Conditions particulières d'utilisation du service ProMess

Mise à jour du 09 novembre 2020 :

  • Réécriture globale pour une clarification
  • Précisions sur l’usage des BAL de test
  • Ajout d’un paragraphe sur les durées de conservation
  • Ajout d’un paragraphe sur les données personnelles

I. Description du Service

La Messagerie Sécurisée de Santé ProMess, ci-après « le Service » permet aux professionnels habilités (professionnels de santé et certains professionnels du secteur médico-social) d’échanger des données de santé à caractère personnel relatives aux personnes prises en charge, lorsque ces données sont nécessaires à la coordination ou la continuité des soins, à la prévention ou au suivi médico-social et social de ces personnes. Ces professionnels, titulaires d’une boîte aux lettres (BAL) sont désignés ci-après « Utilisateurs ». Le Service propose des BAL personnelles, organisationnelles et applicatives.


L'inscription et l'accès au Service nécessitent une authentification forte, au moyen d'une carte de professionnel de santé (CPS) ou d'un dispositif d'authentification forte équivalent.L’utilisation de ce Service emporte l’acceptation par l’Utilisateur des Conditions d’Utilisation des Services (Conditions Générales d’Utilisation et des présentes Conditions Particulières d’Utilisation) et de leurs éventuelles mises à jour.

L'hébergement du Service est assuré par la société CLARANET agréée pour l'hébergement de données de santé à caractère personnel (CLARANET 18-20, rue du Faubourg du Temple 75011 Paris).


II. Cadre juridique

Les conditions et modalités d'utilisation du Service sont encadrées par les textes législatifs et réglementaires régissant notamment la protection des données de santé à caractère personnel, les droits des patients et les systèmes d'information partagés de santé.


Il est rappelé que, dans le cadre de l'utilisation du Service, l'utilisateur doit tenir compte :

  • des règles de droit commun relatives à l'échange des données de santé à caractère personnel dont les dispositions de l'article L.1110-4 du code de la santé publique qui précisent les conditions d'échange de données de santé entre deux ou plusieurs professionnels de santé,
  • du cadre légal qui régit sa profession, en particulier les règles relatives à l'obligation de conserver les données de santé à caractère personnel collectées à l'occasion de l'exercice de sa profession.

De plus, dans le cadre du système MSSanté, les professionnels habilités utilisant des services de messagerie sécurisée de santé par un opérateur ont la qualité de responsable de traitement.À ce titre, tout Utilisateur du Service doit renseigner une fiche de traitement dans son registre de traitement et effectuer une analyse d’impact le cas échéant.


En outre, la Messagerie Sécurisée de Santé ne doit pas se substituer au dossier médical de la personne concernée et constitue uniquement un outil d'échange sécurisé de données.L'Utilisateur veillera par lui-même à reporter si nécessaire dans le dossier de la personne concernée toute donnée qu'il jugera utile pour la prise en charge de cette dernière.


III. Inscription et bon usage

L'inscription au Service est ouverte aux professionnels de santé de Nouvelle-Aquitaine habilités et titulaires d'une carte CPS.


Certains professionnels, habilités, non titulaires d’une carte CPS, peuvent également s'inscrire au Service mais ne peuvent pas accéder à l'espace de confiance MSSanté.
L'Utilisateur doit donc se munir de sa carte CPS au moment de la création de son compte et est tenu de respecter les indications fournies lors de la création et de la gestion de son compte de Messagerie Sécurisée.
Sans carte CPS, aucun compte ne pourra être créé sans validation préalable du GIP ESEA.


L'attribution d'un compte n'est effectuée qu'après vérification de l'identité et de la qualité de professionnel de santé de l'Utilisateur, à partir des données contenues dans sa carte CPS et provenant du système d'information du Répertoire Partagé des Professionnels de Santé (SI RPPS) et du système d'information qui gère les cartes de professionnels de santé et les certificats (SI CPS). Cette vérification s'applique au titulaire d'une BAL personnelle ou au responsable d'une BAL organisationnelle ou applicative.Dès lors qu'un professionnel de santé s'est inscrit au service, sa BAL personnelle ne doit être utilisée que sous sa responsabilité.Suite à la création d'une BAL (nominative ou organisationnelle), l'accès à cette BAL ne peut se faire que par authentification forte (CPS ou dispositif équivalent).


Pour rappel, les boites aux lettres de test et particulièrement les BAL applicatives, ne doivent ni émettre ni recevoir des données de santé à caractère personnel. Elles ne sont autorisées à échanger qu’avec :

  • Les boites aux lettres appartenant aux domaines de l’opérateur,
  • Les boites aux lettres de test des autres domaines.

