Le service de Messagerie Sécurisée de Santé reposant sous le système « MSSPro » de la société WRAPTOR est mis à disposition des professionnels de santé , et plus largement de tout professionnel des secteurs sanitaire, social et médico-social habilité par la loi à collecter et échanger des données de santé à caractère personnel dans l’exercice de leurs missions de prise en charge des patients (ou usagers). Ces professionnels sont ci après désignés « Utilisateurs ».
MSSPro permet de mettre à disposition des structures et établissements une ou plusieurs boites aux lettres personnelles, organisationnelles ou applicatives permettant d’échanger par voie électronique et de façon sécurisée avec d’autres Utilisateurs de l’espace de confiance MSSanté.
Une boite aux lettres personnelle ou organisationnelle permet à un ou plusieurs Utilisateurs d’envoyer et recevoir des messages au sein de l’espace de confiance MSSanté en utilisant une interface Homme machine (client Webmail).
Une boite aux lettres applicative permet à un logiciel d’envoyer ou de recevoir des messages en automatisant leur traitement, par exemple pour envoyer des messages automatiquement depuis un logiciel. (Ce qui nécessite dans chaque cas une étude technique particulière).
MSSPro permet, pour tout Utilisateur titulaire d’un compte de messagerie sécurisée :
l’émission de messages contenant des informations utiles à la prise en charge sanitaire, sociale ou médico-sociale d’une personne, à destination d’un ou plusieurs titulaires d’un compte de messagerie sécurisée de santé de l’espace de confiance MSSanté ;
la consultation d'un message reçu ;
la gestion de son mot de passe et les paramètres de notification
L’accès au service de messagerie est sécurisé par un dispositif d’authentification forte, au moyen d’une carte de professionnel de santé (Cpx), de PSC ou d’un code à usage unique (One Time Password ou OTP), code envoyé par le système à chaque tentative de connexion par mail ou SMS ou obtenu par l’usager via les applications de type Google Authenticator.
Dans le cas d’une boîte aux lettres organisationnelle, l’un des Utilisateurs est désigné responsable de la gestion de la Boite. Pour exercer cette responsabilité, il dispose d’une fonction de création et suppression des codes d’accès à la Boite pour réagir aux éventuels mouvements de la liste des personnes habilitées à utiliser cette boite.
Les conditions et modalités d’utilisation de MSSPro sont encadrées par les textes législatifs et réglementaires régissant notamment la protection des données de santé à caractère personnel, les droits des patients et les systèmes d’information partagés de santé.
Le service MSSPro répond aux obligations techniques et organisationnelles définies par le Règlement Général sur la Protection des Données (« RGPD »).
L’Utilisateur - ou en fonction de sa situation d’exercice la structure qui l’emploie - a la qualité de responsable de traitement au sens de l’article 3 de la loi n°78-17 du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés et est tenu à ce titre de réaliser les formalités préalables à la mise en œuvre d’un traitement de données de santé à caractère personnel au moyen d’un système de messagerie sécurisée de santé.
MSSPro permet l’échange de données à caractère personnel dont des données de santé - relatives aux personnes physiques prises en charge par les Utilisateurs (patients ou usagers). Il appartient à l’Utilisateur du service MSSanté de délivrer aux personnes concernées par les données à caractère personnel échangées via le service MSSanté les informations suivantes :
l’identité du responsable de traitement ;
la finalité du traitement décrite dans les « Informations Générales » au point 1;
les modalités d’exercice des droits d’opposition, de rectification, de suppression et d’accès aux données à caractère personnel ;
les modalités d’hébergement des données à caractère personnel échangées par le service MSSPro (dont certaines relèvent de la catégorie des données de santé à caractère personnel) auprès d’un hébergeur certifié à cet effet par décision du ministre en charge de la santé.
Les demandes d’accès aux données de santé sont traitées dans le respect des règles de droit commun (article L 1111-7 du code de la santé publique).
L’Utilisateur doit veiller à mettre en place les mesures nécessaires pour garantir l’effectivité des droits des personnes concernées par les données échangées au moyen de MSSPro.
Ces informations pourront être délivrées par un document affiché sur les lieux d’exercice de l’Utilisateur, par la remise en main propre d’une note d’information ou être insérées dans le livret d’accueil des structures de soins.
Le respect des obligations relatives aux données traitées et aux droits des personnes prises en charge relève de la seule responsabilité de l’Utilisateur.
WRAPTOR, en fonction des traitements, peut revêtir la qualité de sous-traitant de l’Utilisateur ou de responsable de traitement.
