MSSanté, la garantie d’échanger en toute confiance · enfin l’asiP santé communiquera sur la nécessaire protection des données de santé à l’attention de l’ensemble

MSSanté, la garantie d’échanger en toute confiance

La protection de la confidentialité autour du patient exige que les échanges dématérialisés de données de santé soient réalisés de manière sécurisée. Or aujourd’hui, la très grande majorité de ces échanges sont réalisés via des messageries « grand public », non sécurisées. Afin de doter les professionnels de santé de services répondant à de telles exigences, les pouvoirs publics mettent en œuvre le système MSSanté.

MSSanté est un système de messageries sécurisées réservé aux professionnels de santé. Développé par l’asiP santé avec le soutien des ordres professionnels, et en concertation avec les acteurs du monde sanitaire (industriels, représentants des professionnels de santé, établissements, etc.), le système mssanté va permettre au million de professionnels d’intégrer progressivement dans leurs pratiques l’utilisation de la messagerie électronique, avec les outils de leur choix, en toute sécurité et en conformité avec la réglementation en vigueur.

MSSanté se fonde sur trois principes : universalité (tout professionnel doit pouvoir échanger avec un autre professionnel dans le cadre de son exercice), simplicité d’utilisation (la messagerie est aujourd’hui entrée dans notre quotidien, elle doit aussi s’intégrer facilement dans les outils et pratiques professionnels, sécurité (tout doit être mis en œuvre pour protéger les données des patients et la responsabilité professionnelle).Complémentaires au Dossier médical Personnel (DmP), qui permet le partage de données de santé, les messageries sécurisées mssanté constituent une étape supplémentaire pour la e-santé, en facilitant l’échange de données dématérialisées entre professionnels de santé et en respectant la confidentialité autour du patient. elles contribuent à faciliter la coordination des soins et à améliorer les échanges entre l’hôpital et la ville.

en juin 2013, les spécifications techniques et fonctionnelles actuellement en concertation, sont mises à disposition de tous afin de permettre à tout opérateur de prendre connaissance des exigences pour devenir mssanté compatible. Dans ses premiers mois d’utilisation, le système mssanté sera ainsi en « bêtatest » avec les professionnels de santé, avant son déploiement à partir de l’année 2014.

en outre, pour permettre à tous de commencer à échanger en toute confiance, un premier service de messagerie sécurisée sera accessible sur internet (webmail) dès juin 2013. Proposé par l’asiP santé et l’ensemble des ordres des professionnels de santé à tous ceux qui sont dotés d’une carte CPs, il leur permettra de tester sans attendre les échanges professionnels par mail sécurisé.

www.mssante.fr

Juin 2013 / V1 2 • DOSSIER DE PRESSE MSSanté •

Les professionnels de santé ont toujours échangé entre eux des informations sur leurs patients. si

ces échanges sont encore essentiellement effectués par voie épistolaire, le développement des systèmes

d’information de santé transforme cette communication en la dématérialisant. La transformation numérique

est ainsi en marche dans le secteur de la santé et s’accélère avec les usages mobiles (téléphones et

tablettes). or, aujourd’hui, la plupart des échanges par mail se font en utilisant des services de messagerie

« grand public », non sécurisés. Pour les pouvoirs publics, l’enjeu est double : assurer la sécurité et la

protection des données personnelles de santé des patients, particulièrement sensibles et protégées par la

loi 1, mais également protéger la responsabilité des professionnels de santé.

Du point de vue des professionnels de santé, le besoin croissant de prise en charge coordonnée des patients

est une réalité. Face au développement des maladies chroniques, au vieillissement de la population, à

l’isolement géographique de certains professionnels de santé, de nouveaux modes d’organisation (maisons

et pôles de santé par exemple) se mettent en place : la coopération interprofessionnelle et interdisciplinaire

est plus que jamais indispensable. Grâce aux nouvelles technologies, les professionnels de santé trouvent

des solutions pour améliorer leurs échanges. soucieux des questions de confidentialité des données et

de responsabilité que cela soulève, les représentants des professionnels de santé se mobilisent depuis

plusieurs années, afin de répondre au besoin de disposer d’outils simples, sécurisés et universels pour

l’échange de données de santé.

La plupart des messageries sécurisées de santé lancées dans les périodes précédentes se sont heurtées à

des difficultés d’ordre techniques, d’interopérabilité ou de déploiement. aujourd’hui, on estime à environ

50 000 le nombre de professionnels de santé équipés d’une messagerie sécurisée et leurs volumes

d’échanges restent modestes.

soucieux des questions de confidentialité des données et de responsabilité des professionnels, le Conseil

National de l’ordre des médecins (CNom), a pris l’initiative en 2010 de proposer des adresses de messagerie

sécurisée de santé pour chaque médecin qui le souhaiterait. en parallèle, à partir de 2011, le secteur santé

a fait l’objet d’une simplification administrative grâce au répertoire Partagé des Professionnels de santé

(rPPs) ainsi qu’à la large diffusion de la Carte de Professionnel de santé (CPs), véritable carte d’identité

professionnelle. Ces deux étapes ont préparé la mise en place d’un système de messageries sécurisées.

