Conditions générales d'utilisation E-santé MAIL

Définitions

Les termes ci-dessous définis auront, entre les parties, au singulier comme au pluriel, la signification suivante :

  • Administrateur : désigne le responsable de la gestion du service,
  • CGU : désigne les présentes conditions générales d’utilisation,
  • CPx : carte de Professionnel de Santé, Administratif ou établissement assurant les fonctions d’identification, d’authentification, de signature et de chiffrement. La CPx permet au professionnel de faire reconnaître, par les systèmes d’information et d’échanges électroniques qu’ils utilisent, son identité et ses qualifications professionnelles dans les conditions de sécurité et de confidentialité requises,
  • Donnée de santé : données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne (article 4-15 RGPD),
  • Identifiant(s) : le ou les élément(s) placé(s) sous le contrôle exclusif de l’Utilisateur et lui permettant d’avoir accès au Service,
  • Parties : désigne l’Agence régionale de santé Pays de la Loire, GCS e-santé et l’Utilisateur,
  • Service : désigne le service e-santé MAIL mis à disposition de l’Utilisateur par le GCS e-santé pour l’Agence régionale de santé Pays de la Loire en application des CGU,
  • Usager : toute personne physique faisant l’objet d’une prise en charge par des professionnels de santé libéraux et hospitaliers, des établissements de santé et des établissements et services médico-sociaux, des acteurs de la prévention et de l’éducation thérapeutique, situés sur le territoire des Pays de la Loire,
  • Utilisateur : toute personne possédant un compte d’accès au Service selon son profil dans les conditions des présentes, ayant expressément accepté les présentes CGU et bénéficiant à ce titre du Service,
  • Messagerie organisationnelle : messagerie de groupe permettant l’accès à un ensemble de professionnels habilités exerçant au sein d’une même structure disposant d’un FINESS,
  • Messagerie nominative : réservée à l’usage de tout professionnel disposant d’un numéro d’identification national RPPS ou ADELI,
  • Messagerie applicative : messagerie dédiée uniquement aux envois automatisés à partir d’un logiciel.

Objet des CGU

Les présentes CGU ont pour objet de définir les conditions d’accès et d’utilisation par l’Utilisateur du Service.

Les CGU peuvent être modifiées à tout moment, afin notamment de se conformer à toute évolution technique, légale ou réglementaire.

Les nouvelles CGU seront opposables à l’Utilisateur à compter de leur mise en ligne sur le site et appliquées aux utilisations, intervenant à compter de cette date.

Acceptation des CGU

Toute utilisation d’e-santé MAIL suppose la consultation et l’acceptation des CGU, ainsi que de leurs modifications, par l’Utilisateur.

Description du service proposé

Le service de Messagerie Sécurisée de Santé e-santé MAIL, permet aux professionnels habilités d’échanger des données à caractère personnel relatives à la santé des Usagers, lorsque ces données sont nécessaires à la coordination ou la continuité des soins, à la prévention ou au suivi médico-social et social de ces personnes. Ces professionnels, titulaires d’une boîte aux lettres e-santé MAIL sont désignés ci-après « Utilisateurs ». Le service e-santé MAIL propose trois types de boîte aux lettres : nominative, organisationnelle et applicative (détail décrit article 1).

Quand l’Utilisateur recherche un correspondant dans le cadre de l’utilisation du Service, le professionnel n’a accès ni aux éléments liés à la création des identités (date, motif, identification du professionnel ou de la structure à l’origine de la saisie), ni au contenu du dossier de la personne concernée.

L’Utilisateur peut échanger avec les professionnels habilités et les usagers disposant d’une messagerie MSSanté.  

Cadre juridique du service e-santé MAIL

Les conditions et modalités d’utilisation d’e-santé MAIL sont encadrées par les textes législatifs et réglementaires régissant notamment la protection des données de santé à caractère personnel, les droits des patients et les systèmes d’information partagés de santé.

Hébergeur et éditeur du service et des données

Le Service et les Données qu'il contient sont hébergés par la société Sigma, hébergeur certifié "Données de santé" conformément à l'article L 1111-8 du Code de la santé publique.

Le Service est édité par la société Enovacom.

Inscription et accès au service

L’accès à e-santé MAIL est réservé aux Utilisateurs habilités par le GCS e-santé.

L’Utilisateur s’engage à privilégier un accès au Service selon l’un des modes suivants :

  • Accès au Webmail depuis la plateforme de connexion e-santé MAIL ;
  • Accès depuis un outil tiers (ex : DPI) par WebService ;
  • Accès depuis un client lourd de messagerie ;
  • Accès depuis une application mobile, sous iOS et Android.