WRAPTOR en qualité de sous-traitant de l’Utilisateur : WRAPTOR, en tant qu’opérateur de messagerie MSSanté, agit en qualité de sous-traitant de l’Utilisateur – ou de la structure qui l’emploie – au sens des textes précités, pour la mise à disposition du service MSSPro permettant aux Utilisateurs d’échanger de façon sécurisée des données, dont des données de santé à caractère personnel relatives aux personnes prises en charge.
WRAPTOR ne traite pas les données à caractère personnel ainsi que les données de santé échangées par les Utilisateurs au moyen de la messagerie. En effet, seuls les Utilisateurs habilités peuvent échanger ces données dans le respect des dispositions législatives et réglementaires en matière de protection des données et du code de la santé publique.
En outre, WRAPTOR traite l’INS figurant dans les adresses de messagerie des usagers, en qualité de sous-traitant pour la mise à disposition du service de messagerie sécurisée permettant aux Utilisateurs d’échanger avec les usagers ainsi que pour l’opération de référencement des données avec l’identité INS qui en découle.
WRAPTOR s’engage à respecter les dispositions encadrant l’utilisation de l’INS et notamment le référentiel
«Identifiant national de santé ». WRAPTOR s’engage à notifier au responsable de traitement toute violation de données à caractère personnel le concernant, et ce, dans les meilleurs délais après en avoir pris connaissance.
WRAPTOR en qualité de responsable de traitement :
Les données personnelles de l’Utilisateur sont traitées par WRAPTOR en qualité de responsable de traitement, au sens de loi Informatique et Libertés modifiée et du RGPD, pour les finalités de mise à disposition et de fonctionnement du service MSSPro ainsi que pour la réalisation de statistiques relatives à l’utilisation du service.
L'Utilisateur doit tenir compte :
des règles de droit commun relatives à l’échange des données de santé à caractère personnel, dont les dispositions de l’article L 1110-4 du code de la santé publique;
des règles particulières qui autorisent dans certains cas l’échange de données de santé à caractère personnel;
du cadre légal qui régit sa profession, en particulier les règles relatives à l’obligation de conserver les données de santé à caractère personnel collectées à l’occasion de l’exercice de sa profession.
Il est responsable du contenu des messages échangés et apprécie seul la sensibilité et la pertinence des messages échangés.
Les données de santé à caractère personnel sont couvertes par le secret professionnel dans les conditions prévues à l’article L 1110-4 du code de la santé publique, dont la violation est réprimée par l’article 226-13 du code pénal.
En outre, l’Utilisateur s’engage à ne pas procéder à l’envoi de messages non sollicités à un ou plusieurs destinataires, considéré comme du spam.
Il s’interdit également de télécharger, transmettre par courriel ou par tout autre moyen des courriels contenant des virus ou plus généralement tout programme visant notamment à détruire ou limiter la fonctionnalité de tout logiciel, ordinateur ou réseau de télécommunication.
gestion de son mot de passe : Cette fonction est réalisée par l’Utilisateur de boîte aux lettres ;
émission, réception de messages et autres services de messageries sécurisées (classement et gestion de messages) ;
authentification forte des Utilisateurs ;
notification éventuelle de réception des messages sur une adresse non MSSanté ;
recherche dans un annuaire de correspondants (National et Carnet d’adresses personnel).
Création et suppression des boites aux lettres et du compte Utilisateur responsable : Cette fonction est réservée à l’administrateur du domaine.
Ouverture de droits d’accès et création de code Utilisateurs d’une boite aux lettres organisationnelle : Cette fonction peut être réalisée par le responsable de la boite aux lettres considérée ou l’administrateur de domaine.
accès web depuis le portail MSSPro avec une authentification par carte CPS PSC, ou dispositif d’authentification forte alternatif par identifiant (l’adresse de messagerie sécurisée), mot de passe, associé à un code d’accès à usage unique envoyé par mail ou sms;
accès depuis un logiciel métier intégrant des fonctions de messagerie fondées sur des API de type « Web Services » propriétaires, ou des API LPS telles que spécifiées par l’ANS.
accès depuis une application mobile sous IOs ou Android avec une authentification par identifiant / mot de passe et OTP, et/ou par biométrie.
L’Utilisateur s’engage à conserver ces moyens d’authentification dans des conditions garantissant leur sécurité. En utilisant sa carte CPS ou e-CPS pour se connecter au service MSSPro avec Pro Santé Connect, l’Utilisateur s’engage à respecter les obligations qui lui incombent prévues dans les conditions générales d’utilisation des moyens d’identification électroniques (MIE) et de la e-CPS.
