ÉDITO ASIP SANTÉ HIT - MAI 2017 - d-m-p.org · L’hôpital est un pilier historique de notre...

64
ÉDITO ASIP SANTÉ HIT - MAI 2017 L’hôpital est un pilier historique de notre système de santé. C’est le lieu de l’urgence, mais aussi le lieu d’expression de l’excellence française, celle des professionnels, des savoirs et des technologies. L’hôpital est ainsi investi d’une grande promesse : permettre à chaque individu d’accéder à des soins de qualité, quelle que soit sa pathologie, et quelle que soit son origine sociale ou territoriale. Pour remplir cette mission au quotidien, l’hôpital confronte ses pratiques aux grandes mutations, au premier rang desquelles s’inscrit la révolution numérique. Certes, des progrès considérables ont été accomplis au cours de la dernière décennie, comme en témoignent la mise en œuvre et le déploiement d’un dossier patient informatisé dans la plupart des établissements. Mais pour la plupart des hôpitaux, il reste un long chemin à parcourir pour adapter le volume d’investissements et les organisations au déploiement des nouvelles technologies, et à l’élaboration d’un système d’information performant, communicant et sécurisé. Aujourd’hui, deux grands défis s’imposent en même temps au monde hospitalier de manière impérative. Le premier consiste à tirer tous les bénéfices de la révolution numérique pour améliorer en interne l’efficience et la qualité de la prise en charge des patients, et pour réussir les réformes structurelles en cours. Les groupements hospitaliers de territoire (GHT) accèderont difficilement à une cohérence et à une rationalisation satisfaisantes sans cet acteur invisible qu’est le système d’information. Le second défi invite l’hôpital à renforcer, systématiser et simplifier ses échanges avec les autres acteurs de l’écosystème de santé, qu’il s’agisse de la médecine de ville ou du secteur médico-social. C’est à cette condition que sera garanti pour le patient un parcours désegmenté, plus fluide et rassurant, et que se développeront de nouveaux modes de prises en charge au plus près du domicile. Ces deux défis touchent profondément au quotidien des médecins et des professionnels de santé, à leurs modes de coopération et de communication. Et à l’évidence, les outils numériques accompagnent et facilitent cette mutation, qui se révèle avant tout une mutation relationnelle et culturelle. Dans ce contexte, l’ASIP Santé, en tant qu’agence nationale de santé numérique, a pour mission d’apporter son aide aux établissements de santé qui mènent leur transformation numérique. Nous mettons à leur disposition notre expertise et nos capacités de gestion de projets stratégiques. Depuis quelques années, nos missions nous amènent en effet sur le terrain de la transformation hospitalière. Nous aidons les établissements de santé à se doter de messageries de santé sécurisées pour communiquer efficacement vers la médecine de ville ou les autres professionnels de santé. Nous contribuons également à numériser le parcours administratif des établissements de santé, notamment pour faciliter le paiement et les démarches de remboursement. Nous sommes naturellement très impliqués dans la convergence des systèmes d’informations des GHT. En outre, la loi nous a récemment confié la mission d’aider les établissements et les agences régionales de santé à repérer, qualifier et traiter les incidents numériques graves et significatifs. Nous menons enfin la transformation du système d’information du Samu-Centres 15. L’avenir de l’ASIP santé s’écrit durablement aux côtés du monde de l’hôpital, avec constance et ténacité. Notre agence se met au service des établissements en offrant d’une part une gamme de services les plus industrialisables possibles, et en proposant d’autre part des modes d’actions agiles, depuis l’échelle du plus grand nombre jusqu’au sur-mesure dès qu’il est nécessaire. L’ASIP Santé au service du monde hospitalier

Transcript of ÉDITO ASIP SANTÉ HIT - MAI 2017 - d-m-p.org · L’hôpital est un pilier historique de notre...

ÉDITO ASIP SANTÉHIT - MAI 2017

L’hôpital est un pilier historique de notre système de santé. C’est le lieu de l’urgence, mais aussi le lieu d’expression de l’excellence française, celle des professionnels, des savoirs et des technologies. L’hôpital est ainsi investi d’une grande promesse : permettre à chaque individu d’accéder à des soins de qualité, quelle que soit sa pathologie, et quelle que soit son origine sociale ou territoriale.

Pour remplir cette mission au quotidien, l’hôpital confronte ses pratiques aux grandes mutations, au premier rang desquelles s’inscrit la révolution numérique. Certes, des progrès considérables ont été accomplis au cours de la dernière décennie, comme en témoignent la mise en œuvre et le déploiement d’un dossier patient informatisé dans la plupart des établissements. Mais pour la plupart des hôpitaux, il reste un long chemin à parcourir pour adapter le volume d’investissements et les organisations au déploiement des nouvelles technologies, et à l’élaboration d’un système d’information performant, communicant et sécurisé.

Aujourd’hui, deux grands défis s’imposent en même temps au monde hospitalier de manière impérative. Le premier consiste à tirer tous les bénéfices de la révolution numérique pour améliorer en interne l’efficience et la qualité de la prise en charge des patients, et pour réussir les réformes structurelles en cours. Les groupements hospitaliers de territoire (GHT) accèderont difficilement à une cohérence et à une rationalisation satisfaisantes sans cet acteur invisible qu’est le système d’information.

Le second défi invite l’hôpital à renforcer, systématiser et simplifier ses échanges avec les autres acteurs de l’écosystème de santé, qu’il s’agisse de la médecine de ville ou du secteur médico-social. C’est à cette condition que sera garanti pour le patient un parcours désegmenté, plus fluide et rassurant, et que se développeront de nouveaux modes de prises en charge au plus près du domicile.

Ces deux défis touchent profondément au quotidien des médecins et des professionnels de santé, à leurs modes de coopération et de communication. Et à l’évidence, les outils numériques accompagnent et facilitent cette mutation, qui se révèle avant tout une mutation relationnelle et culturelle. Dans ce contexte, l’ASIP Santé, en tant qu’agence nationale de santé numérique, a pour mission d’apporter son aide aux établissements de santé qui mènent leur transformation numérique. Nous mettons à leur disposition notre expertise et nos capacités de gestion de projets stratégiques.

Depuis quelques années, nos missions nous amènent en effet sur le terrain de la transformation hospitalière. Nous aidons les établissements de santé à se doter de messageries de santé sécurisées pour communiquer efficacement vers la médecine de ville ou les autres professionnels de santé. Nous contribuons également à numériser le parcours administratif des établissements de santé, notamment pour faciliter le paiement et les démarches de remboursement. Nous sommes naturellement très impliqués dans la convergence des systèmes d’informations des GHT. En outre, la loi nous a récemment confié la mission d’aider les établissements et les agences régionales de santé à repérer, qualifier et traiter les incidents numériques graves et significatifs. Nous menons enfin la transformation du système d’information du Samu-Centres 15.

L’avenir de l’ASIP santé s’écrit durablement aux côtés du monde de l’hôpital, avec constance et ténacité. Notre agence se met au service des établissements en offrant d’une part une gamme de services les plus industrialisables possibles, et en proposant d’autre part des modes d’actions agiles, depuis l’échelle du plus grand nombre jusqu’au sur-mesure dès qu’il est nécessaire.