Lorsque l’utilisateur accède au service depuis un client lourd de messagerie, la responsabilité de l’authentification ainsi que le stockage des données est portée sur l’utilisateur.

Obligations et responsabilités des utilisateurs

L’Utilisateur est civilement et pénalement responsable du contenu qu’il crée, modifie ou supprime dans le cadre de l’utilisation d'e-santé MAIL.

Les Identifiants sont personnels et confidentiels. Les Utilisateurs s'engagent à ne pas les divulguer et sont seuls responsables de leurs utilisations.

Ainsi, toute connexion à e-santé MAIL via l'utilisation de ses Identifiants est réputée effectuée par son titulaire.

En cas d’anomalie ou de dysfonctionnement, l’Utilisateur doit suspendre l’utilisation d'e-santé MAIL.

Il se doit de signaler sans délai au GCS e-santé tout dysfonctionnement ou tout événement lui apparaissant anormal en contactant le support mis à disposition à l’adresse mssante@esante-paysdelaloire.fr ou par téléphone au 02 44 76 13 90.

L’Utilisateur doit se conformer strictement aux présentes CGU, et aux recommandations éventuellement communiquées par la direction informatique de sa structure.

Il est rappelé que e-santé MAIL ne doit pas être confondu avec le « dossier patient/usager » de la personne concernée par les données échangées et constitue uniquement un outil d’échange sécurisé de données, non un espace de stockage.

L’Utilisateur veillera par lui-même à reporter si nécessaire les données reçues via e-santé MAIL dans le dossier de la personne concernée toute donnée qu’il jugera utile pour la prise en charge de cette dernière.

Il est responsable du contenu des messages échangés et apprécie seul la sensibilité et la pertinence des messages échangés. L’Utilisateur s’engage à ne pas transférer les messages reçus via e-santé MAIL vers une messagerie non sécurisée et ne pas rediriger son adresse sécurisée vers une adresse de messagerie non MSSanté.

Les données de santé à caractère personnel sont couvertes par le secret professionnel dans les conditions prévues à l’article L 1110-4 du code de la santé publique, dont la violation est réprimée par l’article 226-13 du code pénal.

En outre, l’Utilisateur s’engage à ne pas procéder à l’envoi de messages non sollicités à un ou plusieurs destinataires, considéré comme du spam.

Il s’interdit également de télécharger, transmettre par courriel ou par tout autre moyen des courriels contenant des virus ou plus généralement tout programme visant notamment à détruire ou limiter la fonctionnalité de tout logiciel, ordinateur ou réseau de télécommunication.

Dans le cadre de l’utilisation d’une messagerie sécurisée de santé de type organisationnelle, la responsabilité de l’utilisation de la messagerie par les délégués est portée par la structure.

L’administrateur de ce compte de messagerie organisationnelle est désigné par la structure et doit veiller à respecter les conditions d’accès et d’usage de la messagerie : les accès doivent se faire de manière nominative (chaque personne amenée à utiliser une messagerie organisationnelle doit impérativement détenir un compte délégué nominatif) et les données échangées doivent entrer dans les finalités de l’espace de confiance MSSanté.

La structure titulaire de la messagerie organisationnelle s’engage :

  • à informer le GCS e-santé sans délai du départ d’un salarié disposant d’un accès délégué ou administrateur au service ;
  • à réaliser une revue annuelle des comptes de messagerie organisationnelle qu’elle détient.

Le service e-santé MAIL n’a pas vocation à traiter les situations d’urgence. En cas d’urgence, l’usager utilisant une messagerie MSSanté doit être informé qu’il doit impérativement composer le numéro 15. En conséquence, la responsabilité de l’Utilisateur ne saurait être engagée pour tout préjudice survenu dans le cadre d’une situation d’urgence.

L’offre d’une messagerie sécurisée de santé aux usagers dans le cadre du développement de « Mon Espace Santé » permet aux Utilisateurs d’échanger directement avec les personnes qu’ils prennent en charge.

L’adresse de messagerie « Mon Espace Santé » des usagers est constituée de leur matricule INS et du domaine de messagerie « @patient.mssante.fr ». Il n’existe pas d’annuaire des adresses de messagerie « Mon Espace Santé ».

L’Utilisateur veille à ce que ces échanges soient réalisés conformément à l’encadrement juridique décrit à l’article "Obligations et responsabilités des utilisateurs" des présentes.