Une boîte aux lettres personnelle ou organisationnelle peut être créée dans le domaine de messagerie concerné et nécessite la communication des informations décrites ci-dessous. Ces données sont ensuite soumises à l’Agence du numérique en Santé (ANS) qui valide la création de la boîte aux lettres dans l’espace de confiance MSSanté et l’inscrit dans l’annuaire national MSSanté.
Nom de la boîte aux lettres organisationnelle ;
Nom et prénom de la personne représentant la structure (Responsable) ;
Adresse mail non MSSanté du Responsable ;
Optionnel, un numéro de téléphone mobile du Responsable ;
Un identifiant de structure (FINESS, SIREN, SIRET) ;
Inscription optionnelle en liste rouge dans l’annuaire national de la boîte aux lettres on non.
L’attribution d’un compte de messagerie MSSPro est effectuée après contrôle de l’identité et de la qualité de professionnel de santé de l’Utilisateur, à partir des données communiquées.
Les données à communiquer sur l’Utilisateur sont son nom, son prénom, une adresse mail non MSSanté et s'il le souhaite un numéro de téléphone mobile. Ces informations sont nécessaires à la mise en œuvre de l'authentification par identifiant, mot de passe et code d'accès à usage unique.
Ces données doivent obligatoirement comprendre une adresse mail non MSSanté et de façon facultative un numéro de téléphone mobile. Ces informations sont nécessaires à la mise en œuvre de l'authentification par identifiant, mot de passe et code d'accès à usage unique.
Ces Utilisateurs accèdent à leur compte de messagerie sécurisée au moyen d'un dispositif d'authentification forte alternatif à la carte CPx, par identifiant (l'adresse de messagerie sécurisée), mot de passe, associé à un code d'accès à usage unique.
Le Responsable est aussi un Utilisateur, il représente sa structure de rattachement. Il a pour obligation de veiller à la gestion des accès des autres professionnels à la boite aux lettres et au respect des Conditions Générales d’Utilisation. Il peut être formé et être habilité à la gestion des comptes des Utilisateurs de la boîte aux lettres organisationnelle.
Pour utiliser le service MSSPro, l’Utilisateur doit s’authentifier avec sa carte Cpx, PSC ou via le moyen d’authentification forte alternatif, par identifiant (l’adresse de messagerie sécurisée), mot de passe, associé à un code d’accès à usage unique.
En outre, l'Utilisateur s'engage à conserver ces moyens d'authentification dans des conditions garantissant leur sécurité et à ne pas les communiquer à un tiers.
Pour le fonctionnement des services MSSanté de l’espace de confiance MSSanté, l’Agence du Numérique en Santé a mis en place un annuaire dénommé « annuaire MSSanté » qui recense l’ensemble des comptes de messagerie sécurisée de santé de l’espace de confiance MSSanté, à l’exception des usagers.
Cet annuaire est un outil de recherche des Utilisateurs de BAL MSSanté, hors usagers.
L'annuaire MSSanté publie les nom et prénom, l'adresse de BAL MSSanté, la profession, la spécialité, le lieu d'exercice et l'identifiant du professionnel.
Si l’Utilisateur ne s’y est pas opposé – au moment de la création de sa BAL ou par la suite dans le cadre de la gestion de son compte – et qu’il a renseigné cette information, l’annuaire publie également son numéro de téléphone.
En outre, l’Utilisateur qui ne souhaite pas être visible dans l’annuaire MSSanté peut sélectionner l’option « liste rouge » sur le portail MSSanté.
L’annuaire MSSanté est utilisé par la Direction générale de la santé pour la diffusion des alertes sanitaires par messagerie aux professionnels de santé. Cette diffusion s’inscrit dans le cadre de l’article L.4001-2 du code de la santé publique.
La preuve écrite sous forme électronique est admise au même titre que l'écrit sur support papier « sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans les conditions de nature à en garantir l'intégrité » (article 1366 du code civil).
Au regard des conditions d’application de ces dispositions, le service MSSPro utilise les dispositifs de certification de l’identité et d’authentification des Utilisateurs qui sont les suivants.