Depuis 2012, l’asiP santé, sur la base d’un travail conjoint élargi à l’ensemble des ordres des professions

de santé (médecins, pharmaciens, chirurgiens-dentistes, sages-femmes, masseurs-kinésithérapeutes,

pédicures–podologues), met au point un système de messageries sécurisées de santé permettant aux

messageries existantes de développer leurs usages en s’inscrivant dans un espace de confiance commun.

Un premier service, simple, permettant à tous les porteurs de CPs de créer leur boîte aux lettres de

messagerie sécurisée, est également proposé, en lien avec les ordres, sur www.mssante.fr.

L’échange de données de santé : enjeux et historique

1 Voir annexe 2 : le cadre de la protection des données de santé


MSSanté, un projet d’ampleur national

1. Les messageries sécurisées, une priorité pour les pouvoirs publics

La construction d’un espace de confiance dédié à l’échange de données de santé constitue un projet

d’ampleur nationale. en 2013, à l’occasion de son discours sur la stratégie nationale en matière de

e-santé2, marisol Touraine, ministre des affaires sociales et de la santé, confirme la mise en place d’une

messagerie sécurisée de santé comme une des priorités de la politique publique en matière de e-santé.

L’enjeu de la dématérialisation, pour le secteur santé comme pour les autres, est réel : gain de temps dans

les échanges au profit du temps médical et de prise en charge du patient, gain d’espace et de classement

pour l’archivage des documents, sécurisation et limitation de la fraude grâce à la mise en place de process

numériques strictement encadrés.

2. Rôle de l’ASIP Santé

L’asiP santé, agence publique chargée de définir les référentiels de sécurité et d’interopérabilité en

matière de partage et d’échange de données de santé à caractère personnel, s’est vu confier sa mise en

œuvre opérationnelle, en concertation avec les ordres professionnels et les acteurs du monde sanitaire.

Pour mettre en place le système mssanté, l’asiP santé joue deux rôles :

• Maîtrise d’ouvrage de l’espace de confiance : elle est garante des règles de fonctionnement de l’espace

de confiance incarné par le système mssanté ;

• Opérateur des domaines des Ordres professionnels, autorités d’enregistrement des professionnels

de santé dans le rPPs : elle offre un service public de messagerie sécurisée de santé standard, afin

d’amorcer la dynamique du système mssanté.

3. Un projet destiné à l’ensemble du champ sanitaire

Le développement de messageries sécurisées en santé est un enjeu partagé par tous. C’est pourquoi le

système mssanté se développe en concertation et en coordination avec les acteurs du monde sanitaire.

La mise en place de messageries sécurisées concerne l’ensemble des acteurs du monde sanitaire :

• Plus d’un million de professionnels de santé : médecins, pharmaciens, infirmiers, sages-femmes,

chirurgiens-dentistes, pédicure podologues, masseurs-kinésithérapeutes, … sont les utilisateurs potentiels

des messageries sécurisées. Qu’ils exercent en libéral ou en établissement de santé, ils sont tous concernés

par ce moyen d’échanges au service de leur pratique professionnelle.

• Les établissements de santé : au nombre de 2710 en France3, ils disposent pour la plupart de services

de messagerie. L’enjeu est d’assurer leur mise en conformité technique et de permettre ainsi à chaque

établissement d’intégrer l’espace de confiance mssanté.

2 stratégie e-santé, intervention de marisol Touraine, jeudi 28 mars 2013, dans le cadre de la 13ème Journée TeLesaNTe organisée par le CaTeL.3 Dont 956 établissements publics, source : Drees 2010



• Le monde de l’industrie de la e-santé : opérateurs de messageries, hébergeurs de données, éditeurs de

logiciels de professionnels de santé, etc. sont particulièrement intéressé par la mise en place du système

mssanté qui permet de mettre en œuvre simplement des systèmes d’échange respectant les exigences

légales.

• Les représentants des professionnels (instances ordinales mais également syndicats, UrPs, fédérations

hospitalières, …) : ils participent à la concertation, à la mise au point, à l’amélioration et au déploiement

du projet de messageries sécurisées.

Les ordres professionnels, premiers partenaires de MSSanté

4 Les Conseils nationaux des ordres des professions de santé: ordres des médecins, des pharmaciens, des chirurgiens-dentistes, des sages-femmes, des masseurs-kinésithérapeutes, des pédicures-podologues et des infirmiers. Voir communiqué de Presse du 26 avril 2013 intitulé « messageries sécurisées de santé : Une clé d’échanges de données personnelles de santé au bénéfice des patients : coordination des parcours et coopérations interprofessionnelles »

au titre de ses missions, le rôle de l’asiP santé consiste à favoriser les échanges et le partage des données de santé à des fins d’amélioration de la qualité et de la coordination des soins.