L’Utilisateur est le seul à pouvoir initier le premier échange avec un usager. En effet, « Mon Espace Santé » permet à l’usager de répondre uniquement à un message préalablement envoyé par un Utilisateur.

Responsabilité "Informatique et libertés"

L’Agence régionale de santé des Pays de la Loire, le GCS e-santé et l’Utilisateur veillent au respect de toutes les lois et réglementations en relation avec la protection des données à caractère personnel et la vie privée, et notamment la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et le Règlement européen n° 2016/679 du 27 avril 2016 dit “Règlement Général sur la Protection des Données”.

Outre ces obligations, l’Utilisateur, en tant qu’Utilisateur du service, s’engage à :

  • Traiter les Données à caractère personnel dans le cadre strict et nécessaire des finalités des traitements ;
  • Se conformer en matière de sécurité et de confidentialité des systèmes d’information et des données à caractère personnel aux normes techniques et aux bonnes pratiques au regard de l’état de l’art du moment.

A ce titre, l’Utilisateur s’engage à :

  • Respecter les mesures techniques et organisationnelles mises en œuvre par le GCS e-santé et ses Sous-traitants,
  • Prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la confidentialité et la sécurité des données, et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés et plus généralement, mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite,
  • Informer immédiatement par écrit le GCS e-santé de toute modification, changement ou autre fait, notamment en matière de sécurité, le concernant et pouvant avoir un impact sur les traitements des données,
  • Prendre en compte toute mise à jour, correction, suppression ou autres modifications communiquées par le GCS e-santé concernant les traitements.

 

L’Utilisateur s’engage de la même manière à :

  • S’assurer que les personnes ayant accès aux données à caractère personnel soient soumises au secret professionnel de par leur statut, et à défaut à une obligation écrite de confidentialité et de sécurité appropriée,
  • Identifier et habiliter le personnel autorisé à utiliser le service,
  • Informer préalablement l’Usager de manière éclairée et mettre en œuvre les moyens garantissant la bonne compréhension par l’Usager des traitements associés au Service,
  • Recueillir, lorsque celui-ci est nécessaire, le(s) consentement(s) de l’Usager,
  • Veiller à la sécurité et la confidentialité des données vis-à-vis de ses prestataires et/ou de ses Sous-traitants intervenant sur les postes de travail accédant au Service et/ou au système d’information dédié,
  • Anticiper et formaliser une politique de sécurité du système d'information : inventorier les éventuelles menaces et vulnérabilités qui pèsent sur le système, élaborer et mettre à jour régulièrement les règles de sécurité.

 

Des données (adresses e-mail, horodatage des échanges, taille des e-mails) sont collectées et transmises à l’Agence du Numérique en Santé (ANS) afin de lui permettre, en tant que gestionnaire de l’espace de confiance MSSanté, d’établir des indicateurs anonymes. Le traitement est mis en œuvre en application de l’article 5, 5° de la loi n°78-17 du 6 janvier 1978. Les données sont conservées 3 mois, puis anonymisées. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et au Règlement européen n°2016/679/UE du 27 avril 2016, l’utilisateur bénéficie d’un droit d’accès, de rectification, d’effacement, d’opposition, de limitation, et du droit de définir des directives sur le sort de ses données après sa mort. L’utilisateur peut, sous réserve de la production d’un justificatif d’identité valide, exercer ses droits sur demande écrite au GIP Agence du Numérique en Santé (Délégué à la protection des données), 9 rue Georges Pitard, 75015 PARIS ou par messagerie électronique, à l'adresse suivante : dpo@esante.gouv.fr. L’utilisateur dispose également d’un droit d’introduire une réclamation auprès de la CNIL.

En cas d’opposition d’un patient à ce que les données de santé le concernant fassent l’objet d’un échange par le biais de la messagerie électronique, l’Utilisateur est tenu de recourir à un moyen d’échange alternatif (ex. courrier papier).

L’Utilisateur s’engage à répondre à toute demande d’Usager s’inscrivant dans le cadre de l’exercice :

  • de son droit d’accès à ses données de santé,
  • de ses droits de rectification ou de suppression des données de santé le concernant,
  • de son droit d’accès à l’historique des accès aux données de santé à caractère personnel hébergées le concernant, des consultations ainsi que du contenu des informations consultées et des traitements éventuellement opérés.

 

Les demandes d’accès aux données de santé sont traitées dans le respect des règles définies à l’article L 1111-7 du code de la santé publique.

Le respect des obligations relatives aux données traitées et aux droits des personnes prises en charge relève de la seule responsabilité de l’Utilisateur.

