échanges
en cas de litige le juge établira l’imputabilité des messages à leur auteur sur la base ce faisceau d’arguments.
La signature électronique avec une carte CPs reste possible mais n’est pas exigée pour tous les échanges.
en conséquence tout professionnel de santé qui souhaiterait ne plus recevoir par voie papier des documents
reçus par voie électronique dans le cadre du système mssanté, doit porter cette information à la connaissance
des autres utilisateurs du système en cochant la case prévue à cet effet dans l’annuaire mssanté.
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 11
MSSanté en questions
Le service MSSanté
Pourquoi l’ASIP Santé et les ordres proposent-il un service « de base » de messagerie sécurisée ?
Pour se développer, le système d’échange de données de santé mssanté doit être accessible rapidement
à tous les professionnels de santé. Le service de messagerie simple proposé sur www.mssante.fr, en lien
avec les ordres, permet à tout professionnel de santé porteur de Carte de Professionnel de santé (CPs)
de commencer à utiliser une messagerie sécurisée. il est gratuit.
Des solutions de messagerie sécurisées offrant davantage de fonctionnalités pourront être proposées
par d’autres opérateurs. Les options ainsi que les prix de ces messageries varieront selon la politique
commerciale des opérateurs qui les proposeront.
Comment obtenir ma première adresse MSSanté ?
il vous suffit de demander une adresse sur le site www.mssante.fr. Pour cela, munissez-vous de votre
CPs et d’un lecteur de carte correctement configuré.
Les professionnels de santé peuvent s’inscrire dès maintenant sur le site www.mssante.fr pour être
tenus informés de l’avancée du projet et faire partie des premiers utilisateurs.
Comment utiliser cette adresse MSSanté dans ma pratique quotidienne ?
mssanté s’utilise comme une messagerie classique : soit directement à partir d’un navigateur internet,
en accès « webmail » (avec identification sécurisée), soit à partir du logiciel de professionnel de santé
(fonctionnalités intégrées) ou d’un client de messagerie homologués « mssanté compatible».
Quelle est la capacité des boîtes mail proposées dans ce service ? Quelle est la taille
maximale des pièces jointes ? Quel type de documents puis-je envoyer ?
Ces boîtes mail ont une capacité de stockage limitée à 2 Go. La taille maximale des pièces jointes pouvant
être envoyées est de 10 mo. Le contenu ou le type des pièces jointes n’est pas défini par le standard de
messagerie ; comme avec votre messagerie habituelle vous pouvez envoyer toutes les pièces jointes
que vous souhaitez.
D’autres opérateurs de messagerie pourront proposer des services plus élaborés.
A qui m’adresser si j’ai une question ?
Pour créer votre boîte aux lettres mssanté, pour accéder à votre webmail ou pour toute autre question,
mssanté info service est à votre disposition par téléphone au 3657 (coût d’un appel local).
Un formulaire de contact est également présent sur le site www.mssante.fr pour poser vos questions
mais aussi demander à être rappelé au moment qui vous convient.
Juin 2013 / V1
@
• DOSSIER DE PRESSE MSSanté • 12
La loi reconnaît la même valeur à l’écrit sur support papier et à l’écrit sur support électronique6.
Deux conditions sont posées à cette équivalence.
- L’identification de la personne dont émane le message.
- La garantie de l’intégrité du procédé retenu pour l’établissement et la conservation du message.
I. L’identification des utilisateurs de la MSSanté
Le raccordement de tout opérateur de messagerie au système mssanté passe par l’établissement d’un
contrat avec l’asiP santé définissant les conditions d’intégration à l’espace de confiance. Parmi les
exigences à satisfaire, l’identification des utilisateurs devra s’appuyer sur le dispositif de certification
de l’identité fondé sur un certificat électronique d’authentification adossé à un annuaire (rPPs) et une
authentification forte des professionnels de santé.
a défaut, peut être utilisée une authentification forte par carte CPs ou « identité/mot de passe » et mot
de passe à usage unique, adossée à une carte CPs dont l’usage sera requis lors de l’activation du compte.
Le système mssanté s’accompagne également d’un mécanisme spécifique de gestion de l’imputabilité
des accès via l’enregistrement des traces.
