1. DÉFINITIONS
Dans le cadre de la présente convention, les termes suivants ont la signification qui leur est donnée au présent article.
- CGU : désigne les présentes Conditions générales d’utilisation.
- Utilisateur : Toute personne qui utilise les fonctionnalités du Portail RPPS+ à savoir :
- Les professionnels intervenant dans le système de santé (également désignés « professionnel(s) ») qui utilisent le Portail pour renseigner les données d’identification les concernant mentionnées à l’article 9.1 des CGU.
- Les gestionnaires : Les personnes physiques rattachées à une autorité d’enregistrement ayant notamment pour mission soit de renseigner les données d’identification des professionnels, soit lorsque les professionnels les renseigne lui-même, de contrôler et valider les informations saisies.
- Portail RPPS+ : (également désigné « le Portail » ou « le service »), offre aux Utilisateurs les fonctionnalités décrites à l’article 4 des CGU
- ANS : Désigne le groupement d’intérêt public mentionné à l’article L.1124 du code de la santé publique.
- Autorité d’enregistrement : (également désignée « AE »), désigne la personne morale garante de l’enregistrement et de l’affectation du rôle des professionnels. .
- RPPS : le répertoire unique de référence permettant d’identifier les professionnels intervenant dans le système de santé qui rassemble et publie les informations sur ces professionnels, sur la base d’un numéro RPPS attribué au professionnel toute sa vie, est encadré par l’arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé "Répertoire partagé des professionnels intervenant dans le système de santé" (RPPS).
2. OBJET
Les présentes CGU ont pour objet de déterminer les modalités d’Utilisation du Portail RPPS+ et des données traitées dans le cadre de sa mise en œuvre.
Le Portail est un service gratuit mis à disposition des Utilisateurs par l’ANS. Ce service a pour finalité d’enregistrer dans le RPPS des professionnels des secteurs sanitaire, médico-social et social en vue de leur accès à des services numériques en santé.
La gestion du Portail est assurée par l’ANS.
3. CADRE JURIDIQUE APPLICABLE
Les conditions et modalités d’utilisation du service sont encadrées par :
- Les dispositions législatives et réglementaires relatives à la protection des données à caractère personnel issues de la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles et le règlement européen sur la protection des données à caractère personne (RGPD), entré en vigueur le 25 mai 2018.
- Le code de la santé publique et de la sécurité sociale ;
- L’arrêté du 6 février 2009 portant création d’un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé « (RPPS) » ;
- L’arrêté du 18 avril 2017 modifiant l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS)
- L’arrêté du 24 mars 2021 relatif à l'expérimentation d'une extension du périmètre du « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS).
- L’arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect ».
4. DURÉE DE L’EXPÉRIMENTATION
La présente expérimentation est mise en œuvre par l’ANS pour une durée de 18 mois maximum à compter de la publication de l’arrêté du 24 mars 2021 relatif à l'expérimentation d'une extension du périmètre du « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS).
A l’issue de l’expérimentation, les données enregistrées dans le RPPS élargi par l’autorité d’enregistrements pourront :
- Soit être versées définitivement dans le RPPS, ce qui constitue le scénario le plus probable et qui n’entraînerait aucune conséquence pour l’autorité d’enregistrement ;
- Soit être supprimées si l’expérimentation s’avérait non concluante. Dans une telle hypothèse, il appartiendrait à l’autorité d’enregistrement de procéder à de nouvelles démarches, selon les nouvelles modalités arrêtées par les pouvoirs publics, pour permettre aux professionnels placés sous sa responsabilité d’obtenir un moyen d’identification électronique.
5. PRÉSENTATION DES FONCTIONNALITÉS
Le service, dans sa version actuelle, garantit l’accès aux fonctionnalités suivantes :
- L’enregistrement des professionnels dans le RPPS et la gestion de leur changement de situation ;
- La publication des données sur les professionnels enregistrés dans le RPPS.
6. FONCTIONNEMENT DU SERVICE
6.1 Prérequis à l’utilisation du service
En accédant aux Services, l’Utilisateur accepte d’être lié par les présentes Conditions. Si l’utilisateur n’accepte pas les présentes Conditions, il ne pourra ni accéder aux services ni les utiliser.
En outre, l’AE s’engage à signer le contrat conclu avec l’ANS dans le cadre de la mise en place du service.
6.2 Mise à jour des CGU
Ces Conditions générales d’utilisation sont susceptibles d’être modifiées à tout moment par l’ANS, notamment pour prendre en compte les évolutions techniques et fonctionnelles du service ou pour être mises en conformité avec la réglementation en vigueur.
En cas de mise à jour des Conditions Générales d’Utilisation, la nouvelle version sera proposée à l’ensemble des Utilisateurs qui devra l’accepter afin de continuer à bénéficier des services.