L’ASIP Santé au service du monde hospitalier

Sans jamais céder au risque de l’ingérence, il nous appartient de proposer sans relâche des solutions au carrefour des exigences légales et des contraintes de chaque établissement. Un système d’information doit de s’inscrire dans une urbanisation cohérente, être interopérable, sécurisé et garantir la confidentialité des données de santé. Mais ces exigences ne se déclinent pas selon un modèle unique et imposé. Elles prennent la forme des usages, mais aussi de la culture interne, de l’histoire et des particularités territoriales qui font la spécificité l’unicité de chaque établissement. L’ASIP Santé sera auprès de chaque hôpital qui a besoin d’aide et de conseil, convaincue que la transformation numérique de la santé ne progressera qu’à la mesure de la confiance et de la proximité que nous serons capables d’inspirer collectivement à tous les acteurs humains et institutionnels du système.

Michel GAGNEUX Directeur de l’ASIP Santé

Le blog de l’ASIP Santé :

www.blogasipsante.fr

Contact presse :

ASIP Santé : Caroline Sueur – [email protected] - 06 63 89 31 31

À propos de l’ASIP Santé

L’ASIP Santé est l’agence française de la santé numérique. Elle assure trois missions complémentaires : créer les conditions de l’essor de la e-santé, conduire des projets d’envergure nationale et déployer les usages en soutenant l’innovation. Elle met notamment en œuvre le système des cartes de professionnel de santé (CPS), le répertoire partagé des professionnels de santé (RPPS) et le système MSSanté des messageries sécurisées de santé.

http://esante.gouv.fr

COMMENT IDENTIFIER LES PROFESSIONNELS DE SANTÉ EN ÉTABLISSEMENT

La mise en place d’une gestion commune des données d’identification constitue la ressource clé du système d’information pour l’ensemble des besoins que ce soit la gestion des identités, des habilitations et des échanges.

Les enjeux sont multiples, car il faut pouvoir : - Avoir confiance dans l’exactitude des données d’identité ; - Minimiser le travail de renseignement et de maintenance de l’annuaire ; - Fédérer l’ensemble des applications.

La gestion des annuaires, clé de voûte du SI

Que ce soit pour gérer leur rémunération, faciliter les droits d’accès au sein de l’établissement ou au système d’information, chaque établissement a besoin d’identifier l’ensemble des professionnels qui y travaillent. Il en va de même pour permettre le partage et l’échange d’informations avec ses correspondants.

Sur le site annuaire.sante.fr, l’ASIP Santé met à disposition des acteurs de santé les données d’identification des professionnels de santé issues des référentiels nationaux RPPS et Adeli. Ces données couvrent l’ensemble des professionnels de santé, médecins sages-femmes, pharmaciens, chirurgiens-dentistes et masseurs-kinésithérapeutes, enregistrés dans le RPPS ainsi que les autres professions de santé (infirmiers…), enregistrées dans le référentiel Adeli. Elles portent principalement sur l’identité du professionnel, ses données professionnelles (diplôme, profession, spécialité), ses coordonnées de correspondance (postale et messagerie sécurisée) et son lieu d’exercice. Chaque établissement peut dès à présent récupérer ces données pour alimenter quotidiennement ses annuaires, gérer l’identification de ses professionnels de santé ou pour faciliter la correspondance avec l’extérieur.

Des référentiels nationaux pour fiabiliser les données d’identification

Les données d’identification accessibles sur annuaire.sante.fr sont enregistrées et certifiées par la DRESS pour Adeli, les Ordres, le Service Santé des Armées ou encore l’INSEE pour le RPPS. Elles tiennent donc lieu de pièces justificatives.

L’utilisation des données des référentiels nationaux permet de : - Disposer de l’identifiant national des professionnels ; - Vérifier l’identité et les compétences des professionnels sans requérir de justificatifs ; - Réduire les charges de collectes et de mises à jour des données dans l’annuaire interne.

Des données qui permettent de simplifier la gestion des établissements

Contact presse :

ASIP Santé : Caroline Sueur – [email protected] - 06 63 89 31 31

A propos de l’ASIP Santé

L’ASIP Santé est l’agence française de la santé numérique. Elle assure trois missions complémentaires : créer les conditions de l’essor de la e-santé, conduire des projets d’envergure nationale et déployer les usages en soutenant l’innovation. Elle met notamment en œuvre le système des cartes de professionnel de santé (CPS), le répertoire partagé des professionnels de santé (RPPS) et le système MSSanté des messageries sécurisées de santé.

http://esante.gouv.fr

Des données qui permettent de simplifier la gestion des établissements

Pour consolider les annuaires existants

L’ASIP Santé met à disposition des établissements des outils et une méthodologie pour réaliser le rapprochement de leur annuaire local aux référentiels nationaux. Depuis 2016, une trentaine d’établissements ont bénéficié de cet accompagnement.

Cela permet notamment, dans le cadre des GHT, de faciliter le renseignement initial de l’annuaire, en confiant à l’ASIP Santé les tâches de rapprochement. Le GHT dispose ainsi rapidement d’un annuaire consolidé, basé sur l’identifiant national RPPS/Adeli, dont les mises à jour sont facilement automatisables.

Pour automatiser les mises-à-jour

La synchronisation permet de mettre à jour les données d’annuaire de l’établissement de façon automatique. L’ASIP Santé accompagne les acteurs souhaitant mettre en place des interfaces avec l’annuaire.sante.fr en mettant à leur disposition de la documentation, un accompagnement à la mise en œuvre technique et une assistance pour utiliser les données.

En publiant un guide de règles et de bonnes pratiques

Au-delà des règles définies dans le référentiel d’identification des acteurs sanitaires et médico-sociaux de la PGSSI-S, l’ASIP Santé publie un socle commun de bonnes pratiques et de règles facilitant la mise en œuvre d’un annuaire des professionnels au sein d’un établissement.

L’ASIP Santé accompagne les établissements et les GHT

COMMENT ASSURER LA SÉCURITÉ DES DONNÉES DE SANTÉ

Sensibles, parce qu’elles sont privées et convoitées. Encadrées par la loi Kouchner de 2002, les données de santé relèvent de la vie privée du patient et sont de ce fait soumises au secret professionnel, donc protégées. Ce qui explique pourquoi certains laboratoires ou industriels peu scrupuleux veulent s’en emparer et sont prêts à payer jusqu’à 300 $ la donnée.

Vulnérables, parce que les équipements sont vieillissants et les protections moins efficaces que dans d’autres secteurs. Moins d’outils de scan de vulnérabilité, moindre connaissance des menaces, grande obsolescence du matériel bureautique, … une récente étude CISCO pointe les failles des systèmes d’information dans la santé.

Exposées, parce que le système de santé est nécessairement ouvert à une multitude d’acteurs et d’objets connectés peu sécurisés. Avec des patients et des médecins, qui veulent échanger de plus en plus. Un défi quand on sait que cela concerne près de 150.000 structures et 1 million de personnels de santé dont la priorité est la santé pas la sécurité.

Des données sensibles

Qu’il s’agisse de soins, de dépistage ou de prévention, la révolution digitale est en marche et les objets connectés se multiplient, faisant exploser le nombre de données de santé. Des données sensibles, exposées et convoitées. A quels types de menaces doivent elles faire face ? Comment et qui doit les protéger ? Comment faire de la sécurité un atout pour soigner encore mieux et sauver des vies ? Les réponses de l’ASIP Santé, l’agence française de la santé numérique.