L’Utilisateur s’engage :

  • A ne pas procéder à l’envoi de messages non sollicités à un ou plusieurs destinataires, considéré comme du pourriel (spam) ;
  • A ne pas transmettre par messagerie sécurisée ou par tout autre moyen des courriels contenant des virus ou plus généralement tout programme visant notamment à détruire ou limiter la fonctionnalité de tout logiciel, ordinateur ou réseau de télécommunication ;
  • A ne pas rediriger son adresse sécurisée vers une adresse de messagerie non sécurisée.

IV. Obligations de l'Utilisateur

Lors de son inscription, l'Utilisateur est invité à fournir obligatoirement une adresse de courriel individuelle, non sécurisée, valide et utilisée. Cette information est nécessaire pour recevoir les différentes notifications liées au Service (alerte de réception d'un message sécurisé, génération de mots de passe à usage unique, informations techniques notamment sur les opérations de maintenance planifiées, …).


Le GIP ESEA Nouvelle-Aquitaine se réserve le droit de clôturer la boîte de messagerie sécurisée si cette adresse de notification s'avère inexacte.


La capacité de la BAL est limitée en volume. Au-delà de la capacité allouée, les nouveaux messages ne sont plus délivrés. Il appartient donc à l'Utilisateur de consulter régulièrement sa BAL pour éviter tout risque de saturation de cette dernière.Le Service permet l'échange de données de santé à caractère personnel relatives aux personnes physiques prises en charge par l'Utilisateur. Il appartient à l'Utilisateur de délivrer aux personnes concernées par les données à caractère personnel échangées via ce service, les informations suivantes :

  • l'identité du responsable de traitement,
  • la finalité du traitement,
  • les modalités d'exercice des droits d'opposition, de rectification, de suppression et d'accès aux données à caractère personnel,
  • les modalités d'hébergement des données à caractère personnel échangées par le Service (dont certaines relèvent de la catégorie des données de santé à caractère personnel) auprès d'un hébergeur agréé à cet effet par décision du Ministère en charge de la santé.

En cas d’opposition du patient à l’utilisation du Service pour échanger les données de santé le concernant, l’Utilisateur devra recourir à un moyen d’échange alternatif (courrier papier par exemple).


V. Assistance technique et accompagnement

Le GIP ESEA assure le support technique et l'évolution des versions du Service qu’il met à disposition de l'Utilisateur.le GIP ESEA assure également la formation et l’accompagnement au paramétrage des postes de travail pour l’utilisation du Service.L’assistance aux utilisateurs est accessible du lundi au vendredi de 8h30 à 18h au 05 64 090 090 ou par courriel à l'adresse @email hors week-ends et jours fériés.


VI. Durée de conservation

Les données (données d’identification et données professionnelles) relatives aux Utilisateurs sont conservées durant toute la vie de la BAL et un (1) an après sa suppression.


Les traces fonctionnelles (traces d’utilisation du service : connexion, déconnexion, types d’action) sont conservées dix (10) ans après la suppression de la BAL (délai de prescription de l’action en responsabilité médicale).


Les traces techniques (traces des actions assurées automatiquement par le système et par les composants applicatifs) sont conservées pendant un (1) an.

Les messages sont conservés jusqu’à leur suppression par l’Utilisateur de la BAL.


Le GIP ESEA met en place tous les moyens techniques et organisationnels permettant d’assurer la confidentialité et la sécurité des données. L’accès à ces données est strictement limité au personnel habilité au sein du GIP ESEA en charge de l’administration du Service et à ses sous-traitants dont l’intervention est encadrée par un contrat.


VII. Résiliation du Service

1. Du fait de l'Utilisateur :

L'Utilisateur peut demander à tout moment la fermeture de sa BAL auprès du GIP ESEA par l'un des moyens fournis sur la page contact du portail, en justifiant de son identité.

2. Du fait du GIP ESEA :
Le GIP ESEA se réserve le droit de clôturer la BAL passé un délai d’un (1) an sans authentification et ce, après sollicitation de l'Utilisateur deux (2) mois avant échéance au moyen du courriel référencé dans les informations de son compte (cf IV). Une non-réponse à cette sollicitation dans les dix (10) jours ouvrés vaut accord de l'Utilisateur pour suppression de sa BAL.La clôture d'une BAL entraîne la suppression complète et définitive de son contenu.