L’Utilisateur s’engage à prendre connaissance de toute nouvelle version des Conditions Générales d’Utilisation et à en respecter le contenu.
6.3 Modalités d’accès et d’utilisation
6.3.1 Enregistrement des Utilisateurs via le Portail
L’enregistrement d’un professionnel dans le RPPS peut se faire à l’initiative du professionnel ou d’un gestionnaire habilité, via un portail sécurisé mis à disposition par l’ANS.
L’enregistrement implique le respect des étapes suivantes :
- Le Professionnel peut s’identifier grâce au dispositif FranceConnect encadré par l’arrêté du 8 novembre 2018 mentionné à l’article 3 des CGU. Au cas où le Professionnel ne souhaite pas ou ne parvient pas à se connecter via FranceConnect, il peut s’adresser à son Gestionnaire qui peut procéder à l’enregistrement sans passer par ce dispositif.
- Une fois identifié, le Professionnel peut compléter le formulaire de demande d’enregistrement en renseignant les données suivantes : ses données de contact, sa structure d’exercice, son rôle dans cette structure. Un Gestionnaire habilité peut également procéder à l’enregistrement du professionnel. Cet enregistrement doit se faire dans le respect des dispositions relatives à la loi Informatique et Libertés du 6 janvier 1978 et du RGPD.
- L’Autorité d’enregistrement vérifie et valide la demande d’enregistrement.
- L’ANS fournit un identifiant national unique (n° RPPS) au professionnel et enregistre les données dans le RPPS.
- Le Professionnel peut ensuite signaler à tout moment un changement dans sa situation d’exercice.
6.3.2 Publication des données relatives aux Utilisateurs
Les données enregistrées dans le RPPS sont rendues accessibles par l’ANS conformément aux règles définies dans l’arrêté RPPS, en consultation et en extraction, via les canaux de publication des données du RPPS existants auprès des services numériques en santé consommateurs (exemples : fournisseur d’identité Pro Santé Connect, service de messagerie sécurisée MSSanté).
L’accès aux données dites en accès restreint est soumis à une authentification par un dispositif de la famille CPS (ex : carte CPS ou certificat logiciel délivré par l’ANS). De ce point de vue les mêmes exigences de sécurité s’appliqueront aux populations déjà enregistrées dans le RPPS qu’aux nouveaux acteurs qui seront enregistrés dans le cadre de l’expérimentation.
6.3.3 Gestion des moyens d’authentification
Les informations d’authentification sont nominatives, personnelles et confidentielles.
L’ANS garantit un accès sécurisé au Portail.
Toute action réalisée à partir d’un compte Utilisateur au sein de l’application est tracée et peut être imputée directement à l’Utilisateur titulaire du compte. En cas d’usages malveillants le titulaire du compte peut être tenu responsable et encourir des sanctions disciplinaires ou pénales.
Les administrateurs du service, qu’il s’agisse de membres du support informatique de l’ANS ou de toute autre entité ne sont pas habilités à demander les identifiants de connexion d’un Utilisateur.
6.4 Support
L'ANS met à la disposition de l’Utilisateur un service joignable à l’adresse suivante monserviceclient.annuaire@asipsante.fr, disponible 24 heures sur 24, 7 jours sur 7.
Ce support traite les déclarations d’incident et toutes les demandes qui ont trait aux services relatifs au Portail.
Un formulaire de demande de support est également accessible sur le site à tous les utilisateurs connectés.
6.5 Maintenance et évolution du service
En cas de maintenance ou d’évolution impactant l’utilisation du service, l’ANS informe l’Utilisateur dans les meilleurs délais. Elle précise par ailleurs les éventuels impacts sur la disponibilité du service.
7. RESPONSABILITÉ
7.1 Responsabilité de l’ANS
L’ANS est tenue à une obligation de moyens pour la mise à disposition du service.
L’ANS se dégage de toute responsabilité en cas :
- De survenance d’un événement de force majeure ayant un impact sur la mise à disposition et l’utilisation du service ;
- De problèmes liés au réseau internet ;
- De pannes ou dommages résultant des équipements de l’Utilisateur ou encore de la contamination du système informatique ;
- D’utilisation du service non conforme aux présentes Conditions générales d’Utilisation.
7.2 Responsabilité de l’Utilisateur
L’Utilisateur, quel que soit son mode d’exercice, est seul responsable de l’utilisation du service conformément à son usage, dans le respect de la réglementation en vigueur et des présentes Conditions générales d’utilisation.
En cas de mésusage, l’ANS ne saurait être tenue pour responsable.