Trois types de menaces

Les actes de malveillance. Qu’il s’agisse de la dégradation physique ou du vol d’un matériel, d’un virus destiné à bloquer, ralentir ou détruire un système informatique ou encore d’un vol de données de santé avec ou sans rançon, les actes de malveillance représentent une part croissante des failles.

Les pannes ou dysfonctionnements. Consécutives à un défaut de maintenance, à la vétusté d’un matériel, à une incompatibilité entre logiciels ou encore à un mésusage, les pannes et dysfonctionnements peuvent aussi résulter d’un acte de malveillance. Leur gravité peut aller d’un simple bug à une perte irréversible des données.

Les erreurs, oublis et autres mésusages. Prêter son mot de passe, laisser trainer sa CPS, envoyer par mail des informations non protégées, oublier de sauvegarder, cliquer sur un mail douteux, … nombreux sont les gestes du quotidien dont les conséquences peuvent être graves.

De la simple panne au vol : des menaces variées

Indispensable pour soigner et sauver des vies, la sécurité des systèmes d’information en santé permet d’assurer à tous des données disponibles, confidentielles, fiables, partagées et traçables.Des données disponibles pour limiter le risque de perte de chance ; Confidentielles pour préserver le secret professionnel. ; Fiables et exactes pour un diagnostic rapide et juste. ; Partagées pour permettre la coordination des soins. ; Traçables pour conserver l’historique des antécédents et des actes réalisés.

Des données essentielles pour bien soigner les patients

Contact presse : ASIP Santé : Caroline Sueur – [email protected] - 06 63 89 31 31

A propos de l’ASIP Santé L’ASIP Santé est l’agence française de la santé numérique. Elle assure trois missions complémentaires : créer les conditions de l’essor de la e-santé, conduire des projets d’envergure nationale et déployer les usages en soutenant l’innovation. Elle met notamment en œuvre le système des cartes de professionnel de santé (CPS), le répertoire partagé des professionnels de santé (RPPS) et le système MSSanté des messageries sécurisées de santé. http://esante.gouv.fr

De la simple panne au vol : des menaces variées

Notre modèle, un cadre à la fois structuré et souple En tant qu’opérateur de l’Etat dédié au numérique de santé, l’ASIP Santé fournit un cadre sécurisé permettant aux patients comme aux professionnels d’échanger des données de santé en toute confiance. Ce cadre, à la fois structuré et souple parce que co-construit avec notre écosystème, est une spécificité du modèle Français et un atout.

Nos solutions de confiance Pour pouvoir échanger et partager des données de santé en toute sécurité l’ASIP Santé : Elabore les référentiels et guides de la Politique Générale de Sécurité des systèmes d’information de santé (PGSSI-S) qui s’applique à tout le secteur sanitaire et médico-social ; Gère le dispositif CPS qui permet d’identifier et d’authentifier les professionnels de santé tout au long de leur exercice grâce à un Répertoire Partagé des Professionnels de Santé (RPPS), une Carte de Professionnel de Santé (CPS) sans contact ainsi que des certificats électroniques en ligne ; A conçu les Messageries sécurisées MSSanté, utilisables au cabinet comme à l’hôpital ou sur Smartphone et intégrées à la plupart des logiciels du marché ; Instruit les dossiers de demande d’agrément des hébergeurs pour le compte du comité d’agrément ; Développe l’interopérabilité indispensable à la disponibilité et à la fiabilité des données ; Analyse les risques SI de tous les projets qu’elle accompagne, notamment pour le compte du ministère.

Notre mission : fournir un cadre pour pouvoir échanger et partager des données de santé en toute sécurité

Sécurité des données de santé : tous concernés !

Des obligations légales Loin d’être une affaire de spécialistes, la sécurité des données de santé est l’affaire de tous et notamment des professionnels de santé qui ont des obligations légales : Pour l’échange : informer le patient, limiter l’échange aux personnes concernées et aux données utiles. Pour le partage : obtenir le consentement du patient, limiter le partage aux personnes ou services. Concernées. Pour la protection : respecter les 5 principes de la loi Informatique et liberté (1978). Pour la conservation : fixer une durée et s’assurer de la restitution des données en cas de sous-traitance.

Une vigilance au quotidien Promouvoir la sécurité : maitriser les fondamentaux, sensibiliser ses équipes et informer ses patients. Sécuriser le lieu d’exercice et les équipements : protéger les équipements contenant les données du vol et des courts-circuits, protéger la connexion internet et le réseau local, gérer et préserver les mots de passe, mettre en place des antivirus, pare-feu et logiciels de chiffrement, mettre à jour les logiciels et vérifier leur authenticité. Maîtriser l’accès aux informations : utiliser sa CPS conformément aux recommandations, éviter de multiplier les comptes, gérer les profils, protéger les comptes les plus sensibles, Limiter les incidents et leurs conséquences : tracer les actions réalisées sur les données et les événements informatiques, anticiper les incidents, gérer les incidents conformément aux recommandations, sauvegarder régulièrement.

L’ASIP SANTÉ, AU CŒUR DES MUTATIONS

DE NOTRE SYSTÈME DE SANTÉ

Pour en savoir plus

@esante_gouv_fr

Aucun expert en santé numérique ne manque de le souligner : l’interopérabilité au niveau européen est indispensable pour l’effi cacité de l’action sur le long terme.

Sous l’égide du ministère de la santé, l’ASIP Santé porte pour la France avec l’assurance-maladie le programme CEF eHealth (Connecting Europe Facility eHealth) qui vise la construction à l’horizon 2020 des infrastructures qui sous-tendront l’échange et le partage de données de santé entre tous les pays membres de l’Union européenne.

4. L’e-santé au niveau européen

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

3. La démocratie sanitaire

Le numérique modifi e le rapport du patient à sa santé.

Depuis 2011, le patient peut avoir directement accès via internet à ses données de santé dès lors qu’il bénéfi cie d’un DMP.

La stratégie nationale d’e-santé a prévu un service public ayant pour mission la diffusion gratuite des informations relatives à la santé et aux produits de santé, notamment à l’offre sanitaire, médico-sociale et sociale. La réalisation du portail Santé.fr a été confi ée à l’ASIP Santé.

linkedin.com/company/asip-sante

esante.gouv.fr

Depuis 2009, l’ASIP Santé, opérateur du ministère de la santé, est au cœur des mutations du système de santé.

Pour y répondre, l’ASIP Santé conduit une action systémique reposant sur trois piliers : la confiance, les outils numériques, les usages.

La confiance

- poser le cadre de la e-santé : le rôle de l’agence est inscrit dans la loi pour définir les règles de sécurité et d’interopérabilité applicables aux systèmes d’information de santé, et elle contribue à l’évolution des textes ;

Les outils numériques

- piloter la construction d’infrastructures mutualisables via les projets d’intérêt national qui lui sont confiés, pour les secteurs sanitaire et médico-social ;

Les usages

- accompagner l’ensemble des acteurs et la création de valeur : transformation des pratiques des professionnels de santé, digitalisation de l’hôpital (programmes Hôpital Numérique, SIMPHONIE, etc.), constitution des Groupements Hospitaliers de Territoires - GHT -, virage ambulatoire, amélioration de l’offre industrielle, élaboration de feuilles de route e-santé dans les territoires, soutien à l’innovation, prise en compte de la santé connectée, etc.

