FAQ de l'offre : Ségur du numérique en santé

L’API LPS DUI est une interface de messagerie basée sur le standard SMTP imposée à tous les opérateurs de MSSanté.

Tout éditeur de client/brique de messagerie MSSanté pourra s’interfacer à n’importe quel opérateur MSSanté du moment que l’éditeur présente l’API LPS/DUI.

Cependant, l’utilisation d’interfaces propriétaires est toujours autorisée.
 

Un opérateur MSSanté est une personne physique ou morale qui développe et fournit un service de Messageries Sécurisées de Santé au profit d’utilisateurs finaux.

L’opérateur professionnels fournit un service MSSanté à des professionnels habilités. Les opérateurs professionnels sont notamment un établissement de santé ou plus largement toute structure de soins, un groupement de coopération sanitaire, un industriel etc...

Les éditeurs de logiciel MSSanté correspondent aux éditeurs de clients de messagerie MSSanté qui développent des logiciels en capacité d’envoyer ou de recevoir des courriels, en se connectant à un Opérateur MSSanté, pour le compte d’un professionnel habilité.

Le terme « Connecteur MSSanté » correspond à l’ensemble des équipements qui concourent à l’interconnexion à l’espace de confiance MSSanté. Les opérateurs de messagerie sont tenus d’utiliser une solution technique de « Connecteur MSSanté » afin de pouvoir se raccorder techniquement à l’espace de confiance MSSanté. Un Connecteur MSSanté d’un opérateur communique uniquement avec un autre Connecteur MSSanté d’un autre opérateur.
 

Il est possible d'envoyer tout type de format de documents, structurés ou non. Il est donc possible d'envoyer des comptes rendus médicaux au format PDF, par exemple.

Le CR au format PDF permet une prise de connaissance facile par le professionnel quel que soit le contexte d’accès au message : logiciel métier, webmail, application mobile.

Le CR en format structuré (IHE_XDM.Zip) contient les mêmes informations que le format PDF, mais il ne peut être consulté que depuis un logiciel métier compatible. Le contenu de l’archive zip ne peut être consultée autrement.

Le format structuré permet une meilleure intégration des données dans les différents logiciels métier.

Pour plus d'informations, se référer au Guide de Normalisation des échanges, disponible au lien suivant : https://mssante.fr/is/doc-technique.
 

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.

• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.

• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.