Pour les Utilisateurs – professionnels de santé, le dispositif repose sur l’obligation de créer un compte de messagerie au moyen de leur CPS, qui comporte un certificat électronique d’authentification adossé à des annuaires nationaux (RPPS ou ADELI). Les accès ultérieurs au compte de messagerie ainsi créés sont réalisés par CPx ou par un moyen d’authentification forte alternatif par identifiant/mot de passe associé à un code d’accès à usage unique (OTP).
Pour les Utilisateurs-non professionnels de santé, le dispositif repose sur la création d’un compte de messagerie au regard de données d’identité certifiées par l’autorité d’enregistrement dont ils dépendent ensuite transmises à l’ANS, puis par une authentification forte par identifiant/mot de passe associé à un code d’accès à usage unique.
MSSPro intègre un dispositif d’archivage des actions des Utilisateurs sur le système.
Ce dispositif permet de garantir au récepteur de la messagerie l’identité de l’émetteur du message avec un fort niveau d’imputabilité du message et donc de son contenu. L’imputabilité repose sur l’exhaustivité des traces des actions des Utilisateurs sur le système, ainsi que sur les traces techniques générées automatiquement par les composants logiciels et matériels utilisés par le système d’information pour assurer les fonctionnalités sollicitées par les Utilisateurs. MSSPro ne met pas en œuvre de signature électronique des messages ou des pièces jointes.
Tous les messages échangés via le service MSSPro et qui transitent sur les réseaux entre le poste de l’Utilisateur et l’infrastructure de l’hébergeur, le sont à travers les protocoles TCP-IP / TLS qui garantissent leur intégrité.
Afin de prévenir d’éventuelles contestations sur la valeur probante des messages (ou « écrits électroniques ») échangés entre les Utilisateurs via le service MSSanté au regard des exigences fixées par la loi précitée, les Utilisateurs s’engagent, en acceptant les présentes conditions générales d’utilisation, à ne pas contester leur force probante sur le fondement de leur nature électronique. Ils s’accordent dès lors pour reconnaître la même valeur probante aux écrits électroniques transmis via la MSSanté qu’aux écrits sur support papier.
L'acceptation par les Utilisateurs des présentes conditions générales d'utilisation a pour conséquence la conclusion d'une convention de preuve au sens de l'article 1316-2 du code civil.
La société WRAPTOR s’engage à prendre toutes les mesures nécessaires permettant de garantir la sécurité et la confidentialité des informations échangées et hébergées sur le serveur de messagerie du service MSSPro.
La société WRAPTOR recourt à un prestataire agréé par le ministre chargé de la santé pour l’hébergement du service MSSPro. Ce prestataire est tenu d’une obligation en matière de sécurité, confidentialité et disponibilité des données hébergées. En outre, l’hébergeur défaillant encourt le retrait de sa certification, pouvant le cas échéant s’accompagner de sanctions pénales.
L'hébergement des données de santé échangées via le service MSSPro est assuré par la société AZ NETWORK, certifiée pour l’hébergement de données de santé à caractère personnel.
La société WRAPTOR a la faculté de faire évoluer les modalités techniques et matérielles d’accès à MSSPro, dans le respect de la législation et des normes en vigueur, sans que cette évolution ne constitue une gêne excessive pour les Utilisateurs.
L’Utilisateur doit donc se conformer aux évolutions techniques apportées au service MSSPro.
Le service MSSPro est accessible en ligne 7 jours sur 7 et 24 heures sur 24, à l’exception des cas de force majeure, difficultés liées à la structure du réseau de télécommunications ou difficultés techniques. Pour des raisons de maintenance, la société WRAPTOR peut suspendre l’accès au service MSSPro et fera tout son possible afin d’en informer préalablement les Utilisateurs.
La messagerie sécurisée de santé MSSPro n’est pas un service critique. Bien que Wraptor mette tout en œuvre pour que le service soit accessible et opérationnel 24h/7j, il n’existe pas d’astreinte. Le support est accessible les jours ouvrés de 9h à 17h.
Lors des visites sur le Portail MSSPro, un cookie peut s'installer automatiquement sur le logiciel de navigation. Un cookie est un élément qui ne permet pas d'identifier l'Utilisateur mais sert à enregistrer des informations relatives à la navigation de celui-ci sur le site Internet.
Le portail MSSPro utilise :
un cookie « technique », notamment afin de gérer les sessions, ainsi que de garantir et maintenir la sécurité et l’intégrité du Portail. Ces cookies sont nécessaires au fonctionnement et à la sécurité du site.
L’Utilisateur peut également paramétrer son navigateur en ce qui concerne les cookies.