Le numérique apporte des réponses inédites en matière de santé publique.

L’action conduite par l’ASIP Santé pour la sécurité et l’interopérabilité des systèmes favorise la production de données de qualité qui peuvent être consolidées et exploitées à grande échelle ; c’est un pré-requis pour l’essor du big data en santé.

Reconnue pour son expertise, l’agence s’est vue confier par le ministère de la santé des projets de grande ampleur, tels que la modernisation du système d’information et de télécommunication des Samu-Centre 15, ou la réalisation du portail de signalement des événements sanitaires indésirables (https://signalement.social-sante.gouv.fr).

Des infrastructures d’échange et de partage pour une prise en charge coordonnée du patient tout au long de son parcours.

L’ASIP Santé a conçu avec les ordres de professionnels de santé le système de messageries sécurisées de santé qui permet à l’ensemble des utilisateurs de solutions MSSanté d’échanger des données de santé dans le respect des exigences juridiques.

Auparavant, elle avait mis au point le DMP, dossier médical partagé. Ce dispositif très innovant pour l’interopérabilité des logiciels et l’accès des patients à leurs données de santé est aujourd’hui reconnu, après moult remous suscités à sa conception, comme une composante essentielle de la prise en charge du patient tout au long de son parcours. Sa généralisation a été confiée à l’assurance-maladie par la loi du 26 janvier 2016.

Ces infrastructures d’échange et de partage de données de santé permettent de réunir autour du patient l’ensemble des données qui le concernent. Elles sont également des composantes indispensables au développement de la télémédecine.

Des systèmes interopérables et sécurisés et des investissements pérennes

La France se distingue par un cadre très protecteur des données personnelles de santé. Si ce cadre est souvent accusé d’être un frein pour les nouveaux services, il crée les conditions de la confiance dans la e-santé et d’un développement plus durable de la santé numérique. L’action de l’ASIP Santé a vocation à faciliter l’intégration de ce cadre dans l’offre de services :

- concertation avec les industriels pour l’élaboration d’un cadre d’interopérabilité et d’une politique générale de sécurité applicables à tous les systèmes ;

- réforme du processus d’agrément pour l’hébergement de données personnelles de santé afin de rendre le dispositif plus accessible pour les industriels et faciliter les mises sur le marché ;

- labellisation des solutions logicielles suivant des modalités visant à élever la qualité des offres, que ce soit à l’hôpital ou pour les maisons et centres de santé pluriprofessionnels...

Pour faire face aux menaces en matière de cyber sécurité dont l’actualité récente montre combien elles pèsent sur les établissements de santé, l’ASIP Santé est responsable de la mise en œuvre du dispositif de déclaration des incidents graves de sécurité des systèmes d’information prévu par la loi.

2. La santé publique

1. Les enjeux technologiques : interopérabilité et sécurité

Le défi : l’accélération des usages tout en créant les conditions de la confiance.

L’action de l’ASIP Santé se construit depuis l’origine sur une vision partagée et dans un dialogue constant avec l’ensemble des acteurs. Aujourd’hui, l’agence est en capacité d’apporter des réponses aux principaux enjeux auquel est confronté le système de santé.

MSSanté en Établissement

MSSanté dans les logiciels

MSSanté en région

Pour plus d’informations

Depuis 2014, l’ASIP Santé a mis en place une équipe de soutien au déploiement constituée d’une dizaine de personnes qui accompagnent quotidiennement les établissements dans leur projet MSSanté.Initialement concentré sur le palier technique, cet accompagnement porte aujourd’hui ses fruits puisque bientôt 1 000 établissements seront raccordés à l’espace de confi ance.Depuis avril 2017, l’ASIP Santé a fait évoluer son dispositif en le recentrant sur la mise en capacité fonctionnelle, l’organisation métier et l’articulation vers le bassin libéral, avec en ligne de mire une accélération forte des usages.

L’intégration de MSSanté dans les logiciels de professionnels de santé est l’un des facteurs importants d’appropriation de la messagerie sécurisée par les professionnels de santé libéraux.Les éditeurs de la FEIMA (Fédération des éditeurs d’informatique médicale et paramédicale ambulatoire), soutien du projet MSSanté depuis ses débuts, ont fait évoluer leurs offres pour permettre à leurs utilisateurs de lire et envoyer leurs mails MSSanté directement depuis leur logiciel de gestion de cabinet. Ces nouvelles fonctionnalités des outils « métier » permettront d’offrir aux professionnels non seulement un gain de temps signifi catif mais encore des services à valeur ajoutée qui faciliteront in fi ne leur exercice quotidien.Aujourd’hui, les logiciels intégrant MSSanté couvrent une grande partie du secteur : n 72 % des médecins généralistes et spécialisés ;n 73 % des infi rmiers ;n 78 % des pharmacies ;n 40 % des dentistes.

Depuis juin 2016, un dispositif régional copiloté par l’ASIP Santé et l’Assurance Maladie a été lancé afi n de converger vers un déploiement territorial renforcé en coordination avec l’ensemble des acteurs terrain : ARS, GCS, CPAM et URPS.Les objectifs sont les suivants :n Permettre aux différents acteurs d’avoir le même niveau d’information sur l’état du déploiement de

MSSanté ;n Renforcer l’accompagnement auprès des établissements en mettant l’accent sur les usages ;n Identifi er les projets portés par la région susceptibles d’utiliser une messagerie sécurisée ;n Coordonner les actions d’accompagnement et de promotion de MSSanté au niveau régional ;n Déployer MSSanté auprès de la médecine de ville et de l’ensemble des acteurs du secteur

ambulatoire, notamment grâce à l’appui des CPAM. Celles-ci s’appuient sur leurs relations privilégiées avec les professionnels de santé libéraux et leurs réseaux de conseillers informatiques service (CIS) habitués à accompagner les professionnels de santé libéraux dans la prise en main de leurs outils informatiques.

Site web de MSSanté : www.mssante.fr

Cadre juridique de l’échange des données personnelles de santé (article L.1110-4 du code de la santé publique).

Cadre juridique de l’hébergement des donnéees personnelles de santé (article L.1111-8 du code de la santé publique).

Décret n°2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel et modifi ant le code de la santé publique.

Article 25-2 de la loi Informatique et Libertés.

Instruction DGOS/PF5/2014/361 du 23 décembre 2014 relative à l’usage de la messagerie sécurisée MSSanté dans les établissements de santé.

Décret n°2016-46 du 26 janvier 2016 relatif à la biologie médicale au journal offi ciel du 28 janvier 2016.

Décret du 20 juillet 2016 relatif aux conditions d’échange et de partage entre professionnels de santé et autres professionnels des champs social et médico-social et à l’accès aux information de santé à caractère personnel.

Instruction DGOS/PF5/2017/11 du 11 janvier 2017 relative à l’appel à projets auprès des ARS pour l’usage de messageries sécurisées intégrées à l’espace de confi ance MSSanté dans la transmission électronique de la lettre de liaison et des résultats d’examen de biologie médicale.

