Le règlement général sur la protection des données personnelles (RGPD), qui est entré en application le 25 mai 2018, définit « les données à caractère personnel concernant la santé » comme « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »[1]
Cette définition comprend alors :
- « Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
- Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
- Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro). »
Cette définition englobe donc certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.
N’entrent pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne concernée (ex : une application collectant un nombre de pas au cours d’une promenade sans croisement de ces données avec d’autres).
Tout professionnel est tenu de respecter le cadre juridique encadrant l’échange des données personnelles de santé (article L1110-4 du code de la santé publique) ainsi que leur hébergement (article L1111-8). C’est-à-dire que tout professionnel utilisant une messagerie sécurisée s’engage à respecter le règlement général sur la protection des données personnelles (RGPD). La messagerie sécurisée est un traitement de données de santé à déclarer dans le registre des activités de traitement (article 30 du RGPD). Les données de santé à caractère personnel sont des données sensibles, protégées par la loi et dont le traitement est soumis aux principes de la protection des données personnelles tels que définis par la loi Informatique et Libertés.
[1] CNIL (2018). Qu’est-ce qu’une donnée de santé. Consulté le 05/09/2022 et disponible sur : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
A partir du moment où il existe échange de donnée en santé, il y a obligation d’utiliser une messagerie sécurisée de santé. Pour partager des données de santé avec un autre professionnel via une messagerie sécurisée de santé, il faut informer et obtenir le consentement du patient.
Utilisateurs des messageries sécurisées
A ce jour, les professionnels ayant accès aux messageries de santé sont des professionnels avec :
- Un numéro RPPS (médecins, masseurs-kinésithérapeutes, sages-femmes, chirurgiens-dentistes, pharmaciens et pédicures-podologues) ;
OU
- Un numéro ADELI (infirmiers, assistants dentaires, assistants de service social, audioprothésistes, chiropracteurs, diététiciens, épithésistes, ergothérapeutes, manipulateurs en radiologie, ocularistes, opticiens-lunetiers, orthopédistes-orthésistes, orthophonistes, orthoprothésistes, orthoptistes, ostéopathes, physiciens médicaux, podo-orthésistes, psychologues, psychomotriciens, psychothérapeutes, techniciens de laboratoire) ;
OU
- qu’ils soient salariés d’une structure de santé ayant un identifiant national pour les secrétaires médicales et/ou autre, composé obligatoirement d’un numéro entreprise (FINESS/ SIRET/ SIREN) et d’un Identifiant/ Matricule (présent sur la fiche de paie et/ou registre du personnel) ;
OU
- L’éligibilité peut être soumise à certaines conditions selon les situations. Il est conseillé aux professionnels de se rapprocher du prestataire de la messagerie sécurisée afin de confirmer la possibilité de son utilisation.
Par ailleurs, depuis 2021, une expérimentation a lieu sur l’ouverture d’un portail RPPS+. Celui-ci permet aux professionnels qui ne sont pas dotés d’une identité numérique, d’en bénéficier au même titre que les professionnels de santé[2].
Il existe plusieurs façons d’utiliser une messagerie : la boîte nominative, la boîte organisationnelle et la boîte applicative (voir schéma ci-dessous).
Schéma 1 : Type de messageries existantes[3]
[2] Agence du Numérique en Santé (2021). Le portail RPPS+. Consulté le 05/09/2022 et disponible sur : https://esante.gouv.fr/securite/annuaire-sante/acceder-aux-donnees/portail-RPPS-plus
[3] Agence du numérique (2021). Les messageries sécurisées de santé dans le secteur médico-social. Consulté le 05/09/2022 et disponible sur l’URL : https://esante.gouv.fr/sites/default/files/media_entity/documents/20211021_webinaire-mssante-esms-vf%282%29.pdf
Définition de la messagerie sécurisée
Dans la mesure où des professionnels sont habilités à échanger des informations entre eux, des messageries sécurisées existent à leur disposition. Celles-ci proposent des systèmes avancés de protection de la donnée et possèdent la certification « hébergeur de données de santé »[4] délivrée par l’Etat (L’Agence du numérique en santé).
[4] Agence du numérique en santé (2023). Certification des hébergeurs de données de santé. Consulté le 05/09/2022 et disponible sur l’URL : https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante
Exemples de messageries sécurisées
Différents opérateurs payants (Apicrypt, Lifen, etc.) proposent des solutions MSSanté (Messagerie Sécurisée Santé).
Mailinz est une solution proposée par l’ANS (Agence du Numérique en Santé) et les ordres de santé.
Enfin, sur la région Auvergne Rhône-Alpes, Monsisra est mis en œuvre gratuitement par le GCS Sara (Groupement de Coopération Sanitaire Système d’Information Santé en Auvergne Rhône-Alpes).
Certaines de ces messageries font partie d’un ensemble d’applications disponibles, notamment en termes de partage d’informations.
Sur la région Auvergne Rhône-Alpes, Monsisra est mis en œuvre gratuitement par le GCS Sara (Groupement de Coopération Sanitaire Système d’Information Santé en Auvergne Rhône-Alpes).