WRAPTOR est le maître d’œuvre du service. WRAPTOR fournit une plateforme d’accès à la MSSanté, opérationnelle 24h/24 et 7j/7. Cette plateforme est composée d’un ensemble de logiciels fourni par WRAPTOR, fonctionnant sur un environnement technique de type hébergement certifié de données de santé fourni par AZNetwork, agissant en tant que sous-traitant de WRAPTOR.
WRAPTOR, en tant qu’opérateur MSSanté, s’engage à assurer le bon fonctionnement et la mise à jour de cette plateforme, dans le cadre du respect des exigences de l’Agence Nationale de Santé.
L'Utilisateur est seul responsable de l'utilisation du service MSSPro conformément à son usage, dans le respect des lois et règlements en vigueur et des présentes Conditions Générales d'Utilisation.
Toute utilisation préjudiciable au patient du service MSSPro est donc susceptible d’action en recherche de responsabilité engagée par le patient. WRAPTOR dispose du pouvoir de prendre toute mesure conservatoire nécessaire à la préservation du bon fonctionnement du service MSSanté en cas de non-respect par l’Utilisateur des présentes Conditions Générales d’Utilisation ou des règles légales.
Dans le cas où la mesure conservatoire consiste à la fermeture temporaire ou définitive du compte de messagerie MSSPro, WRAPTOR s’engage à informer l’Utilisateur dans les meilleurs délais.
La structure générale ainsi que les logiciels, textes, images animées ou fixes, sons et tout autre élément du Portail MSSPro sont la propriété exclusive de la société WRAPTOR. En particulier, la marque MSSPro, le logo MSSPro, le logo de la société WRAPTOR, ainsi que les logos et marques des partenaires figurant sur le site sont protégés. Toute représentation, reproduction exploitation totale ou partielle de ce site Web, par quelque procédé que ce soit, sans l'autorisation expresse de WRAPTOR ou, le cas échéant de ses partenaires précités, est interdite et constituerait une contrefaçon au sens des articles L.335-2 et suivants du Code de la propriété intellectuelle.
Les bases de données figurant sur le Portail MSSanté sont protégées par les dispositions des articles L.341-1 et suivants du code de la propriété intellectuelle.
Le service MSSPro collecte des données à caractère personnel des Utilisateurs pour son fonctionnement.
Les Utilisateurs sont identifiés directement par leur nom. Il convient de préciser qu’aucune donnée permettant l’identification d’un patient concerné par les échanges réalisés au sein de l’espace de confiance MSSanté n’est collectée par cet outil, hormis l’INS utilisé pour les envois vers les usagers.
L’outil de gestion de la relation Utilisateurs du service MSSPro est alimenté par les données conservées dans d’autres traitements de données dont la société WRAPTOR est responsable de traitement, telle que la base de données des « indicateurs de suivi » qui permet de suivre et mesurer les activités réalisées au sein du service MSSPro, notamment par chaque Utilisateur. Il permet, par exemple, de connaître l’activité MSSanté en volume de chaque Utilisateur et de mener des enquêtes qualitatives auprès des Utilisateurs.
Ces données ne sauraient en aucun cas être cédées à titre gratuit ou onéreux à des tiers n'intervenant pas dans le processus de déploiement des services de WRAPTOR.
L’Utilisateur bénéficie d’un droit d’accès et de rectification aux informations le concernant.
Les données à caractère personnel de l’Utilisateur sont conservées pendant tout la durée d’ouverture de son compte MSSPro.
L'Utilisateur peut exercer ses droits d'accès, de rectification et d'opposition sur simple demande écrite auprès des responsables du domaine ou par messagerie, aux adresses des administrateurs du domaine de messagerie sécurisée de santé.
Une mise à jour des présentes Conditions Générales d’Utilisation peut être rendue nécessaire par l’évolution du service MSSPro.
En cas de mise à jour des Conditions Générales d’Utilisation, la nouvelle version sera mise en ligne sur le Portail MSSPro et un message d’information comprenant un lien vers les Conditions Générales d’Utilisation sera adressé à l’ensemble des titulaires d’un compte MSSPro, sur leur adresse mail non MSSanté renseignée au moment de la création du compte de messagerie MSSPro ou sur leur adresse MSSanté.
L’Utilisateur s’engage à prendre connaissance de toute nouvelle version des Conditions Générales d’Utilisation et à en respecter le contenu.
Les présentes conditions d’utilisation sont régies par le droit français. A défaut de règlement à l’amiable, tout litige relève de la compétence des tribunaux de Marseille.