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

MESSAGERIESSÉCURISÉES DE SANTÉ

MSSANTÉ

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

En ville ou à l’hôpital, au cabinet ou en déplacement, la messagerie que les professionnels de santé utilisent doit garantir un haut niveau de sécurité et d’interopérabilité. Son objectif doit être de faciliter la coordination des soins tout en protégeant la vie privée des patients ainsi que la responsabilité professionnelle des praticiens.

Pour apporter une réponse à ces enjeux, l’ASIP Santé a créé, au nom des pouvoirs publics et en concertation avec l’ensemble des Ordres professionnels et des industriels du secteur, le système de messagerie MSSanté.

MSSanté désigne un ensemble de messageries, réservées aux professionnels de santé et du secteur médico-social, développées par différents « opérateurs de messagerie » et intégrées à un « espace de confiance » promu par l’ASIP Santé, au sein duquel les mails peuvent être échangés en toute sécurité.

Les messageries sécurisées de santé doivent répondre aux critères suivants :

n Universalité : tous les professionnels habilités, quels que soient leurs modes d’exercice, doivent être en capacité de disposer d’un compte de messagerie sécurisée permettant d’échanger avec tous les professionnels habilités, quels que soient les outils utilisés ;

n Simplicité  : l’émission et la consultation des messages sécurisés ne modifient pas les pratiques habituelles des autres outils de messagerie, y compris en mobilité ;

n Sécurité : l’utilisation d’une messagerie sécurisée de santé doit assurer la confidentialité des données de santé à caractère personnel échangées ;

n Intérêt : l’utilisation d’une messagerie sécurisée doit créer de la valeur pour les professionnels de santé qui s’en servent.

Au 1er mai 2017 :n 1 826 établissements de santé inscrits dans la démarche d’accompagnement, dont 83% des grands

établissement et quasiment tous les CHU ;

n 874 établissements compatibles MSSanté ;

n 53 600 boîtes aux lettres MSSanté ouvertes ;

n 31 000 professionnels de santé libéraux disposent d’une boîte aux lettres MSSanté ;

n 350 000 messages échangés mensuellement dans l’espace de confiance.

Depuis son émergence, le numérique n’a de cesse de muter, de se perfectionner, de transformer les pratiques médicales. En leur cœur, MSSanté joue un rôle toujours croissant dans les échanges sécurisés entre professionnels de santé.

Souvenez-vous en 2015, les premiers établissements rejoignaient l’espace de confiance MSSanté. En 2016, c’était au tour des professionnels de santé libéraux de commencer à s’équiper. L’année 2017 marquera la généralisation de l’adoption des messageries sécurisées. Force est de constater que l’ensemble des acteurs sont aujourd’hui au rendez-vous de ce virage numérique : les ordres professionnels et les représentants pour sensibiliser les utilisateurs, les industriels pour faire évoluer leurs offres et intégrer la MSSanté dans les logiciels métiers, l’Assurance Maladie pour participer au déploiement de MSSanté sur le terrain en coordination avec les acteurs régionaux… Aujourd’hui, les usages se développent et le nombre de messages échangés dans l’espace de confiance est en croissance.

Demain, les messageries sécurisées seront plus intelligentes : MSSanté proposera l’intégration de données structurées, élargira les contenus échangés (lettre de liaison, compte-rendu de biologie), sera utilisée par les laboratoires et s’ouvrira progressivement au secteur social et médico-social…

MESSAGERIES DE SANTÉ SÉCURISÉES MSSANTÉ

Le système répondant à ces principes est dénommé « l’espace de confiance MSSanté ». Cet espace sécurisé comprend :

n Un annuaire national MSSanté s’appuyant sur le Répertoire Partagé des Professionnels de Santé (RPPS) et ayant vocation à référencer l’ensemble des professionnels de santé (au sens du code de la santé publique) libéraux, ainsi que des professionnels de santé exerçant au sein d’établissements de santé. Cet annuaire commun définit une communauté fermée d’utilisateurs clairement identifiés ;

n Une « liste blanche » des opérateurs dont les domaines de messagerie sont autorisés à échanger des données dans l’espace de confiance MSSanté. Cette liste blanche est gérée par l’ASIP Santé ;

n Un référentiel s’appuyant sur les standards de l’internet et de la messagerie permettant aux industriels de développer des

offres à la fois conformes à la loi, en sécurisant les accès à l’espace de confiance et l’ensemble des canaux d’échanges, et interopérables entre tous les opérateurs MSSanté ;

n Une architecture contractuelle souple et sécurisée : l’intégration à l’espace de confiance passe par un processus de contractualisation entre les opérateurs et l’ASIP Santé.

L’espace de confiance MSSanté

MSSanté en chiffres

Cartographie des établissements de santé inscrits MSSanté – Avril 2017

Cartographie du taux d’équipement des médecins libéraux – Avril 2017

Pour plus d’informations

Le CHU de Nice Le CHU Nice, opérateur MSSanté depuis mars 2017, n’émet pas encore en routine de comptes-rendus dématérialisés. Afi n de faciliter son passage vers l’usage, une intervention terrain a été réalisée fi n avril 2017. De manière similaire au CH d’Avignon, le CHU de Nice réfl échit à la mise en place d’un nouveau DPI. Dans ce contexte, il convenait de défi nir un dispositif transitoire permettant d’échanger de manière sécurisée avec son bassin de santé.

Deux services pilotes ont été choisis pour cette intervention : n Le service de gérontologie ; n Le service de médecine nucléaire.

Plusieurs ateliers de travail avec les acteurs des différents services (DSI, médecins chefs de service, secrétaire référente DPI, etc.) ont permis de dégager des circuits de validation viables. Ainsi, pour chaque application, il a été possible d’identifi er trois grandes voies d’action :n La mise à jour d’une base de données commune ; n L’interfaçage pour l’envoi de mail ;n Le paramétrage de l’envoi des mails via le canal MSSanté.

Par ailleurs, l’analyse fi ne de chaque catégorie de fl ux (entrant/sortant) a fait émerger une similarité de logiques de gestion des fl ux entrants pour l’ensemble des services. La logique des fl ux sortants est en revanche apparue propre à chaque service.

Grâce aux travaux sur deux services pilotes, une méthode de généralisation du dispositif MSSanté applicable à l’ensemble du CHU a été défi nie. Cette méthode se décline en 4 axes : n Entretien avec le trio de pôle de chaque service ;n Déploiement technique des BALs ;n Formation des utilisateurs (via un elearning) ;n Run test pour les utilisateurs du service.

Concernant la communication, l’intervention a permis de mettre en place :n Un macroplanning des actions de communication à effectuer (communication interne / communication

externe) ;n Les modalités opérationnelles d’une campagne de courrier papier (détermination des ciblages par service,

modifi cation du courrier d’envoi pour être au plus proche de la stratégie du CHU).

Ce macro-planning et ces modalités opérationnelles seront mises en place en concertation avec l’ensemble des acteurs de la coordination régionale (ARS, GIP ORU PACA, CPAM).

À l’instar du CH d’Avignon, une équipe dédiée de l’ASIP Santé reste à disposition des acteurs projet du CHU de Nice pour sécuriser la généralisation du déploiement.

Si cet accompagnement vous intéresse, n’hésitez plus et contactez-nous à l’adresse suivante : [email protected].