II. Les mesures de sécurité permettant de garantir l’intégrité du message
L’obligation pour les entités responsables de messageries raccordées au système mssanté de satisfaire
aux obligations de la loi informatique et Libertés permet d’être assuré du respect des règles de
conservation des messages échangés et de leurs traces. La procédure d’agrément à laquelle doivent
se soumettre les hébergeurs du service permet de contrôler la nature du procédé retenu pour assurer
l’intégrité des messages.
Le dispositif ainsi mis en place pour le système mssanté permet de garantir au récepteur de la messagerie l’identité de l’émetteur du message avec un fort niveau d’imputabilité du message et donc de son contenu. Le document en tant que tel n’est pas signé.
6 article 1316-1 du code civil.
La valeur des documents échangés par le système mssanté
ANNEXE 1
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 13
Tous les messages échangées via le système mssanté et qui transitent sur les réseaux entre le poste
de l’utilisateur final et l’infrastructure des opérateurs, le sont à travers des flux TCP-iP / TLs (smTPs,
HTTPs) qui garantissent leur intégrité.
En conséquence :
en acceptant les conditions générales d’utilisation (CGU) du service mssanté,
- les utilisateurs de la messagerie s’accordent pour reconnaître la même valeur probante aux écrits
électroniques transmis via la mssanté qu’aux écrits sur support papier,
- s’engagent à ne pas contester la valeur probante des documents sur le fondement de leur nature
électronique.
Tout professionnel de santé qui souhaiterait ne plus recevoir par voie papier des documents reçus par voie électronique dans le cadre du système mssanté, doit por-ter cette information à la connaissance des autres utilisateurs du système en cochant la case prévue à cet effet dans l’annuaire mssanté.
La valeur des documents échangés par le système mssanté
ANNEXE 1
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 14
Dans le cadre du développement d’un système de messageries sécurisées de santé tel mssanté, le
législateur a notamment posé deux principes importants :
• La nécessité d’un agrément des hébergeurs de données de santé (articles L 1111-8 et r 1111-9 et suivants
du code de la santé publique) ;
• L’obligation de recourir à la carte de professionnel de santé ou à un dispositif équivalent pour échanger
des données de santé à caractère personnel (complément introduit par la loi du 21 juillet 2009 dite
« HPsT »).
RAPPELS : textes fondateurs & notions clés de la protection des données personnelles de santé
Les données personnelles de santé sont des données sensibles. elles bénéficient dans les textes d’une
pro¬tection particulière (loi informatique et Libertés, code de la santé publique, code de la sécurité
sociale et code pénal).
I. Le droit commun de la protection des données personnelles de sante
A. il est posé par la directive européenne du 24 octobre 1995 relative à la protection des personnes
physiques à l’égard du traitement des données à caractère per¬sonnel et par la loi du 6 janvier 1978
modifiée relative à l’informatique, aux fichiers et aux libertés.
La protection des données s’appuie sur cinq principes clés que doivent respecter les responsables de
traitement :
• une finalité déterminée et légitime
• des données pertinentes et mises à jour
• une durée de conservation limitée
• une durée de conservation limitée
• des mesures de sécurité adaptées
B. La Commission nationale de l’informatique et des libertés (CNiL), autorité administrative indépendante,
est chargée de faire respecter ces principes.
elle définit, à l’occasion de l’examen de projets qui lui sont soumis, les conditions d’une mise en œuvre
res¬pectueuse des dispositions de la loi du 6 janvier 1978, en particulier au regard des droits de la
personne (droit d’accès, droit de rectification, droit de suppression et droit d’opposition) et des mesures
de sécurité permet¬tant de garantir la protection de la personne et de ses données. L’adoption de
mesures de sécurité physique et logique restent déterminées en fonction de l’archi¬tecture technique
utilisée et de la nature des données collectées.
Le cadre de la protection des données de mssanté
ANNEXE 2
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 15
II. Des dispositions particulieres qui renforcent cette protection
A. La sanctuarisation des données personnelles de santé
Le code pénal sanctionne l’accès non autorisé à des données personnelles de santé en dehors de toute
re¬lation de soins.
Article 226-13 : « La révélation d’une information à caractère secret par une personne qui en est
déposi¬taire, soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire,
est punie d’un an d’emprisonnement et de 15.000 euros d’amende. »
La violation du secret professionnel est sanction¬née. Seule une loi peut déroger et autoriser un
profes¬sionnel de santé à accéder à des données de santé à caractère personnel en dehors de la
relation de soins qui peut l’unir à son patient.
