FAQ de l'offre : Ségur du numérique en santé

L'ANS ne peut pas vous recommander un Opérateur en particulier. Néanmoins, en qualité de gestionnaire de l'espace de confiance MSSanté, nous vous proposons un panorama des offres MSSanté afin de vous orienter vers l'offre MSSanté qui vous convient. Le panorama ne constitue pas l’exhaustivité des offres MSSanté et n'engage pas la responsabilité de l'ANS : https://esante.gouv.fr/strategie-nationale/mssante/panorama-offres-mssante

Nous vous conseillons de vous rapprocher d’un organisme régional (ARS, GRADeS  etc.) pour avoir plus d'informations sur les services proposés dans votre région et qui vous accompagnera dans vos démarches. 
 

Oui, conformément à l'article L1110-4 du code de la santé publique, dans le cadre de l'échange et du partage de données de santé, le patient doit être informé de l'échange de ses informations et de son droit à s'y opposer.
Seules les informations strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou au suivi médico-social et social du patient peuvent être échangées.

Par principe, chacun a droit au respect de sa vie privée et au secret des informations concernant sa santé.
Le consentement du patient doit donc être recueilli lorsque les données de santé sont échangées avec un professionnel n'appartenant pas à l'équipe de soins.
 

Il faut distinguer le canal d'envoi (MSSanté) du contenu envoyé. Ainsi, il est possible d'envoyer tout type de format de documents structurés ou non. Il est donc possible d'envoyer des comptes rendus médicaux au format PDF, par exemple. Cependant, le format structuré permet une meilleure intégration des données dans les différents logiciels métier.

Pour plus d'informations, se référer au Guide de Normalisation des échanges.
 

MSSanté est un ensemble de messageries sécurisées de santé, réunies dans un Espace de Confiance MSSanté. Ces messageries sécurisées permettent à des professionnels du secteur sanitaire, social et médico-social habilités par la loi à échanger, entre eux ainsi qu’avec les usagers du système de santé (patients, etc.), des données de santé à caractère personnel de manière sécurisée. Il existe une pluralité d’Opérateurs qui proposent des messageries sécurisées (https://esante.gouv.fr/strategie-nationale/mssante/panorama-offres-mssante) et qui répondent à des exigences techniques et organisationnelles définies par le Référentiel #1. 

Mailiz est l'un des services de messageries sécurisées de santé intégré à l'Espace de Confiance, opéré par l'Agence du Numérique en Santé (ANS) et proposé par les Ordres de Santé (aux professionnels éligibles). 
 

Mailiz est le service MSSanté fourni par l’ANS en qualité d’Opérateur : https://mailiz.mssante.fr/cgu.  

Son offre ne permet pas l'ouverture de BAL organisationnelles ou de BAL applicatives.  

Des industriels et Opérateurs régionaux (GCS, GRADeS, etc.) proposent des solutions adaptées à l'environnement des établissements de santé (voir le contenu de l'offre : https://esante.gouv.fr/strategie-nationale/mssante/panorama-offres-mssante). 
 

Non, le service de messagerie sécurisée ne se substitue en aucun cas au dossier médical, sanitaire ou médico-social des patients que doivent tenir les professionnels habilités susvisés en vertu des obligations légales et règlementaires qui leur incombent.

Il constitue uniquement un outil professionnel d’échange sécurisé de données de santé à caractère personnel, et non un nouvel espace de stockage. 

Non, l’utilisation de MSSanté n’est pas obligatoire.

Il reste toutefois obligatoire de sécuriser les échanges de données de santé à caractère personnel. Tout professionnel est tenu de respecter le cadre juridique de l’échange des données de santé à caractère personnel (article L1110-4 du Code de la santé publique) ainsi que de leur hébergement (article L1111-8 du code précité). Les données de santé à caractère personnel sont des données sensibles, protégées par la loi et dont le traitement est en outre soumis aux principes de la protection des données personnelles tels que définis par la loi n°78-17 du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés et le RGPD. Le responsable de traitement est tenu à ce titre de mettre en œuvre les mesures techniques, juridiques et organisationnelles adaptées à la criticité des données.  

Rappel non-exhaustif de l’encadrement juridique applicable à la MSSanté : 

Les dispositions du code de la santé publique sont à consulter au niveau de la page MSSanté (https://esante.gouv.fr/strategie-nationale/mssante).

En outre, l'échange de données de santé constitue un traitement de données à caractère personnel considérées comme sensibles. Chaque responsable de traitement et/ou sous-traitant doit donc s'assurer du respect de la règlementation relative à la protection des données et notamment du Règlement général sur la protection des données (RGPD) ainsi que de la loi n°78-17 du 6 janvier 1978 modifiée en dernier lieu par l’ordonnance n°2018-1125 du 12 décembre 2018. 

Il appartient à chaque acteur de veiller à ce que le service de messagerie fourni et/ou utilisé réponde à l’ensemble des obligations légales qui lui incombe. 
 

L’arrêté du 18 mars 2024 prévoyait la réalisation d’un exercice de crise en 2023 ou 2024 par tous les établissements du candidat (au sens FINESS PMSI). Désormais, pour valider l’"objectif D1.O3 – Se préparer au risque cyber de l’appel à financement", cet exercice de crise cyber doit être réalisé entre le 1er janvier 2023 et la date de dépôt de la déclaration d’atteinte des objectifs par l’établissement sur le guichet dédié (nouvelle date limite de dépôt au 30 juin 2025).

Pour que cet exercice rentre dans le périmètre des dépenses éligibles, il doit être réalisé entre le 22 mars 2024 et le dépôt de déclaration d’atteinte des objectifs, au plus tard le 30 juin 2025.

Dans le cas où l'établissement de santé a réalisé 2 ou 3 exercices, il choisit celui qu'il veut déclarer. La part de l'exercice financée par l'ARS ne peut pas faire l'objet d'un financement du Domaine (double financement).

L’exercice doit avoir été réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) : au niveau des EJ pour les établissements publics et au niveau des Entité Géographiques (EG) pour les établissements privés lucratifs et non lucratifs. Il est toutefois possible qu’un exercice réalisé au niveau d'un GHT impliquant plusieurs EJ puisse valider cet objectif, à condition que les directions des EJ concernées aient été impliquées dans cet exercice et que le SI de ces EJ soit unique. Le même principe s’applique pour la réalisation d’un exercice au niveau d’un EJ : les directions des EG concernées doivent avoir été impliquées dans cet exercice et le SI de ces EG doit être unique.

Il est attendu une première réalisation concrète au bout de 18 mois après le dépôt d’atteinte des objectifs avec des premières actions de convergence mises en œuvre.

Quelques exemples de 1ères réalisations concrètes (jalon à 18 mois après le dépôt d’atteinte des objectifs) : mise en place d'une infrastructure commune pour deux domaines AD, migration de certains services ou utilisateurs vers une nouvelle infrastructure AD commune, création d'une stratégie de gestion des identités et des accès unifiés pour les domaines concernés.