Dès les prémisses du projet, les conseils nationaux des ordres des professions de santé4 ont apporté leur soutien au projet et œuvrent à une construction menée aujourd’hui avec l’ensemble des acteurs du champ sanitaire.

Les ordres professionnels sont les premiers partenaires de mssanté en tant que représentants des professionnels de santé utilisateurs de messageries sécurisées. ils sont aussi garants du développement des usages du numérique dans un cadre éthique et technique conforme au cadre légal et déontologique.

aujourd’hui, tout opérateur de messagerie ou représentant de professionnels de santé peut devenir partenaire mssanté et s’engager à promouvoir les messageries sécurisées mssanté.



Le « betatest », une démarche de mise au point

L’asiP santé organise une démarche de « betatest » permettant de mettre au point le système avec l’ensemble des acteurs. Les sites pilotes sont simplement les premiers utilisateurs volontaires, souhaitant mettre en œuvre une messagerie sécurisée de santé : établissements, régions, opérateurs privés.

a partir de l’été 2013, l’asiP santé met à disposition de ces « betatesteur » le cadre et l’infrastructure permettant le développement de messageries sécurisées interopérables autour d’un annuaire certifié, mais aussi un premier service permettant aux professionnels de santé le souhaitant d’ouvrir une boite aux lettres et de commencer à échanger de manière dématérialisée avec leurs correspondants.

Leurs retours sur cette première étape permettront de faire évoluer et d’améliorer le système. Le dispositif d’homologation permettra aux sites pilotes/betatesteurs, dès la fin 2013, de pleinement participer à cette mise au point en devenant opérateurs mssanté.

enfin l’asiP santé communiquera sur la nécessaire protection des données de santé à l’attention de l’ensemble des acteurs et proposera des outils d’accompagnement (guide avec les établissements de santé, état des lieux avec les régions, etc.)

3. La trajectoire 2013-2014

Dans le prolongement de la phase de concertation, l’objectif est d’initier la phase de mise au point du

système, en lien avec les ordres professionnels et l’ensemble des acteurs, notamment ceux qui ont eu

l’expérience et l’usage d’un service de messagerie sécurisé (établissements de santé, opérateurs de

messageries, éditeurs). Cette phase de mise au point se poursuivra tout au long de l’année 2013 pour

laisser place au déploiement du système mssanté dans l’ensemble du monde sanitaire en 2014.

en juin 2013, un premier niveau de service opéré par l’asiP santé, accessible sur internet sous forme

de webmail, est mis en production dans une version beta. il permet à tout professionnel de santé doté

d’une carte CPs d’activer son adresse de messagerie sécurisée et de commencer à échanger de façon

dématérialisée avec ses confrères et collègues.

Le déploiement du système mssanté démarre avec la mise à disposition des spécifications techniques

pour permettre le développement de solutions mssanté compatibles et l’intégration dans l’espace de

confiance des services existants.

Fin 2013, l’asiP santé met en place le processus d’homologation à la mssanté Compatibilité, pour tous

les candidats (établissements de santé, opérateurs, éditeurs, etc.).

C’est la première étape de la construction du système MSSanté.


1. les principes de construction du système5

Depuis sa mise en place en 2009, l’ASIP Santé a fixé un niveau élevé d’exigence en termes de

sécurité et de confidentialité pour la production de services d’échange de données de santé

personnelles, particulièrement sensibles.

Le système de Messageries Sécurisées de Santé repose sur les trois principes suivants :

• Proposition d’un cadre de développement des services de messageries sécurisées

• Création d’un espace de confiance commun à ces services

• mise à disposition d’un annuaire national certifié de tous les utilisateurs

L’espace de confiance mssanté se caractérise par :

• Une communauté d’utilisateurs clairement identifiés : les professionnels du secteur sanitaire (Ps

libéraux et Ps exerçant en établissement de santé)

• Un système de messageries sécurisées qui autorise les échanges entre des opérateurs homologués

enregistrés dans une liste blanche moyenant la sécurisation des accès et des canaux d’échanges

entre leurs domaines de messagerie

Le système MSSanté regroupe des domaines de

messageries, conforme au cadre technique, fonctionnel

et contractuel défini dans le Dossier de spécifications

fonctionnelles et techniques (DSFT).

Le document des spécifications fonctionnelles et

techniques (DSFT V0.9) est soumis à concertation du 6 mai

au 16 juin 2013. Il décrit en détail les principes, les interfaces

d’accès et les fonctionnalités à prendre en compte pour

tout logiciel ou tout opérateur de messagerie souhaitant

intégrer le système MSSanté.

Les fondements du système MSSanté des messageries sécurisées de santé

4 Les principes, les interfaces d’accès et les fonctionnalités pour intégrer mssanté sont décrits dans le document « Dossier de spécifications fonctionnelles et techniques des interfaces externes au système de messageries sécurisées de santé (mssanté) », publié sur le site de l’asiP santé www.esante.gouv.fr.