Les données de santé ne peuvent être communiquées et utilisées dans les conditions déterminées par
la loi, que dans l’intérêt direct du patient (assurer son suivi médical, faciliter sa prise en charge par
l’assurance maladie obligatoire…) ou pour les besoins de la santé publique.
B. La confidentialité des données de santé
1. Le principe est posé par l’article L.1110-4 du code de la santé publique.
article L.1110-4 : « Toute personne prise en charge par un professionnel, un établissement, un réseau
de santé ou tout autre organisme participant à la préven¬tion et aux soins a droit au respect de sa vie
privée et du secret des informations la concernant. »
il offre aux personnes une protection juridique, en lien avec le secret professionnel, et en définit les
conditions. Les outils de la protection juridique qui assurent cette confidentialité sont l’information
préalable, le recueil du consentement et le droit d’opposition du patient.
2. Les conditions d’application sont précisées par le décret « Confidentialité » du 15 mai 2007
il détermine les exigences de confidentialité et de sé¬curité à respecter par les professionnels de santé,
les établissements de santé, les réseaux de santé, et tout organisme participant au système de santé, qui
conservent sur support informatique et échangent par voie électronique des données de santé à caractère
person¬nel. Ces exigences s’appliqueront dans tous les cas et notamment au Dossier médical Personnel.
il détermine les cas où l’utilisation de la CPs ou d’un dis¬positif équivalent agréé par l’asiP santé est
obligatoire.
il rend obligatoire le respect de référentiels définis par arrêté du ministre chargé de la santé, qui
décriront les règles de sécurité et de confidentialité destinées à ga¬rantir en toutes circonstances le
secret médical.
Le cadre de la protection des données de mssanté
ANNEXE 2
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 16
3. La loi de juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux
territoires positionne l’asiP santé comme l’autorité compétente de référence pour définir et imposer
des systèmes confor¬mes aux référentiels de santé et d’interopérabilité.
Article L.1111-8 alinéa 4 du code de la santé publique :« …la détention et le traitement sur des supports
informatiques de données de santé à caractère personnel par des professionnels de santé, des
établissements de santé ou des hébergeurs de données de santé à caractère personnel sont subordonnés
à l’utilisation de systèmes conformes (…) aux référentiels d’interopérabilité et de sécurité arrêtés par le
ministre chargé de la Santé après avis [de l’ASIP Santé]. »
C. L’hébergement des données de santé à caractère personnel
1. La loi du 4 mai 2002 relative aux droits des malades et à la qualité du système de santé a instauré une
procédure d’agrément des hébergeurs de données de santé à caractère personnel, qui vise à garantir
la sécurité des données personnelles de santé lorsqu’elles sont hébergées par un organisme distinct du
professionnel ou de l’établissement de santé qui soigne le malade. papier ou informatique, ne peut avoir
lieu qu’avec le consentement exprès de la personne concernée.
Article L.1111-8 du code de la santé publique : « Les professionnels de santé ou les établissements de
santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies
ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes
physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support,
papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée.
Les traitements de données de santé à caractère personnel que nécessite l’hébergement prévu au
premier alinéa, quel qu’en soit le support, papier ou informatique, doivent être réalisés dans le respect
des dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. La
prestation d’hébergement, quel qu’en soit le support, fait l’objet d’un contrat. Lorsque cet hébergement
est à l’initiative d’un professionnel de santé ou d’un établissement de santé, le contrat prévoit que
l’hébergement des données, les modalités d’accès à celles-ci et leurs modalités de transmission sont
subordonnées à l’accord de la personne concernée. (…) ».
2. Le décret du 4 janvier 2006 précise les conditions de cet agrément qui fait intervenir la CNiL et un
comité d’agrément des hébergeurs placé auprès du ministère chargé de la santé. L’asiP santé a pour
mission l’instruction des dossiers de demande d’agrément ainsi que le secrétariat du comité d’agrément.
