Questions fréquentes

Seuls les professionnels de santé impliqués dans votre prise en charge peuvent consulter votre dossier médical. Ils doivent vous informer au préalable et vous avez le droit de refuser. 
Les droits d’accès des différents professionnels de santé sont définis dans une « matrice d’habilitation » disponible à l’adresse www.dmp.fr/matrice-habilitation/. En fonction de leur profession, un médecin, un infirmier ou un dentiste par exemple ne sont pas autorisés à accéder aux mêmes types de documents.

Lorsqu’un professionnel de santé accède pour la première fois  à votre dossier médical, une notification est envoyée sur votre boîte mail personnelle. 
L’intégralité des accès et actions sur votre profil sont tracées et visibles sur Mon espace santé.

Mon espace santé fait l’objet d’un encadrement réglementaire strict sur le traitement des données personnelles de ses utilisateurs. Concrètement : la loi précise les finalités de Mon espace santé et le traitement des données est encadré par des textes (décret, arrêté) pris après avis de la Commission Nationale Informatique et Libertés (CNIL) qui évalue la conformité du traitement et émet des avis pouvant inclure des précautions et remarques à prendre en compte. 

Aujourd’hui, le traitement des données Mon espace santé se limite à l’usage de données non nominatives pour améliorer la plateforme “Mon espace santé” (ex. l’équipe Mon espace santé regarde de manière agrégée le nombre de connexions ou de personnes qui complètent leur profil médical pour comprendre et améliorer le parcours de l’utilisateur).

Les co-traitants sont l’Assurance Maladie et la Délégation ministérielle au Numérique en Santé du Ministère de la Santé. Dans un principe de transparence, ils transmettent à la CNIL, au fur et à mesure, la documentation produite conformément au Règlement Général sur la Protection des Données (RGPD), pour lui permettre d’apprécier la conformité de Mon espace santé, tant sur les aspects Informatique et Libertés que sur les mesures de sécurité mises en place au regard de la sensibilité des données.

Les données de Mon espace santé sont hébergées en France par les prestataires de l’Assurance Maladie sur des infrastructures dédiées, en respectant les normes d’hébergement des données de santé françaises (HDS). Les informations de santé vous concernant sont donc gardées dans des centres hautement sécurisés qui sont agréés par des organismes officiels et indépendants.

Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :

• des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
• des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
• des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées). 
 

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.