7.3 Responsabilité de l’Autorité d’enregistrement
Les autorités d’enregistrement participant à l’expérimentation sont seules responsables de la collecte, de la vérification et de l’enregistrement des données concernant les Utilisateurs sous leur responsabilité.
Lorsque l’AE procède à l’enregistrement du professionnel, elle s’engage à recueillir au préalable le consentement de ce dernier.
7.4 Restrictions de l’Utilisateur
L’Utilisateur a l’interdiction de :
- prononcer des propos ou contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du Service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœurs ;
- supprimer toute mention de droit d’auteur, marque de commerce ou autre mention de propriété de toute partie des Services ;
8. MOYENS MIS EN ŒUVRE POUR LA FOURNITURE DU SERVICE
L’ANS s’engage à prendre toutes les mesures nécessaires permettant de garantir la sécurité et la confidentialité des informations échangées et hébergées sur le serveur du Service.
L’hébergement des données est assuré par : la société ATOS.
Adresse de l’hébergeur :80, quai Voltaire
Immeuble River ouest
95870 BEZONS CEDEX
Les hébergeurs sont tenus à une obligation vis-à-vis de l’ANS en matière de sécurité et disponibilité des données hébergées.
L’ANS a la faculté de faire évoluer les modalités techniques et matérielles d’accès au service, dans le respect de la réglementation en vigueur, sans que cette évolution ne constitue une gêne excessive pour l’Utilisateur. L’Utilisateur doit donc se conformer aux évolutions techniques apportées audit service.
9. DISPONIBILITÉ DU SERVICE
Le service est accessible 7 jours sur 7 et 24 heures sur 24, à l’exception des cas de force majeure.
Pour des raisons de maintenance, l’ANS peut suspendre l’accès au service et fera tout son possible pour en informer préalablement l’Utilisateur.
Tout dysfonctionnement constaté par l’Utilisateur sur le service doit être signalé dans les plus brefs délais au service de support mentionné au point 5.4.
10. PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
10.1 Traitement de données à caractère personnel
La mise en œuvre et l’utilisation du service implique le traitement de données à caractère personnel dont des données de santé au sens de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et du RGPD.
Les données collectées sont les suivantes :
- Données d’identification de la personne : noms de famille et d’usage, prénoms, civilité, sexe, date et lieu de naissance, numéro d’identification technique de l’utilisateur ;
- Coordonnées personnelles ou professionnelles auxquelles le professionnel souhaite être joint : adresse postale, adresse de messagerie électronique, numéro de téléphone mobile ;
- Données décrivant l’exercice de la profession : profession, catégorie de professionnel, identité d’exercice ;
- Activités et structures d’exercice :
- genre d’activité, date de début et de fin de l’activité ;
- mode d’exercice, fonction (rôle dans la structure) ;
- coordonnées professionnelles : coordonnées de la structure d’exercice ou d’emploi (adresse postale, adresse de messagerie électronique, téléphone) ;
- structure d’exercice ou d’emploi : numéros SIREN/SIRET ou FINESS, activité, secteur d’activité santé, catégorie juridique.
Dans le portail permettant la saisie et l’enregistrement des données concernant les professionnels, sont collectées et conservées les données à caractère personnel suivantes :
- Données relatives aux personnels habilités, au sein des autorités d’enregistrement, à valider l’inscription d’un professionnel : identifiant, liste d’habilitation.
- Données liées à l’utilisation du portail d’enregistrement : historique de navigation, adresse IP de l’utilisateur, numéro d’identification technique de l’utilisateur.
Ce traitement est mis en œuvre dans le cadre de l’exécution d’une mission d’intérêt public par l’ANS.
10.2 Responsabilité de traitement
Les Autorités d’enregistrement participant à l’expérimentation sont responsables du traitement relatif à la collecte, la vérification et l’enregistrement des données concernant les professionnels placés sous leur responsabilité.
L’ANS est responsable du traitement de données conservées aux seules fins de la création des comptes Utilisateur et de la gestion du fonctionnement du service ainsi que de la mise en œuvre des mesures de sécurité destinées à garantir la confidentialité et l’intégrité de la conservation, de la sauvegarde et des transmissions de données à caractère personnel.
A ce titre, les autorités d’enregistrement et l’ANS mettent en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément aux dispositions de la loi Informatique et Libertés modifiée et du RGPD.
10.3 Cookies de connexion
L’Utilisateur est informé que lors de ses visites, un cookie peut automatiquement s’installer sur le logiciel de navigation.
Les cookies utilisés sont des cookies de session strictement nécessaires au fonctionnement du service. Sans ces cookies, l’utilisation du service peut être dégradée, voire impossible. Ces cookies ne sont conservés que pendant la durée de la session.