Le cadre de la protection des données de mssanté
ANNEXE 2
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 17
7 Décret du 6 février 2009 relatif aux procédures liées à l’exercice des professionnels de santé
Glossaire
ANNEXE 3
Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 18
Répertoire partagé des professionnels de santé (rpps)
Le répertoire Partagé des Professionnel de santé est un annuaire contenant pour chaque professionnel de santé un identifiant unique et pérenne (n° rPPs) non significatif. L’annuaire compile un ensemble de données d’intérêt commun fiables et qualifiées : situation(s) et lieu(x) d’exercice, année d’obtention du diplôme, état civil… Chaque professionnel de santé se voit ainsi attribuer un numéro rPPs qui l’identifie de façon certaine et lui permet d’être doté de façon automatisée et gratuite d’une Carte de Professionnel de santé (CPs). mais c’est également un système d’échange permettant le partage de ces informations entre les acteurs du domaine de la santé (État, ordres, service de santé des armées, assurance maladie, asiP santé, etc.). surtout, il concrétise une simplification administrative des démarches voulue par la loi : La Désormais, c’est l’autorité d’enregistrement qui reçoit les informations nécessaires à l’identification du professionnel et à la certification de ses diplômes et situations d’exercice, puis les transmet, après validation, à l’asiP santé qui gère le répertoire partagé des professionnels de santé (rPPs). Fin 2011, l’ensemble des annuaires des ordres des sages-femmes, médecins, chirurgien dentistes et pharmaciens a été intégré au rPPs. en 2012, l’agence a préparé avec les instances ordinales l’ajout des pédicures-podologues, masseurs-kinésithérapeutes et médecins du service de santé des armées.
Carte de professionnel de santé (cps)
C’est la carte d’identité électronique des professionnels de santé. elle contient les données d’identification de son porteur (identité, profession, spécialité) mais aussi ses situations d’exercice (cabinet ou établissement). elle constitue le maillon final d’une chaîne de confiance qui permet à son titulaire d’attester de son identité et de ses qualifications professionnelles. elle est protégée par un code confidentiel propre à son porteur. Cette carte est notamment utilisée pour la télétransmission des feuilles de soins électroniques (Fse) et la consultation du Dossier médical Personnel (DmP).
Cadre national d’interopérabilité des systèmes d’information de santé (ci-sis)
Favoriser le développement de l’interopérabilité entre les si de santé est l’une des missions majeures de L’asiP santé. Le Cadre d’interopérabilité des systèmes d’information de santé (Ci-sis) est le référentiel central qui sous-tend cette mission en créant les conditions d’une interopérabilité reproductible et efficiente entre si de santé, dans le respect des exigences de sécurité et de confidentialité des données personnelles de santé.Ce référentiel spécifie les standards (le plus souvent internationaux) à utiliser dans les échanges et lors du partage de données de santé entre sis, et contraint la mise en œuvre de ces standards par des spécifications d’implémentation destinées à faciliter le déploiement de l’interopérabilité entre sis dans les conditions de sécurité requises.
Politique générale de sécurité des systèmes d’information de santé (pgssi-s)
afin d’accompagner la dématérialisation des données de santé, de profiter des bénéfices qui en sont attendus, et d’assurer la nécessaire sécurisation de ces si du fait de la sensibilité des données de santé portés par les processus métiers, l’etat élabore une Politique Générale de sécurité des systèmes d’information de santé (PGssi-s) qui fixe le cadre de la sécurisation des systèmes d’information de santé.
Répertoire adeli (pour automatisation des listes)
C’est un système d’information national sur les professionnels relevant du code de la santé publique, du code de l’action sociale et des familles et des personnes autorisées à faire usage du titre de psychologue, d’ostéopathe, de psychothérapeute ou de chiropracteur. il contient des informations personnelles et professionnelles (état civil – situation professionnelle – activités exercées). Un numéro aDeLi est attribué à tous les praticiens salariés ou libéraux et leur sert de numéro de référence. Le numéro aDeLi figure sur la Carte de professionnel de santé (CPs) pour des professionnels relevant du code de la santé publique.
hébergeur de données de santé à caractère personnel
Lorsque les données de santé à caractère personnel sont hébergées par un organisme distinct du professionnel ou de l’établissement de santé qui soigne le malade, elles le sont chez un hébergeur de données. La loi relative aux droits des malades et à la qualité du système de santé a instauré une procédure d’agrément des hébergeurs qui vise à garantir la sécurité de ces données et le respect des droits du patient. ils doivent respecter des règles de sécurité et de confidentialité très précises sous les conditions et sous les peines définies par l’article 226-13 du code pénal (article L.1111-8 du code de la santé publique).
Les ordres professionnels, premiers partenaires de MSSanté