Les Sous-traitants contractuellement liés au GCS e-santé sont :

Enovacom pour le développement, le maintien en condition opérationnelle et de sécurité du Service ;
Sigma pour l'hébergement certifié HDS du Service

En cas de non-respect des dispositions précitées, la responsabilité de la Partie défaillante pourra être engagée sur la base des dispositions des articles L. 226-16 et suivants du code pénal, ainsi que des articles L. 323-1 et suivants dudit code.

De plus, le GCS e-santé ou l’Utilisateur pourra prononcer la résiliation immédiate des présentes CGU sans indemnité, en cas de violation du secret professionnel ou de non-respect des dispositions précitées par l’autre Partie.

Annuaire MSSanté

Pour le fonctionnement des services MSSanté de l’espace de confiance MSSanté, dont e-santé MAIL, l’ANS a mis en place un annuaire dénommé « annuaire MSSanté » qui recense l’ensemble des comptes de messagerie sécurisée de santé de l’espace de confiance MSSanté (hors usagers).

Cet annuaire est un outil de recherche des Utilisateurs de boîte aux lettres MSSanté.

L’annuaire MSSanté publie les nom et prénom, l’adresse de boîte aux lettres MSSanté, la profession, la spécialité, le lieu d’exercice et l’identifiant du professionnel.

En outre, l’Utilisateur qui ne souhaite pas que son adresse MSSanté soit visible dans l’annuaire MSSanté, peut demander au GCS e-santé de ne pas la publier suite à sa demande d’inscription au Service ou par la suite.

L’annuaire MSSanté est utilisé par la Direction générale de la santé pour la diffusion des alertes sanitaires par messagerie aux professionnels de santé. Cette diffusion s’inscrit dans le cadre de l’article L.4001-2 du code de la santé publique.

Une boîte aux lettres est dépubliée de l'annuaire santé si l’Utilisateur ne s’y est pas connecté depuis plus de 60 jours, si celle-ci a été créée il y a plus d'un an. L’Utilisateur est informé préalablement à cette dépublication par l’envoi d’un e-mail sur l’adresse mail non MSSanté susmentionnée.

Perte des identifiants

En cas de perte ou de vol de ses Identifiants, pour quelque raison que ce soit, la responsabilité du GCS e-santé ne pourra être engagée. L’Utilisateur devra en aviser le GCS e-santé auprès du support dans les plus brefs délais et demander la réinitialisation des identifiants en contactant notre assistance au 02 40 69 10 79 ou assistance@esante-paysdelaloire.fr.

Aucun administrateur ou technicien n’est habilité à demander à l’Utilisateur la communication de ses Identifiants par courrier électronique ou par téléphone, quel qu’en soit le motif. Si vous recevez un courrier électronique ou un appel téléphonique vous invitant à communiquer vos Identifiants, n’y donnez pas suite. Il conviendra d'en aviser le GCS e-santé auprès du support à l’adresse mssante@esante-paysdelaloire.fr ou par téléphone au 02 44 76 13 90 dans les plus brefs délais afin que votre compte soit audité.

L’utilisation frauduleuse des Identifiants pour accéder à e-santé MAIL peut causer un préjudice et entraîner des poursuites. Selon l’article 323-1 du Code Pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ».

Propriété intellectuelle

La structure générale d’e-santé MAIL est la propriété exclusive du GCS e-santé et/ou de ses prestataires, et fait l'objet d'une protection légale au titre de la propriété intellectuelle (droits d'auteur, bases de données, logiciels, marques, etc.).

Toute reproduction ou représentation totale ou partielle du Service par une personne physique ou morale, par quelque procédé que ce soit, sans l'autorisation expresse du GCS e-santé est interdite et constituerait un acte de contrefaçon sanctionné notamment par les articles L. 335-2 et suivants du code de la propriété intellectuelle.

Toute réutilisation ou extraction totale ou partielle, des bases de données d'e-santé MAIL par une personne physique ou morale, par quelque procédé que ce soit, est interdite et constituerait un acte sanctionné par les articles L. 343-1 et suivants du code de la propriété intellectuelle.

Toute reproduction totale ou partielle des marques et logos d'e-santé MAIL réalisée sans l’autorisation expresse du GCS e-santé est interdite en application des articles L. 713-2 et suivants du code de la propriété intellectuelle.

Droit "Informatique et libertés" des utilisateurs

Le traitement de données repose sur l’accessibilité au service de Messagerie Sécurisée de Santé e-santé MAIL, permettant aux professionnels habilités, d’échanger des données à caractère personnel relatives à la santé des Usagers, lorsque ces données sont nécessaires à la coordination ou la continuité des soins, à la prévention ou au suivi médico-social et social de ces personnes.