Juin 2013 / V1 7 • DOssIER DE PREssE MSSanté •

2. Vue d’ensemble du système MSSanté

3. L’annuaire MSSanté

mssanté est un système fermé, qui assure à ses utilisateurs de pouvoir sélectionner et échanger avec

des professionnels dûment identifiés et authentifiés. L’annuaire mssanté comprend dans un premier

temps l’ensemble des professionnels de santé inscrit au répertoire Partagé des Professionnels de santé

(rPPs) ou au répertoire aDeLi, et qui dispose d’une carte CPs. a terme, l’annuaire inclura également

l’ensemble des professionnels de santé (au sens du Code de la santé publique).

4. Développement de la MSSanté-compatibilité

La mssanté-compatibilité est la capacité d’une solution logicielle de type client de messagerie à

échanger des messages et à gérer les boîtes aux lettres associées aux domaines mssanté.


Juin 2013 / V1 • DOSSIER DE PRESSE MSSanté • 8

Pour intégrer l’espace de confiance un opérateur candidat doit respecter les exigences suivantes :

➊ L’opérateur satisfait à ses obligations vis-à-vis de la Commission nationale de l’informatique et des

libertés (CNIL)

➋ L’opérateur doit être titulaire, le cas échéant, de l’agrément Hébergeur de Données de Santé (HDS)

(ou son hébergeur)

➌ L’opérateur propose un service de routage des messages et d’interrogation de l’annuaire mssanté :

le service est homologué MSSanté-compatible

Un contrat d’homologation est destiné aux éditeurs de clients de messagerie et un contrat d’opérateur

est destiné aux opérateurs de services de messageries sécurisées de santé.

De nombreux opérateurs de domaines de messageries gérant des donnés de santé ont vocation à

intégrer l’espace de confiance :

• Des établissements de santé

• Des opérateurs de services de messageries, privés ou publics

• L’asiP santé, qui propose, en lien avec les ordres, un service de base de messagerie sécurisée pour

les porteurs de CPs

Ainsi, tout logiciel client de messagerie ou opérateur de messagerie qui se conforme aux

spécifications MSSanté peut devenir MSSanté compatible.



MSSanté en questions

> MSSanté, c’est tout d’abord un système pour toutes les Messageries Professionnelles de Santé, pour tous les opérateurs.

Le système ms santé est constitué d’un cadre de compatibilité pour tout opérateur souhaitant proposer un service dans l’espace de confiance (établissement de santé, opérateur privé, opérateur régional). il est fondé sur des règles de sécurité et un annuaire commun de tous les professionnels de santé.

> MSSanté, c’est aussi le premier service de messagerie sécurisé accessible sur www.mssante.fr qui donnera envie de choisir une messagerie MSSanté

Pour se développer, ce système d’échange de données de santé doit être accessible rapidement à tous les professionnels de santé. Le service de messagerie simple proposé sur www.mssante.fr, en lien avec les ordres, permet à tout professionnel de santé porteur de CPs de commencer à utiliser une messagerie sécurisée. il est gratuit. Des solutions de messagerie sécurisées offrant davantage de fonctionnalités pourront être proposées par d’autres opérateurs. Les options ainsi que les prix de ces messageries varieront selon la politique commerciale des opérateurs qui les proposeront.

MSSanté, c’est quoi ?

@

Le système MSSanté

Pour toute question complémentaire, consultez le document complet « MSSanté en question »

disponible en ligne sur www.mssante.fr ainsi que sur les sites Internet des ordres professionnels.

Pourquoi utiliser MSSanté ?

Quatre bonnes raisons d’adopter une messagerie sécurisée mssanté :

➊ Trouver simplement mes correspondants dans un annuaire national commun. Toutes les professions

de santé s’y trouvent. rechercher mes confrères avec des critères multiples partout sur le territoire, en

ville comme à l’hôpital devient possible.

➋ recevoir automatiquement les données de santé de mes patients dans mon outil métier (comptes

rendus hospitaliers, de biologie, de radiologie, etc.) et économiser ainsi du temps de réception du

courrier papier, de scan ou de recherche de documents, etc.

➌ Prévenir, informer ou alerter mes confrères et partenaires, simplement et naturellement, y compris

ceux qui sont en visite, sur leur téléphone mobile ou leur tablette.

➍ Protéger les données de mes patients et protéger ainsi ma responsabilité professionnelle : il est

possible en cas de litige de retracer les échanges.

MSSANTÉ

Juin 2013 / V1

• DOSSIER DE PRESSE MSSanté • 10


Est-ce obligatoire ?

Non, l’utilisation d’une messagerie professionnelle mssanté n’est pas obligatoire mais vivement recommandé !

