La mise en œuvre des messageries sécurisées de santé fera l’objet d’une autorisation de traitement unique délivrée par la Commission nationale de l’informatique et des libertés (Cnil). Ainsi en a décidé cette dernière, le 12 juin dernier. Ladite autorisation unique « concerne les traitements de données à caractère personnel ayant pour objet de permettre l’échange de données de santé au moyen d’un service de messagerie sécurisée de santé entre professionnels de santé et, plus largement, entre les professionnels des secteurs sanitaire, social et médico-social habilités par une loi à collecter et à échanger des données de santé à caractère personnel ».
En clair, les personnes en charge de ces messageries, en particulier au sein des Ehpad, pourront les activer à condition d’adresser à la Cnil une déclaration dans laquelle elles s’engagent, ainsi que les établissements qui les emploient, à respecter les règles (finalités du traitement, nature des données traitées, durée de leur conservation, destinataires, information des personnes, droits d’accès, de rectification et d’opposition des personnes, sécurité des dispositifs etc.) définies par la Cnil concernant l’utilisation et l’affectation de ces messageries. Toute finalité autre que celles prévues par les textes devra être spécifiquement validée par la Cnil.
Les « seules données à caractère personnel pouvant être traitées sont les données relatives aux professionnels habilités, celles des patients qu’ils prennent en charge et à propos desquels des échanges d’informations sont nécessaires pour assurer la qualité et la sécurité de cette prise en charge, ainsi que les données relatives aux personnes en charge de l’administration de la messagerie ».
Par ailleurs, la Cnil rappelle que « les actes de télémédecine opérés au moyen d’une messagerie sécurisée de santé doivent être réalisés conformément aux dispositions du Code de la santé publique ».
Enfin, la Commission tient à préciser que la messagerie sécurisée « ne se substitue en aucun cas au dossier médical, sanitaire ou médico-social que doivent tenir les professionnels habilités ». Elle « constitue uniquement un outil professionnel d’échange sécurisé de données de santé, et non un nouvel espace de stockage ».