10.4 Droits des personnes
10.4.1 Droit des professionnels
Conformément au règlement général pour la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, les professionnels qui utilisent le Portail pour renseigner les données d’identification les concernant dispose d’un droit d’accès, de rectification, d’opposition à ces données.
Ces droits, prévus aux articles 15, 16 et 21 du règlement susmentionné s'exercent auprès de l’autorité d’enregistrement compétente, laquelle est responsable de la collecte initiale des données. L’autorité d’enregistrement doit définir des modalités d’exercice de ces droits et les porter à la connaissance des personnes concernées.
Le droit d’opposition au traitement des données s’applique dans le cadre de cette expérimentation bien qu’il ne s’applique pas aux autres populations déjà enregistrées dans le RPPS (article 10 de l’arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé »). En cas d’opposition d’un professionnel au traitement de ses données dans le cadre de cette expérimentation, les données du RPPS le concernant ne seront plus utilisables par les services utilisateurs du RPPS, ce qui pourra entraîner la coupure de l’accès à ces services (MSSanté, e-CPS, etc ou « services numériques en santé »).
Conformément à l’article 17 du règlement susmentionné, le professionnel dispose en outre du droit d’obtenir de l’ANS l’effacement des données à caractère personnel le concernant. L’effacement des données pourra également entraîner la coupure de l’accès aux services numériques en santé.
10.4.2 Droit des gestionnaires rattachés à une autorité d’enregistrement
Les gestionnaires rattachés à une autorité d’enregistrement qui utilisent le Portail RPPS+ pour renseigner des données d’identification concernant des personnes relevant de cette AE disposent également d’un droit d’accès, de rectification et d’opposition au traitement des données les concernant. Ces droits s’exercent auprès de l’ANS via l’un des canaux susmentionnés.
Les demandes d’exercice de droits destinées à l’ANS peuvent être faites via l’un des canaux suivants :
- sur demande écrite à l’adresse suivante :
GIP ANS (Délégué à la protection des données) 9, rue Georges Pitard - 75015 PARIS - par messagerie électronique, à l'adresse suivante : dpo@esante.gouv.fr
10.5 Notification des violations de données à caractère personnel
Dans le cas où l’autorité d’enregistrement détecte une violation de données à caractère personnel au sens de l’article 4. 12 du RPGD (i. e. : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données) susceptible d’avoir un impact, même indirect, sur le portail ENREG, elle doit en informer l’ANS dès que possible et sans que ce délai ne puisse excéder quarante-huit (48) heures ouvrables après en avoir pris connaissance.
Cette notification s’effectue par voie électronique, par mail adressé à dpo@esante.gouv.fr, et contient :
- La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- La description des conséquences probables de la violation de Données à caractère personnel ;
- La description des mesures prises ou que l’autorité d’enregistrement propose de prendre pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;
- L’appréciation sur le point de savoir si une notification à la CNIL est requise ;
- L’appréciation sur le point de savoir si une communication aux personnes concernées est requise.
11. PROPRIÉTÉ INTELLECTUELLE
L’ANS accorde à chaque Utilisateur, à titre personnel, non-exclusif et gratuit un droit d’utilisation du service, pour les seules fins d’une utilisation conforme aux finalités de celui-ci telles que prévues par la réglementation, pour usage propre et dans le strict cadre des opérations autorisées aux termes des présentes.
La structure générale, ainsi que les logiciels, textes, images animées ou fixes, sons et tout élément composant le site sont la propriété exclusive de l’ANS ou du Ministère chargé de la Santé. En particulier, le logo du Ministère chargé de la Santé, le logo de l’ANS, ainsi que les logos et marques des partenaires de l’ANS figurant sur le site sont protégés. Toute représentation, reproduction et exploitation totale ou partielle du site ou de ses éléments, par quelque procédé que ce soit, sans l’autorisation expresse de l’ANS ou, le cas échéant, de ses partenaires précités, est interdite et constituerait une contrefaçon au sens des articles L. 335-2 et suivants du code de la propriété intellectuelle.
Les bases de données figurant sur le service sont protégées par les dispositions des articles L.341-1 et suivants du code de la propriété intellectuelle.
12. VALEUR PROBANTE
L’article 1366 du code civil admet la preuve écrite sous forme électronique au même titre que l'écrit sur support papier.
Afin de prévenir d’éventuelles contestations sur la valeur probante des déclarations et documents dématérialisés transmis au regard des exigences fixées par la loi précitée, l’Utilisateur s’engage, en acceptant les présentes Conditions, à ne pas contester leur force probante sur le fondement de leur nature électronique.
13. LOI APPLICABLE ET TRIBUNAUX COMPÉTENTS
Les présentes Conditions Générales d’Utilisation sont régies par la loi française. Tout litige résultant de leur application relèvera de la compétence des tribunaux français.