Tout professionnel de santé est cependant tenu de respecter les contraintes règlementaires et de sécurité autour

des échanges et de l’hébergement des données de santé. Les données de santé à caractère personnel sont des

données sensibles et protégées par la loi, leur circulation et leur stockage sont donc strictement encadrés.

Une messagerie professionnelle mssanté permet de respecter ces obligations.

Qui peut l’utiliser ?

Ce service est réservé aux professionnels de santé qu’ils exercent en ville ou à l’hôpital. Pour cela,

chaque professionnel de santé doit être préalablement enregistré auprès de son ordre professionnel ou

de son autorité d’enregistrement.

a) est-ce que les secrétaires médicales peuvent l’utiliser ?

oui, elles peuvent l’utiliser sous la responsabilité du professionnel de santé ou de l’établissement de

santé qui l’emploie, dans le respect des exigences de sécurité et de confidentialité prévues par les textes

en vigueur, les secrétaires médicales étant en outre tenues au secret professionnel.

b) est-ce que les travailleurs sociaux et les professionnels médico-sociaux peuvent l’utiliser ?

L’accès aux données de santé à caractère personnel, strictement encadré par l’article L1110-4 du code

de la santé publique, est réservé aux professionnels de santé. Néanmoins et pour tenir compte des

besoins de prise en charge coordonnée, la loi prévoit la mise en place d’une expérimentation concernant

les personnes âgées en risque de perte d’autonomie (PaerPa). Cette expérimentation permettra de

tester à petite échelle dans un cadre légal des échanges entre professionnels de santé et professions du

domaine médico-social à partir du dernier trimestre 2013.

c) Une messagerie mssanté permet-elle l’envoi d’informations à des patients ?

Non, les messageries sécurisées mssanté sont réservées aux échanges entre professionnels de santé.

Le DmP, Dossier médical Personnel du patient, permet de partager avec le patient les informations de

santé utiles à la coordination des soins qui le concernent.

L’email a-t-il une valeur de preuve? La signature électronique du message est-elle possible ?

Un des objectifs associé au déploiement des messageries sécurisées est bien de favoriser la dématérialisation des

échanges de données de santé. La signature au sein du système mssanté est « présumée fiable » du fait notamment :

• de l’utilisation d’un annuaire certifié

• d’une authentification forte

• de l’intégrité des échanges

en cas de litige le juge établira l’imputabilité des messages à leur auteur sur la base ce faisceau d’arguments.

La signature électronique avec une carte CPs reste possible mais n’est pas exigée pour tous les échanges.

en conséquence tout professionnel de santé qui souhaiterait ne plus recevoir par voie papier des documents

reçus par voie électronique dans le cadre du système mssanté, doit porter cette information à la connaissance

des autres utilisateurs du système en cochant la case prévue à cet effet dans l’annuaire mssanté.



Le service MSSanté

Pourquoi l’ASIP Santé et les ordres proposent-il un service « de base » de messagerie sécurisée ?

Pour se développer, le système d’échange de données de santé mssanté doit être accessible rapidement

à tous les professionnels de santé. Le service de messagerie simple proposé sur www.mssante.fr, en lien

avec les ordres, permet à tout professionnel de santé porteur de Carte de Professionnel de santé (CPs)

de commencer à utiliser une messagerie sécurisée. il est gratuit.

Des solutions de messagerie sécurisées offrant davantage de fonctionnalités pourront être proposées

par d’autres opérateurs. Les options ainsi que les prix de ces messageries varieront selon la politique

commerciale des opérateurs qui les proposeront.

Comment obtenir ma première adresse MSSanté ?

il vous suffit de demander une adresse sur le site www.mssante.fr. Pour cela, munissez-vous de votre

CPs et d’un lecteur de carte correctement configuré.

Les professionnels de santé peuvent s’inscrire dès maintenant sur le site www.mssante.fr pour être

tenus informés de l’avancée du projet et faire partie des premiers utilisateurs.

Comment utiliser cette adresse MSSanté dans ma pratique quotidienne ?

mssanté s’utilise comme une messagerie classique : soit directement à partir d’un navigateur internet,

en accès « webmail » (avec identification sécurisée), soit à partir du logiciel de professionnel de santé

(fonctionnalités intégrées) ou d’un client de messagerie homologués « mssanté compatible».

Quelle est la capacité des boîtes mail proposées dans ce service ? Quelle est la taille

maximale des pièces jointes ? Quel type de documents puis-je envoyer ?

Ces boîtes mail ont une capacité de stockage limitée à 2 Go. La taille maximale des pièces jointes pouvant

être envoyées est de 10 mo. Le contenu ou le type des pièces jointes n’est pas défini par le standard de

messagerie ; comme avec votre messagerie habituelle vous pouvez envoyer toutes les pièces jointes

que vous souhaitez.

D’autres opérateurs de messagerie pourront proposer des services plus élaborés.

A qui m’adresser si j’ai une question ?