MSSANTÉ : QUEL ACCOMPAGNEMENT

POUR LES ÉTABLISSEMENTS DE SANTÉ EN 2017 ?

QUEL ACCOMPAGNEMENT POUR LES ÉTABLISSEMENTS

DE SANTÉ EN 2017 ?

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

Depuis 2015, l’ASIP Santé œuvre au déploiement des messageries sécurisées de santé et accompagne à ce titre les établissements de santé.

Vous êtes aujourd’hui nombreux à avoir rejoint l’espace de confiance MSSanté, vous permettant ainsi d’adresser vos comptes rendus à vos correspondants de ville de manière sécurisée et dématérialisée.

En 2017, après le palier du raccordement technique largement franchi en 2016, notre stratégie se caractérise par une approche renforcée sur le « métier » : en cible, l’amorce d’un virage vers un usage généralisé et intelligent des messageries sécurisées de santé…

À cette fin, l’ASIP Santé fait évoluer son accompagnement et vous propose de bénéficier d’une « intervention terrain », sur une durée d’un à trois jours en fonction des besoins de votre établissement. Cette intervention vise à mettre en place les pré-requis organisationnels indispensables au développement de l’usage de la messagerie sécurisée MSSanté dans votre établissement.

Ce dispositif s’articule selon quatre modules que vous pouvez sélectionner à la carte :

Organisationnel : deux modules de deux heures visant à définir un circuit de validation des comptes rendus (de la création à l’envoi) et à préparer la généralisation du déploiement fonctionnel.

Technique : un module d’une heure visant à sensibiliser l’établissement à l’envoi de données structurées et aux différentes évolutions du DSFT (authentification forte, PGSSI, etc.).

Conduite du changement : deux modules de deux heures visant à former les professionnels de santé et les secrétaires du service pilote à l’utilisation de la messagerie sécurisée de santé MSSanté.

Communication : trois modules d’une heure visant à cadrer la communication vers les PSL du bassin de santé (définir un plan de communication, planifier et lancer les campagnes de communication en coordination avec les acteurs régionaux : ARS, GCS, CPAM, etc.) et organiser la communication interne.

Un dispositif recentré sur l’usage en établissement

MSSANTÉ : QUEL ACCOMPAGNEMENT POUR LES

ÉTABLISSEMENTS DE SANTÉ EN 2017 ?

Le CH d’AvignonLe Centre Hospitalier d’Avignon est opérateur MSSanté depuis septembre 2016. Le passage vers l’usage de la messagerie et plus généralement vers la dématérialisation est un enjeu clé pour la direction du CH d’Avignon. L’action de l’ASIP Santé s’est inscrite dans le cadre du déploiement d’un nouveau DPI. Il convenait de mettre en place une solution transitoire d’envoi des comptes rendus via MSSanté avant que cette dernière fonctionnalité ne soit intégrée au module de bureautique du nouveau DPI. L’objectif de son intervention était double : créer de la valeur ajoutée pour les acteurs de la production du CR et s’inscrire de manière cohérente dans le cadre du déploiement du nouveau DPI.

Deux services pilotes ont été choisis pour cette intervention : n Le service de néphrologie,n Le service d’oncohématologie.A l’aide de tous les acteurs rencontrés (équipe technique, coordinatrice des secrétariats, attaché d’administration hospitalière, médecin DIM, secrétaire référente DPI, chef de projet DPI, etc.) et sous l’impulsion de la DSI, l’intervention terrain a dégagé une solution technique et fonctionnelle pour faire entrer le CH d’Avignon dans un circuit dématérialisé.

Les différents ateliers ont permis de mettre en évidence un circuit de validation des CR dématérialisé et viable. Quatre grandes thématiques ont notamment été traitées à savoir : n La validation dématérialisée des CR dans l’outil ;n L’accès par les professionnels de santé de l’établissement aux CR à valider ; n La mise à jour de la base de données dans le DPI ;n L’envoi automatique par mail une fois le CR validé.

Pour chacune de ces thématiques, une solution ou des préconisations ont été formulées. Par ailleurs, des actions de conduite du changement auprès des médecins ont été définies. Ces actions s’articulent autour de trois grands axes : n L’information (réunion de lancement par service, outils de communication interne, etc.) ; n La formation (des secrétaires et des médecins) ;n Le support de l’équipe informatique (désignation d’un référent unique en cas de dysfonctionnement).

Les bénéfices attendus de la solution transitoire ont été jugés comparables à ceux de la solution cible (délai quasi nul de transmission, recentrer en cible l’activité des secrétaires, réduction en cible des coûts d’impression).Enfin, sur le plan de la communication vers les correspondants de ville, une mise en relation avec les acteurs de la coordination régionale (ARS, GIP ORU PACA et CPAM) a été réalisée afin d’établir un plan d’action précis.

La parole à M. Menard, DSI du CH d’AvignonL’intervention a été une réussite et a été « très utile » dans la mesure où elle a permis de « rappeler les fondamentaux de MSSanté », « travailler non seulement sur les axes organisationnels, mais aussi très techniques », « proposer plusieurs scénarios dont un a été collégialement retenu ».L’intervention nous a permis de « gagner du temps », « passer à la MSSanté plus tôt que prévu ».

La parole aux établissements

Services d’annuaires

En pratique

Pour toute demande d’accompagnement à l’usage des services d’annuaire

Pour toute demande de support certifi cat

Les organismes qui souhaitent utiliser les données étendues du RPPS et les récupérer au moyen des webservices doivent :

Remplir la fi che de demande d’accès téléchargeable sur :

■ esante.gouv.fr/services/referentiels/identifi cation/demande-d-acces-au-rpps

Disposer d’un certifi cat de l’IGC Santé délivré par l’ASIP Santé :

■ En cas de besoin, remplir le formulaire n°413 (demande de certifi cat) NB : l’organisme utilisateur doit avoir conclu un contrat de demande de produits de certifi cation avec l’ASIP Santé. Le cas échéant, en faire la demande.Plus d’information : http://esante.gouv.fr/services/espace-cps

Les éditeurs de logiciels qui équipent les utilisateurs et réalisent les interfaces doivent :

Prendre connaissance des spécifi cations des interfaces d’accès aux données du RPPS :

■ téléchargeables sur : esante.gouv.fr/services/referentiels/identifi cation/les-web-services-annuairesantefr

Prendre connaissance du Modèle des Objets de Santé et des nomenclatures associées :

■ téléchargeables sur : esante.gouv.fr/services/referentiels/mos/modele-des-objets-de-sante-mos-et-nomenclatures-associees-0

Les services d’annuaires proposés par l’ASIP Santé sont destinés aux acteurs de santé et médico-sociaux pour favoriser la fi abilisation de leurs annuaires et l’échange de données de santé. Accessibles via le site annuaire.sante.fr et via les interfaces « machine à machine » (webservices), ils évoluent vers un service homogène et cohérent regroupant à la fois :■ Les données des professionnels enregistrées dans le RPPS, les données des professionnels enregistrés

dans le répertoire ADELI (en attendant qu’elles puissent être intégrées dans le RPPS) ;■ Les informations complémentaires telles que l’adresse de messagerie sécurisée MSSanté et les

données cartes.

