Une BAL nominative ou organisationnelle créée depuis plus d’un an et qui n’a pas fait l’objet d’une connexion par un utilisateur depuis plus de 60 jours est dépubliée de l’Annuaire Santé, et non pas supprimée. Cela signifie que la BAL n’est plus visible dans l’Annuaire Santé mais qu’elle existe toujours chez l’Opérateur. La BAL est ainsi en liste rouge. La BAL sera republiée en cas de nouvelle connexion de l’utilisateur. (Exigence EX_GBM_4440L du Référentiel#1 MSSanté) 

Chez certain Opérateur une BAL est supprimée en cas d’absence d’authentification de l’utilisateur pendant une période d’un an. Toute suppression est précédée, deux mois avant échéance, d’une information de l’utilisateur, afin de lui permettre de s’opposer à cette suppression. (Exigence EX_GBM_6010 du Référentiel#1 MSSanté).

Oui, l’échange de données à caractère personnel par le biais d’une BAL MSSanté est un traitement soumis aux dispositions du RGPD et de la loi Informatique et Libertés. Il vous revient donc d’assurer la mise en place de la documentation nécessaire, dont le registre des activités de traitement, pour attester de votre conformité à la règlementation. 
 
Pour plus d’informations sur la documentation à mettre en place en suivant ce lien : https://www.cnil.fr/fr/documenter-la-conformite.

Vous retrouverez les adresses MSSanté des PS dans l’Annuaire Santé.  

L'Annuaire Santé recense les professionnels de santé enregistrés dans le répertoire partagé des professionnels intervenant dans le système de santé (RPPS) et le fichier national des établissements sanitaires et sociaux (FINESS). Tous les utilisateurs de MSSanté sont référencés dans l’Annuaire Santé et forment une communauté fermée d’utilisateurs identifiés au sein de l’Espace de Confiance Annuaire. 

L’Annuaire Santé est disponible ici : https://annuaire.sante.fr/

Non, la boîte organisationnelle est créée par un responsable opérationnel. Ce dernier peut être un professionnel habilité par la loi à échanger des données de santé à caractère personnel ou un professionnel exerçant son activité au sein de la structure. Dans le cas où le Responsable opérationnel n’est pas un professionnel habilité (DSI, DG, mandataire...), il n’est pas habilité à accéder à la BAL organisationnelle et aux données des patients pris en charges. 

Le responsable opérationnel définit la liste des professionnels qui seront habilités à utiliser la BAL (consultation et envoi de messages). Le rattachement de la BAL au professionnel habilité, identifié et enregistré dans l’Annuaire Santé, est nécessaire car il porte la responsabilité de la BAL et de son bon usage. 

Pour plus d’information sur les BAL organisationnelles en suivant ce lien : https://esante.gouv.fr/sites/default/files/media_entity/documents/mssante_fiche-bal-org-sans-finess.pdf
 

Non, l’utilisation de MSSanté n’est pas obligatoire.

Il reste toutefois obligatoire de sécuriser les échanges de données de santé à caractère personnel. Tout professionnel est tenu de respecter le cadre juridique de l’échange des données de santé à caractère personnel (article L1110-4 du Code de la santé publique) ainsi que de leur hébergement (article L1111-8 du code précité). Les données de santé à caractère personnel sont des données sensibles, protégées par la loi et dont le traitement est en outre soumis aux principes de la protection des données personnelles tels que définis par la loi n°78-17 du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés et le RGPD. Le responsable de traitement est tenu à ce titre de mettre en œuvre les mesures techniques, juridiques et organisationnelles adaptées à la criticité des données.  

Rappel non-exhaustif de l’encadrement juridique applicable à la MSSanté : 

Les dispositions du code de la santé publique sont à consulter au niveau de la page MSSanté (https://esante.gouv.fr/strategie-nationale/mssante).

En outre, l'échange de données de santé constitue un traitement de données à caractère personnel considérées comme sensibles. Chaque responsable de traitement et/ou sous-traitant doit donc s'assurer du respect de la règlementation relative à la protection des données et notamment du Règlement général sur la protection des données (RGPD) ainsi que de la loi n°78-17 du 6 janvier 1978 modifiée en dernier lieu par l’ordonnance n°2018-1125 du 12 décembre 2018. 

Il appartient à chaque acteur de veiller à ce que le service de messagerie fourni et/ou utilisé réponde à l’ensemble des obligations légales qui lui incombe. 
 

Non, le service de messagerie sécurisée ne se substitue en aucun cas au dossier médical, sanitaire ou médico-social des patients que doivent tenir les professionnels habilités susvisés en vertu des obligations légales et règlementaires qui leur incombent.

Il constitue uniquement un outil professionnel d’échange sécurisé de données de santé à caractère personnel, et non un nouvel espace de stockage. 

Non, rejoindre l’Espace de Confiance en tant qu’opérateur est gratuit.

• Un opérateur développeur désigne un opérateur MSSanté qui met en œuvre pour lui-même ou pour le compte d’opérateurs acheteurs les composants spécifiques aux exigences MSSanté (exemple : connecteur MSSanté).
• Un opérateur acheteur :  désigne un opérateur qui a recours à la technologie d’un opérateur développeur (disposant d’un contrat opérateur MSSanté signé avec l’ANS) en lui achetant les composants techniques tels que le connecteur MSSanté (ex : les établissements sanitaires opérateurs MSSanté qui achètent leur connecteur MSSanté auprès d’un opérateur MSSanté tiers).
   

Être MSSanté compatible pour un Opérateur signifie que la solution respecte toutes les exigences de l'Espace de Confiance en termes d'interopérabilité, de sécurisation des données. La solution de messagerie de l'Opérateur respecte la liste des exigences et est compatible avec les normes de MSSanté.

Ces exigences sont à retrouver dans les référentiels, disponible ici.
 

Il n’existe aucune limite d’envoi de message entre les 3 types de BAL (personnelle, organisationnelle, applicative).

Cependant, une exigence particulière s’applique à tout message envoyé à partir d’une BAL applicative qui impose de renseigner la BAL de réponse au message envoyé (paragraphe 3.3.3, exigence ECO.2.2.5).