Pour créer votre boîte aux lettres mssanté, pour accéder à votre webmail ou pour toute autre question,

mssanté info service est à votre disposition par téléphone au 3657 (coût d’un appel local).

Un formulaire de contact est également présent sur le site www.mssante.fr pour poser vos questions

mais aussi demander à être rappelé au moment qui vous convient.

Juin 2013 / V1

@

• DOSSIER DE PRESSE MSSanté • 12

La loi reconnaît la même valeur à l’écrit sur support papier et à l’écrit sur support électronique6.

Deux conditions sont posées à cette équivalence.

- L’identification de la personne dont émane le message.

- La garantie de l’intégrité du procédé retenu pour l’établissement et la conservation du message.

I. L’identification des utilisateurs de la MSSanté

Le raccordement de tout opérateur de messagerie au système mssanté passe par l’établissement d’un

contrat avec l’asiP santé définissant les conditions d’intégration à l’espace de confiance. Parmi les

exigences à satisfaire, l’identification des utilisateurs devra s’appuyer sur le dispositif de certification

de l’identité fondé sur un certificat électronique d’authentification adossé à un annuaire (rPPs) et une

authentification forte des professionnels de santé.

a défaut, peut être utilisée une authentification forte par carte CPs ou « identité/mot de passe » et mot

de passe à usage unique, adossée à une carte CPs dont l’usage sera requis lors de l’activation du compte.

Le système mssanté s’accompagne également d’un mécanisme spécifique de gestion de l’imputabilité

des accès via l’enregistrement des traces.

II. Les mesures de sécurité permettant de garantir l’intégrité du message

L’obligation pour les entités responsables de messageries raccordées au système mssanté de satisfaire

aux obligations de la loi informatique et Libertés permet d’être assuré du respect des règles de

conservation des messages échangés et de leurs traces. La procédure d’agrément à laquelle doivent

se soumettre les hébergeurs du service permet de contrôler la nature du procédé retenu pour assurer

l’intégrité des messages.

Le dispositif ainsi mis en place pour le système mssanté permet de garantir au récepteur de la messagerie l’identité de l’émetteur du message avec un fort niveau d’imputabilité du message et donc de son contenu. Le document en tant que tel n’est pas signé.

6 article 1316-1 du code civil.

La valeur des documents échangés par le système mssanté

ANNEXE 1


Tous les messages échangées via le système mssanté et qui transitent sur les réseaux entre le poste

de l’utilisateur final et l’infrastructure des opérateurs, le sont à travers des flux TCP-iP / TLs (smTPs,

HTTPs) qui garantissent leur intégrité.

En conséquence :

en acceptant les conditions générales d’utilisation (CGU) du service mssanté,

- les utilisateurs de la messagerie s’accordent pour reconnaître la même valeur probante aux écrits

électroniques transmis via la mssanté qu’aux écrits sur support papier,

- s’engagent à ne pas contester la valeur probante des documents sur le fondement de leur nature

électronique.

Tout professionnel de santé qui souhaiterait ne plus recevoir par voie papier des documents reçus par voie électronique dans le cadre du système mssanté, doit por-ter cette information à la connaissance des autres utilisateurs du système en cochant la case prévue à cet effet dans l’annuaire mssanté.

La valeur des documents échangés par le système mssanté

ANNEXE 1


Dans le cadre du développement d’un système de messageries sécurisées de santé tel mssanté, le

législateur a notamment posé deux principes importants :

• La nécessité d’un agrément des hébergeurs de données de santé (articles L 1111-8 et r 1111-9 et suivants

du code de la santé publique) ;

• L’obligation de recourir à la carte de professionnel de santé ou à un dispositif équivalent pour échanger

des données de santé à caractère personnel (complément introduit par la loi du 21 juillet 2009 dite

« HPsT »).

RAPPELS : textes fondateurs & notions clés de la protection des données personnelles de santé

Les données personnelles de santé sont des données sensibles. elles bénéficient dans les textes d’une

pro¬tection particulière (loi informatique et Libertés, code de la santé publique, code de la sécurité

sociale et code pénal).

I. Le droit commun de la protection des données personnelles de sante

A. il est posé par la directive européenne du 24 octobre 1995 relative à la protection des personnes

physiques à l’égard du traitement des données à caractère per¬sonnel et par la loi du 6 janvier 1978

modifiée relative à l’informatique, aux fichiers et aux libertés.

La protection des données s’appuie sur cinq principes clés que doivent respecter les responsables de

traitement :

• une finalité déterminée et légitime

• des données pertinentes et mises à jour

• une durée de conservation limitée

• une durée de conservation limitée

• des mesures de sécurité adaptées

B. La Commission nationale de l’informatique et des libertés (CNiL), autorité administrative indépendante,

est chargée de faire respecter ces principes.

elle définit, à l’occasion de l’examen de projets qui lui sont soumis, les conditions d’une mise en œuvre

res¬pectueuse des dispositions de la loi du 6 janvier 1978, en particulier au regard des droits de la

personne (droit d’accès, droit de rectification, droit de suppression et droit d’opposition) et des mesures

de sécurité permet¬tant de garantir la protection de la personne et de ses données. L’adoption de

mesures de sécurité physique et logique restent déterminées en fonction de l’archi¬tecture technique

utilisée et de la nature des données collectées.