[email protected]

monserviceclient.certifi [email protected]

SERVICES D’ANNUAIRESAccéder aux données du RPPSSERVICES D’ANNUAIRESAccéder aux données du RPPS

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

L’arrêté du 6 février 2009 portant la création du RPPS, modifié en dernier lieu par l’arrêté du 18 avril 2017, définit les finalités du RPPS, notamment : ■ Identifier les professionnels intervenant dans le domaine de la santé en exercice, ayant exercé ou

susceptibles d’exercer ;■ Suivre l’exercice de ces professionnels et connaitre le niveau d’études des internes et étudiants ;■ Contribuer aux procédures de délivrance et de mise à jour des produits de certification ;■ Permettre la réalisation d’études et la production de statistiques relatives aux professionnels répertoriés. Le RPPS est le répertoire unique de référence permettant d’identifier les professionnels intervenant dans le système de santé, avec un identifiant national, le numéro RPPS, attribué à vie.À ce jour, le RPPS intègre les données d’identification des médecins, chirurgiens-dentistes, sages-femmes, pharmaciens et masseurs-kinésithérapeutes (et prochainement des pédicures-podologues).Ces données sont fournies et certifiées par les ordres professionnels pour les civils, et par le service de santé des armées pour les militaires.Le RPPS a vocation à recueillir les données d’identification de l’ensemble des professionnels intervenant dans le système de santé (infirmiers, etc) bénéficiant d’une autorité d’enregistrement (ordre professionnel, service de santé des armées, ARS).

D’autres données du RPPS (dites « données étendues ») sont accessibles en accès restreint, pour les utilisateurs autorisés conformément à l’article 7 de l’arrêté du 6 février 2009 modifié, afin de leur permettre de mener leurs missions ou de répondre à des besoins techniques.

Quelques exemples : ■ Un établissement de santé peut accéder en détail aux données des professionnels de santé qu’il emploie :

situations d’exercice actuelles, dossier professionnel (inscription à l’ordre, identifiant de carte CPS, diplômes et titres), données d’état-civil, coordonnées de correspondance.

■ Les GCS e-santé peuvent accéder aux mêmes données que les établissements de santé mais sur l’ensemble des professionnels de santé du RPPS.

L’autorisation d’accès est donnée par l’ASIP Santé après instruction de la demande, selon les modalités décrites sur le site esante.gouv.fr (esante.gouv.fr/services/referentiels/identification/demande-d-acces-au-rpps).Les conditions d’utilisation des données du RPPS et les responsabilités afférentes aux utilisateurs sont décrites dans la charte d’utilisation des données contenues dans le RPPS. Les utilisateurs sont des « responsables de traitement » au sens de la Loi Informatique et Libertés à l’égard des données transmises. Chacun est responsable pénalement de toute utilisation frauduleuse qui pourrait être commise à l’égard des données ainsi transmises.

Certaines données du RPPS sont disponibles en libre accès telles que :■ Le numéro RPPS ;■ Les noms et prénoms d’exercice ; ■ La profession exercée ;■ La spécialité ;■ L’adresse de(s) structure(s) d’exercice du professionnel.

De nouvelles données seront prochainement ajoutées telles que la civilité, le mode d’exercice, les diplômes et savoir-faire, dans la continuité de la publication de l’arrêté RPPS du 18 avril 2017.

Les données en libre accès répondent à la majorité des besoins des acteurs de santé qui les utilisent pour vérifier l’identité et la compétence d’un professionnel et ainsi sécuriser le partage et l’échange de données de santé, dans le respect du référentiel d’identification des acteurs de santé de la PGSSI-S.

Les données du RPPS librement accessibles au public peuvent être consultées et téléchargées sur le portail https://annuaire.sante.fr ou par webservices.

L’accès aux données étendues du RPPS est sécurisé au moyen d’un produit d’authentification fourni par l’ASIP Santé (cartes, certificats). Il est possible de télécharger ces données sur le portail suscité ou au moyen d’interfaces de type webservice.

Les fichiers mis à disposition pour téléchargement au format .csv sont actualisés quotidiennement. Ils permettent :■ La récupération automatique et quotidienne de l’ensemble des données, selon le périmètre accessible

par l’organisme demandeur,■ L’importation et la consultation dans un outil ou SI tiers.Les données transmises couvrent l’ensemble de la base RPPS. L’extraction fournit l’ensemble du stock des identités quotidiennement (l’ASIP Santé ne fournit pas de fichier de mise à jour par différentiel).Ce service a remplacé les mises à disposition de fichiers réalisées précédemment par clé USB ou FTP.

L’interface webservice est standardisée et sécurisée :■ Adossement au Modèle des Objets de Santé (MOS) et aux nomenclatures associées, gérés par l’ASIP Santé ;■ Confidentialité assurée par la mise en œuvre de moyens d’authentification forte (certificats serveurs).

Le Répertoire Partagé des Professionnels intervenant dans le système de Santé (RPPS)

Droits d’accès aux données contenues dans le RPPS

Modalités d’accès aux données du RPPS

ServiceS d’annuaireSaccéder aux données du rPPS

Mieux connaître vos usages,besoins et perspectives

Modèle d’identifi cation des professionnelsdu secteur santé

Pour plus d’informations

Dans le contexte de convergence des SI des GHT et de développement de la e-santé : comment concilier la facilité d’accès aux applications pour les professionnels, le respect des exigences de sécurité de la PGSSI-S, et la maitrise des coûts de déploiement et de maintenance ?

L’ASIP Santé a mené une étude sur les usages et besoins d’identifi cation et d’authentifi cation des professionnels en établissement de santé, en centrant plus particulièrement l’analyse sur les établissements publics dans le cadre de la mise en place des GHT.

Le rapport d’étude, qui présente une synthèse des constats et énonce une série de recommandations est publié et ouvert à commentaires.

Publication dans : esante.gouv.fr/services

En complément des travaux menés sur le référentiel d’identifi cation des acteurs dans le cadre de la PGSSI-S, l’ASIP Santé a publié des recommandations relatives aux principes d’identifi cation des professionnels au sein des structures de santé, au-delà des seuls acteurs concernés par l’accès aux données de santé. Le document s’inscrit dans le corpus documentaire du cadre d’urbanisation sectoriel publié par l’ASIP Santé.

Publication dans : esante.gouv.fr/services

Publication : esante.gouv.fr

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

ÉTABLISSEMENTS DE SANTÉ : FACILITER L’ACCÈS DE VOS

PROFESSIONNELS AUX APPLICATIONS DE SANTÉ

EN TOUTE CONFIANCE

FACILITER L’ACCÈS DE VOS PROFESSIONNELS AUX

APPLICATIONS DE SANTÉEN TOUTE CONFIANCE

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

Cartes CPS La carte CPS est délivrée gratuitement par l’ASIP Santé. Plus d’un million de cartes de la famille CPS sont aujourd’hui en circulation. Intégrant nativement l’identifi cation nationale du professionnel de santé et contenant des certifi cats d’authentifi cation et de signature, elle permet une authentifi cation directe du professionnel de santé auprès des applications métiers de l’établissement et des téléservices régionaux et nationaux. Sa fonctionnalité « sans contact » facilite son usage en situation

de mobilité du professionnel, avec des terminaux partagés. La CPS est un titre fondateur permettant la mise en place de dispositifs d’authentifi cation alternatifs (ex : enrôlement d’un terminal de type smartphone ou tablette par carte CPS).

