Une première mesure, juridique, a été prise par la CNIL et la publication d’une autorisation unique pour les messageries de santé sécurisée (MSS).
En quoi consiste la MSS ?
Elle « concerne les traitements de données à caractère personnel ayant pour objet de permettre l’échange de données de santé au moyen d’un service de messagerie sécurisée de santé entre professionnels de santé et, plus largement, entre les professionnels des secteurs sanitaire, social et médico-social habilités par une loi à collecter et à échanger des données de santé à caractère personnel ». Échanges entre médecins, entre infirmiers, entre médecins et institutions de santé, entre professionnels de santé, entre institutions de santé, dès lors que cela concerne des données de santé à caractère personnel.
Ces professionnels ou institutions, habilités par la loi à collecter et échanger des données de santé, ont la responsabilité d’utiliser un service de messagerie sécurisée pour pour ce faire, et d’en choisir les moyens. Près d’un million de professionnels vont être ainsi amenés progressivement à utiliser la messagerie électronique, avec les outils de leur choix, en toute sécurité et en conformité avec la réglementation en vigueur. Ce service de messagerie ne saurait être pour autant un dossier médical restreint ou un nouvel espace de stockage mais reste un support d’échanges de données médicales.
L’autorisation unique
Les professionnels de santé auront à souscrire à un simple engagement de conformité via une procédure simplifiée de déclaration. Ils devront par ailleurs respecter un certain nombre d’exigences sur :
- la nature des données traitées ;
- la durée de conservation des données ;
- les destinataires des données ;
- l’information des personnes (patients et professionnels habilités) ;
- les modalités mises en œuvre pour garantir les droits d’accès, de rectification et d’opposition des personnes ;
- les mesures de sécurité des données.
Le fonctionnement de la MSS au quotidien
Les « seules données à caractère personnel pouvant être traitées sont les données relatives aux professionnels habilités, celles des patients qu’ils prennent en charge et à propos desquels des échanges d’informations sont nécessaires pour assurer la qualité et la sécurité de cette prise en charge, ainsi que les données relatives aux personnes en charge de l’administration de la messagerie ». Le responsable du traitement devra « informer clairement les patients de la finalité du service de messagerie sécurisée de santé, de ses conditions de mise en œuvre, y compris en cas d’hébergement des données auprès d’un hébergeur agréé à cet effet, ainsi que des modalités d’exercice de leurs droits ».
Cette information pourra être effectuée par la remise d’une brochure, par voie d’affichage ou par une mention dans les livrets d’accueil des structures d’accueil et de prise en charge des patients.
Les accès à la MSS
L’accès et l’utilisation d’un compte de messagerie s’effectueront au travers d’une authentification des professionnels de santé habilités via une carte de professionnel de santé (CPS) ou un « dispositif équivalent » agréé par l’ASIP-Santé. Pour les autres professionnels habilités, la règle définie en 2012 demeure et c’est le principe de « l’authentification forte » qui doit s’appliquer : recours au minimum à deux facteurs d’authentification distincts « parmi ce que l’on sait (par exemple : un mot de passe), ce que l’on a (par exemple : un certificat électronique ou une carte à puce) et une caractéristique qui nous est propre (par exemple : une empreinte du doigt, de la main…) ».
La sécurité des messages et des pièces jointes doit être garantie par « le recours à des moyens de chiffrement conformes à l’état de l’art ».
Un espace de confiance est ouvert
Un espace de confiance permettant les échanges par MSS vient d’être ouvert. Cette mesure, technique, permet physiquement les échanges interopérables entre les acteurs.
Un service est opérationnel pour les ordres et les régions pilotes
Dernière mesure pratique, le service – le cadre logiciel géré par l’ASIP-Santé – est ouvert pour trois ordres avec trois nouveaux noms de domaines :
- infirmier.mssante.fr,
- pedicure-podologue.mssante.fr,
- masseur-kinesitherapeute.mssante.fr.
Le service est ouvert depuis juillet aux professionnels sociaux, dans le cadre des expérimentations PAERPA, afin de faciliter la coordination des soins et les pratiques coopératives. Les premiers échanges prévus le seront au sein des régions actuelles Centre et Pays de la Loire.
15 ensembles hospitaliers sont associés à la démarche de la MSS
Ces établissements sont engagés dans la démarche avec l’ASIP : CHU Clermont-Ferrand (Auvergne) ; CHU Lille (Nord Pas de Calais) ; CHU Rouen (Haute-Normandie) ; CLCC Rouen (Haute-Normandie) ; CHLVO Challans (Pays de la Loire) ; CH Saint Denis (Ile-de-France) ; CH Eaubonne Montmorency (Ile-de-France) ; CH de Sélestat (Alsace) ; Clinique du Cèdre (Haute-Normandie) ; CH de Montluçon (Auvergne) ; CH Compiègne-Noyon (Picardie) ; CH Lens (Nord Pas de Calais) ; Clinique Pasteur – Évreux (Haute-Normandie) ; CHU Montpellier (Languedoc Roussillon) ; GH Paris Saint Joseph (Ile-de-France).
DT.
