La CNIL encadre l'utilisation des messageries sécurisées

La Commission Nationale Informatique et Libertés (CNIL) a émis, le 12 juin 2014, les résultats de sa délibération concernant l'autorisation unique pour les traitements de données à caractère personnel dans le cadre de l'échange d'informations de santé au moyen de messagerie sécurisée entre professionnels de santé des secteurs sanitaire, social et médico-social habilités légalement à cette activité.

Des messageries à durée de vie limitée
Ce document précise que seules les données relatives aux professionnels concernés, des patients qu'ils prennent en charge, ainsi que des personnes en charge de l'administration de ladite messagerie, qui constitue uniquement un outil professionnel d'échange sécurisé de données de santé et ne se substitue pas au dossier médical, entrent dans le champ de cette autorisation.

Il est stipulé également que la conservation de ces données ne doit pas aller au-delà de la période d'activité de ces professionnels, ou après une absence d'authentification de l'utilisateur d'une durée d'un an. La boîte de messagerie doit alors être supprimée automatiquement par le système, après que celui-ci ait reçu un message d'alerte dédié à cette suppression, lui donnant ainsi la possibilité de s'y opposer.

Patients et professionnels informés sur les conditions d'utilisation
Les responsables des systèmes de traitement des données sont appelés, pour leur part, à informer les patients de la finalité de ce type de messagerie sécurisée et de ses conditions de mise en œuvre, aux moyens d'une remise de brochure informative, par voie d'affichage ou d'explications dans les livrets d'accueils des établissements de santé. Ils sont tenus, également, de fournir aux professionnels concernés tous les renseignements relatifs aux conditions d'utilisation de la messagerie, notamment en termes de confidentialité ou d'utilité pour la prise en charge des patients, ainsi qu'aux dispositions prises quant à la traçabilité des échanges qu'ils sont appelés à effectuer avec leurs pairs.

Enfin, la délibération rappelle l'ensemble des contraintes liées à la sécurité des données, confirmant que les solutions de messageries utilisées doivent avoir été soumises à une analyse des risques formalisée sur le champ de la préservation de la vie privée et de la liberté des patients.