Le cadre de la protection des données de mssanté

ANNEXE 2


II. Des dispositions particulieres qui renforcent cette protection

A. La sanctuarisation des données personnelles de santé

Le code pénal sanctionne l’accès non autorisé à des données personnelles de santé en dehors de toute

re¬lation de soins.

Article 226-13 : « La révélation d’une information à caractère secret par une personne qui en est

déposi¬taire, soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire,

est punie d’un an d’emprisonnement et de 15.000 euros d’amende. »

La violation du secret professionnel est sanction¬née. Seule une loi peut déroger et autoriser un

profes¬sionnel de santé à accéder à des données de santé à caractère personnel en dehors de la

relation de soins qui peut l’unir à son patient.

Les données de santé ne peuvent être communiquées et utilisées dans les conditions déterminées par

la loi, que dans l’intérêt direct du patient (assurer son suivi médical, faciliter sa prise en charge par

l’assurance maladie obligatoire…) ou pour les besoins de la santé publique.

B. La confidentialité des données de santé

1. Le principe est posé par l’article L.1110-4 du code de la santé publique.

article L.1110-4 : « Toute personne prise en charge par un professionnel, un établissement, un réseau

de santé ou tout autre organisme participant à la préven¬tion et aux soins a droit au respect de sa vie

privée et du secret des informations la concernant. »

il offre aux personnes une protection juridique, en lien avec le secret professionnel, et en définit les

conditions. Les outils de la protection juridique qui assurent cette confidentialité sont l’information

préalable, le recueil du consentement et le droit d’opposition du patient.

2. Les conditions d’application sont précisées par le décret « Confidentialité » du 15 mai 2007

il détermine les exigences de confidentialité et de sé¬curité à respecter par les professionnels de santé,

les établissements de santé, les réseaux de santé, et tout organisme participant au système de santé, qui

conservent sur support informatique et échangent par voie électronique des données de santé à caractère

person¬nel. Ces exigences s’appliqueront dans tous les cas et notamment au Dossier médical Personnel.

il détermine les cas où l’utilisation de la CPs ou d’un dis¬positif équivalent agréé par l’asiP santé est

obligatoire.

il rend obligatoire le respect de référentiels définis par arrêté du ministre chargé de la santé, qui

décriront les règles de sécurité et de confidentialité destinées à ga¬rantir en toutes circonstances le

secret médical.


ANNEXE 2


3. La loi de juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux

territoires positionne l’asiP santé comme l’autorité compétente de référence pour définir et imposer

des systèmes confor¬mes aux référentiels de santé et d’interopérabilité.

Article L.1111-8 alinéa 4 du code de la santé publique :« …la détention et le traitement sur des supports

informatiques de données de santé à caractère personnel par des professionnels de santé, des

établissements de santé ou des hébergeurs de données de santé à caractère personnel sont subordonnés

à l’utilisation de systèmes conformes (…) aux référentiels d’interopérabilité et de sécurité arrêtés par le

ministre chargé de la Santé après avis [de l’ASIP Santé]. »

C. L’hébergement des données de santé à caractère personnel

1. La loi du 4 mai 2002 relative aux droits des malades et à la qualité du système de santé a instauré une

procédure d’agrément des hébergeurs de données de santé à caractère personnel, qui vise à garantir

la sécurité des données personnelles de santé lorsqu’elles sont hébergées par un organisme distinct du

professionnel ou de l’établissement de santé qui soigne le malade. papier ou informatique, ne peut avoir

lieu qu’avec le consentement exprès de la personne concernée.

Article L.1111-8 du code de la santé publique : « Les professionnels de santé ou les établissements de

santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies

ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes

physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support,

papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée.

Les traitements de données de santé à caractère personnel que nécessite l’hébergement prévu au

premier alinéa, quel qu’en soit le support, papier ou informatique, doivent être réalisés dans le respect

des dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. La

prestation d’hébergement, quel qu’en soit le support, fait l’objet d’un contrat. Lorsque cet hébergement

est à l’initiative d’un professionnel de santé ou d’un établissement de santé, le contrat prévoit que

l’hébergement des données, les modalités d’accès à celles-ci et leurs modalités de transmission sont

subordonnées à l’accord de la personne concernée. (…) ».

2. Le décret du 4 janvier 2006 précise les conditions de cet agrément qui fait intervenir la CNiL et un

comité d’agrément des hébergeurs placé auprès du ministère chargé de la santé. L’asiP santé a pour

mission l’instruction des dossiers de demande d’agrément ainsi que le secrétariat du comité d’agrément.