L'Agence régionale de santé Pays de la Loire, organisme chargé d'une mission d'intérêt public confie au GCS e-santé Pays de la Loire, la mise en œuvre de ce traitement.

Il s'agit d'un traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement (article 6-1-e RGPD).

Les données de connexion des Utilisateurs font l’objet d’un traitement par le GCS e-santé dont lui seul est le destinataire des données, afin de garantir les accès, la sécurité et la confidentialité des Données traitées, ainsi que des statistiques d’usage.

Conformément à la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée et au Règlement Général sur la Protection des Données (RGPD), l’Utilisateur dispose d'un droit d'accès, de modification, de rectification, de limitation, d’opposition et de suppression à tout moment sur les données le concernant.

Les Utilisateurs peuvent exercer leurs droits auprès du GCS e-santé Pays de la Loire à l’adresse : dpo@esante-paysdelaloire.fr

A ce titre, le GCS e-santé tient un registre des demandes effectuées par les Utilisateurs.

Les données à caractère personnel des Utilisateurs sont conservées en base active pendant cinq ans, puis en archives pendant cinq ans avant d’être supprimées. La conservation des données de santé reste du ressort des professionnels de santé.

L’utilisateur dispose également d’un droit d’introduire une réclamation auprès de la CNIL.

Suppression du droit d'utilisation

Le droit d’utilisation d'e-santé MAIL peut être supprimé par le GCS e-santé Pays de la Loire en raison du départ de l’Utilisateur d'e-santé MAIL, d’utilisation frauduleuse, de comportements déviants ou anormaux, et, de manière générale, en cas de non-respect des règles des présentes CGU.

Durées de conservation et sécurité des données

Les données (données d’identification et données professionnelles) relatives aux Utilisateurs sont conservées durant toute la vie de la boîte aux lettres et un an après sa suppression.

Les traces fonctionnelles (traces d’utilisation du service : connexion, déconnexion, types d’action) sont conservées 10 ans après la suppression de la boîte aux lettres (délai de prescription de l’action en responsabilité médicale).

Les traces techniques (traces des actions assurées automatiquement par le système et par les composants applicatifs) sont conservées pendant 1 an.

Les messages sont conservés jusqu’à leur suppression par l’Utilisateur de la boîte aux lettres.

Une boîte aux lettres est supprimée si l’Utilisateur ne s’y est pas connecté pendant une durée d’un an. L’Utilisateur est informé préalablement à cette suppression par l’envoi d’un e-mail sur l’adresse mail non MSSanté susmentionnée.  

Le GCS e-santé Pays de la Loire met en place tous les moyens techniques et organisationnels permettant d’assurer la confidentialité et la sécurité des données.

L’accès à ces données est strictement limité au personnel du GCS e-santé Pays de la Loire en charge de l’administration d’e-santé MAIL et à ses sous-traitants dont l’intervention est encadrée par un contrat.

Durée du droit d'utilisation du service

La durée du droit d’utilisation d'e-santé MAIL est indéterminée. Elle prend fin dans les cas visés par les CGU ou en cas d’arrêt du Service.

Convention de preuve

Le GCS e-santé a mis en place les moyens techniques nécessaires pouvant démontrer les actions des Utilisateurs.

Il est donc convenu que, sauf erreur manifeste, les données contenues dans les systèmes d'information du GCS e-santé ou de ses prestataires ont force probante quant aux éléments de preuve relatifs aux accès et aux informations résultant du traitement informatique relatif au Service.

E-santé MAIL permet la transmission de documents comportant des données de santé nativement numériques ou reproduits sous forme numérique. La transmission se fait dans le respect des règles relatives à la reconnaissance de la force probante des documents comportant des données de santé à caractère personnel créés ou reproduits sous forme numérique et de destruction des documents conservés sous une autre forme que numérique.

En acceptant les présentes conditions générales d’utilisation, l’utilisateur reconnaît que e-santé MAIL garantit le respect de la force probante aux documents échangés, acquise lors de leur production de façon nativement numériques ou de leur numérisation. Cette acceptation a pour conséquence la conclusion d’une convention de preuve au sens de l’article 1316-2 du Code civil.

Litiges

Les parties conviennent que les différends qui viendraient à se produire à la suite ou à l’occasion des présentes CGU, faute de pouvoir être réglés à l’amiable, seront soumis aux tribunaux compétents.