VIII. Données personnelles

  • Annuaire national MSSanté :

Pour le fonctionnement des services MSSanté de l’espace de confiance MSSanté, dont ProMess, l’ANS a mis en place un annuaire dénommé « annuaire MSSanté » qui recense l’ensemble des comptes de messagerie sécurisée de santé de l’espace de confiance MSSanté.


Cet annuaire est un outil de recherche grand public des Utilisateurs de BAL MSSanté.


L’annuaire MSSanté publie les nom et prénom, l’adresse de BAL MSSanté, la profession, la spécialité, le lieu d’exercice et l’identifiant du professionnel.


Si l’Utilisateur ne s’y est pas opposé – au moment de la création de sa BAL ou par la suite dans le cadre de la gestion de son compte – et qu’il a renseigné cette information, l’annuaire publie également son numéro de téléphone.


En outre, l’Utilisateur qui ne souhaite pas que son adresse MSSanté soit visible dans l’annuaire MSSanté, peut sélectionner l’option « liste rouge » lors de son inscription au Service.
Il sera également demandé à l’Utilisateur s’il accepte la dématérialisation.


L’annuaire MSSanté est utilisé par la Direction générale de la santé (DGS) pour la diffusion des alertes sanitaires par messagerie aux professionnels de santé. Cette diffusion s’inscrit dans le cadre de l’article L.4001-2 du code de la santé publique.


Collecte des données de l’Utilisateur : Des données (adresse courriel, horodatage des échanges, taille des e-mails) sont collectées et transmises à l’ANS afin de lui permettre, en tant que gestionnaire de l’espace de confiance MSSanté, d’établir des indicateurs anonymes.


Le traitement est mis en œuvre en application de l’article 5, 5° de la loi n°78-17 du 6 janvier 1978 modifiée. Les données sont conservées trois (3) mois, puis anonymisées. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et au Règlement européen n°2016/679/UE du 27 avril 2016 (RGPD), l’Utilisateur bénéficie d’un droit d’accès, de rectification, d’effacement, d’opposition, de limitation, et du droit de définir des directives sur le sort de ses données après sa mort.

L’Utilisateur peut, sous réserve de la production d’un justificatif d’identité valide, exercer ses droits sur demande écrite auprès du DPO de l’ANS :

  • Délégué à la protection des données - DPO, 9 rue Georges Pitard, 75015 PARIS
  • ou par courriel, à l'adresse suivante : @email.

L’utilisateur dispose également du droit d’introduire une réclamation auprès de la CNIL.


IX. Valeur probante et traces

La loi n°2000-230 du 13 mars 2000 admet la preuve écrite sous forme électronique au même titre que l'écrit sur support papier « sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans les conditions de nature à en garantir l'intégrité » (article 1366 du code civil).

Afin de vérifier ces conditions, le GIP ESEA n'autorise l'accès au Service que par un processus d'authentification des Utilisateurs :

  • Pour les Utilisateurs professionnels de santé, la création d'un compte ne peut se faire que par carte CPS. Les accès ultérieurs au compte ainsi créé sont réalisés par CPS ou par un moyen d'authentification forte équivalent.
  • Pour les Utilisateurs non professionnels de santé, la création d'un compte ne peut se faire que via l’assistance du GIP ESEA, au regard de données d'identité certifiées par l'autorité d'enregistrement dont ils dépendent ensuite transmises à l'ANS. Les accès ultérieurs au compte ainsi créé sont réalisés par une authentification forte.

Par ailleurs, toutes les actions des utilisateurs ainsi que les opérations logicielles sont tracées, conformément aux exigences MSSanté. Ce mécanisme permet notamment de garantir au récepteur de la messagerie l'identité de l'émetteur du message.En acceptant les présentes Conditions Particulières d'Utilisation, conformément à l’article 1366 du code civil, les Utilisateurs s'engagent à ne pas contester la force probante des messages (ou « écrits électroniques ») sur le fondement de leur nature électronique. Ils s'accordent dès lors pour reconnaître la même valeur probante aux écrits électroniques transmis via le Service qu'aux écrits sur support papier. L’acceptation des CPU a pour conséquence la conclusion d’une convention de preuve au sens de l’article 1316-2 du code civil.

Un Utilisateur peut porter à la connaissance des autres utilisateurs du Service, via l’annuaire national MSSanté son souhait de ne plus recevoir par voie papier des documents d’ores et déjà reçus par voie électronique dans le cadre du système MSSanté (« zéro papier »). Il suffit d'en informer le support afin que ce paramètre soit pris en compte (cf VIII Données personnelles).