ANNEXE 2


7 Décret du 6 février 2009 relatif aux procédures liées à l’exercice des professionnels de santé

Glossaire

ANNEXE 3


Répertoire partagé des professionnels de santé (rpps)

Le répertoire Partagé des Professionnel de santé est un annuaire contenant pour chaque professionnel de santé un identifiant unique et pérenne (n° rPPs) non significatif. L’annuaire compile un ensemble de données d’intérêt commun fiables et qualifiées : situation(s) et lieu(x) d’exercice, année d’obtention du diplôme, état civil… Chaque professionnel de santé se voit ainsi attribuer un numéro rPPs qui l’identifie de façon certaine et lui permet d’être doté de façon automatisée et gratuite d’une Carte de Professionnel de santé (CPs). mais c’est également un système d’échange permettant le partage de ces informations entre les acteurs du domaine de la santé (État, ordres, service de santé des armées, assurance maladie, asiP santé, etc.). surtout, il concrétise une simplification administrative des démarches voulue par la loi : La Désormais, c’est l’autorité d’enregistrement qui reçoit les informations nécessaires à l’identification du professionnel et à la certification de ses diplômes et situations d’exercice, puis les transmet, après validation, à l’asiP santé qui gère le répertoire partagé des professionnels de santé (rPPs). Fin 2011, l’ensemble des annuaires des ordres des sages-femmes, médecins, chirurgien dentistes et pharmaciens a été intégré au rPPs. en 2012, l’agence a préparé avec les instances ordinales l’ajout des pédicures-podologues, masseurs-kinésithérapeutes et médecins du service de santé des armées.

Carte de professionnel de santé (cps)

C’est la carte d’identité électronique des professionnels de santé. elle contient les données d’identification de son porteur (identité, profession, spécialité) mais aussi ses situations d’exercice (cabinet ou établissement). elle constitue le maillon final d’une chaîne de confiance qui permet à son titulaire d’attester de son identité et de ses qualifications professionnelles. elle est protégée par un code confidentiel propre à son porteur. Cette carte est notamment utilisée pour la télétransmission des feuilles de soins électroniques (Fse) et la consultation du Dossier médical Personnel (DmP).

Cadre national d’interopérabilité des systèmes d’information de santé (ci-sis)

Favoriser le développement de l’interopérabilité entre les si de santé est l’une des missions majeures de L’asiP santé. Le Cadre d’interopérabilité des systèmes d’information de santé (Ci-sis) est le référentiel central qui sous-tend cette mission en créant les conditions d’une interopérabilité reproductible et efficiente entre si de santé, dans le respect des exigences de sécurité et de confidentialité des données personnelles de santé.Ce référentiel spécifie les standards (le plus souvent internationaux) à utiliser dans les échanges et lors du partage de données de santé entre sis, et contraint la mise en œuvre de ces standards par des spécifications d’implémentation destinées à faciliter le déploiement de l’interopérabilité entre sis dans les conditions de sécurité requises.

Politique générale de sécurité des systèmes d’information de santé (pgssi-s)

afin d’accompagner la dématérialisation des données de santé, de profiter des bénéfices qui en sont attendus, et d’assurer la nécessaire sécurisation de ces si du fait de la sensibilité des données de santé portés par les processus métiers, l’etat élabore une Politique Générale de sécurité des systèmes d’information de santé (PGssi-s) qui fixe le cadre de la sécurisation des systèmes d’information de santé.

Répertoire adeli (pour automatisation des listes)

C’est un système d’information national sur les professionnels relevant du code de la santé publique, du code de l’action sociale et des familles et des personnes autorisées à faire usage du titre de psychologue, d’ostéopathe, de psychothérapeute ou de chiropracteur. il contient des informations personnelles et professionnelles (état civil – situation professionnelle – activités exercées). Un numéro aDeLi est attribué à tous les praticiens salariés ou libéraux et leur sert de numéro de référence. Le numéro aDeLi figure sur la Carte de professionnel de santé (CPs) pour des professionnels relevant du code de la santé publique.

hébergeur de données de santé à caractère personnel

Lorsque les données de santé à caractère personnel sont hébergées par un organisme distinct du professionnel ou de l’établissement de santé qui soigne le malade, elles le sont chez un hébergeur de données. La loi relative aux droits des malades et à la qualité du système de santé a instauré une procédure d’agrément des hébergeurs qui vise à garantir la sécurité de ces données et le respect des droits du patient. ils doivent respecter des règles de sécurité et de confidentialité très précises sous les conditions et sous les peines définies par l’article 226-13 du code pénal (article L.1111-8 du code de la santé publique).

Les ordres professionnels, premiers partenaires de MSSanté

Documents

MSSanté, la garantie d’échanger en toute confiance · enfin l’asiP santé communiquera sur la nécessaire protection des données de santé à l’attention de l’ensemble