Plus de 60 établissements ont généralisé l’utilisation des cartes de la famille CPS, à la fois pour sécuriser l’accès aux systèmes d’information, mais également pour sécuriser les accès physiques (locaux, parking…) et parfois la personnalisent avec la photo du porteur.

Votre établissement ou votre GHT prévoit un déploiement généralisé de cartes de la famille CPS ?

N’hésitez pas à le signaler à l’ASIP Santé qui peut vous accompagner dans l’optimisation de la commande et la distribution de cartes CPx, la gestion du parc de cartes, la mise en œuvre technique du projet, et le partage d’expérience entre établissements.

Contact : [email protected]

Le développement des Systèmes d’Information de Santé (SIS) et de leurs usages est un levier essentiel pour la transformation du système de santé, en particulier pour l’amélioration de la coordination des soins et la mise en œuvre de véritables parcours de santé au bénéfice des patients.

Dans ce contexte, les professionnels exerçant dans les établissements utilisent de plus en plus des applications de santé hébergées :

■ Dans le système d’information de l’établissement (SIH), en appui aux processus de soin ;

■ Dans les téléservices nationaux et régionaux, non seulement pour partager et échanger des données de santé (DMP, DP, PACS régionaux pour l’imagerie médicale, etc), mais aussi pour de nombreux autres usages en voie de généralisation (déclaration en ligne des décès et des maladies à déclaration obligatoire, orientation des patients, etc).

Les SIS étant de plus en plus ouverts et communicants, la protection des données de santé à caractère personnel qu’ils contiennent constitue plus que jamais un enjeu majeur de la politique publique de santé numérique.

La déontologie des professionnels de santé est la première mesure de protection des données de santé.

Au-delà, des mesures organisationnelles et techniques doivent être mises en place au sein des établissements pour veiller à la sécurité des données de santé traitée dans le cadre des activités de soins.

La réalisation d’une analyse des risques en matière de sécurité du SI est obligatoire avant toute mise en œuvre d’un système d’information de santé. Elle est effectuée par le responsable de traitement de l’établissement pour les applications locales, et par les responsables de traitement des téléservices nationaux et régionaux.

Les modalités d’identification et d’authentification des professionnels auprès des applications de santé tiennent compte :

■ Des référentiels publiés dans la politique générale de sécurité des systèmes d’information (PGSSI-S) ;

■ Des infrastructures et outils disponibles permettant leur mise en œuvre, tels que :

- la récupération des identifiants nationaux des professionnels de santé via les services de publication du RPPS/annuaire.sante.fr ;

- les possibilités de mise en œuvre de dispositifs d’authenfication adossés à la carte CPS et aux certificats logiciels IGC santé.

Usage croissant des applications de santé

Protéger les données de santé

La politique générale de sécurité des systèmes d’information en santé (PGSSI-S) est constituée de référentiels, bientôt opposables, dont le référentiel d’authentification des acteurs de santé publié en 2014 et en cours de révision afin de mieux faire ressortir les paliers d’authentification minimum requis selon :

■ Le niveau d’exposition des données de l’application, en tenant compte des critères suivants :

- caractéristique du réseau sur lequel est déployée l’application (réseau public ? réseau interne non cloisonné ?) ;

- caractéristique de la zone physique dans laquelle se situe le terminal d’accès (zone physique ouverte au public sans contrôle d’accès ?) ;

- caractéristique du terminal dédié ou mutualisé entre plusieurs utilisateurs.

■ Les liens contractuels entre le responsable de traitement et l’utilisateur bénéficiant du dispositif d’authentification.

Le référentiel conserve la distinction entre l’authentification privée et l’authentification publique du professionnel, ainsi que la dissociation entre l’authentification directe du professionnel à une application et l’authentification (indirecte ou déléguée) via une personne morale.

Le niveau de confiance des différents dispositifs d’authentification susceptibles d’être mis en œuvre reste précisé selon des paliers :

■ Le palier minimum (palier 1) est une authentification simple qui repose sur un seul facteur (par exemple un utilisateur qui indique son mot de passe). Ce palier ne s’applique que dans un contexte d’authentification privée.

■ Le palier cible (palier 3) comprend des dispositifs d’authentification forte, combinant plusieurs facteurs différents. On y trouve par exemple la carte CPS qui permet de combiner « la carte à puce » détenue par le porteur (« ce qu’il possède ») et le code associé (« ce qu’il sait »).

Dans le respect des référentiels de la Pgssi-s

Établissements de santÉ : Faciliter l’accès de vos proFessionnels aux

applications de santÉ en toute conFiance

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

LE CADRE COMMUNDES PROJETS E-SANTÉ POUR

UNE E-SANTÉ URBANISÉE

La stratégie nationale de santé présentée par la Ministre de la Santé et des Affaires Sociales en septembre 2013 vise à organiser les soins du patient dans le cadre d’une médecine de parcours reposant sur une coopération de l’ensemble des professionnels. Elle identifie le numérique comme un facteur clé de soutien à la mise en place de ces parcours, et plus largement, à l’amélioration de la qualité et de la sécurité des soins et à la modernisation des pratiques. Le cadre commun des projets e-santé - aussi appelé cadre d’urbanisation des projets de e-santé - a été construit avec tous les acteurs concernés. Il a pour objectif de garantir la cohérence et l’efficience des actions régionales de promotion et d’usage de services numériques.

Il précise :n Les référentiels qui s’appliquent à tous les projets de e-santé ;n Le socle commun minimum de services à proposer dans les territoires ;n Les principes de conduite de projets devant s’appliquer aux projets de e-santé.Publié en mai 2016, il s’impose dans les territoires sous le pilotage des agences régionales de santé (ARS).

La première version du socle commun impose la mise en œuvre dans tous les territoires des services numériques suivants :

Pour le partage de données de santé :n le dossier médical partagé (DMP) ;n un dossier communiquant en cancérologie (DCC) ;n les solutions de partage d’images médicales (PACS).Pour l’échange sécurisé de données de santé :n le service de messageries sécurisées de santé (MSSanté).Pour la présentation de l’offre de soins d’un territoire et l’orientation des patients :n un répertoire opérationnel des ressources (ROR) ;n un service d’orientation et d’aide au placement des patients et usagers.Pour la prise en charge à distance et coordonnée du patient :n des services de télémédecine.D’autres services viendront enrichir ce socle commun dans ses versions suivantes. D’ores et déjà certaines régions proposent des services complémentaires au socle commun.

Un cadre pour garantir à tous les professionnels un socle commun minimum de services numériques en santé sur leur territoire.

L’ensemble des régions françaises

LE CADRE COMMUN DES PROJETS E-SANTÉ

POUR UNE E-SANTÉ URBANISÉE

Pour plus d’informationsCirculaire : rohlim.fr/sites/default/files/files/DCC/Esante%20-%20AG%202016-06-28%20pj3%20instruction%20cadre%20commun.pdf

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

INTÉGRER LE SYSTÈME D’INFORMATION DE SON ÉTABLISSEMENT DANS

L’ESPACE E-SANTÉ

FICHES REPÈRESVERSION 1.0 - AVRIL 2017

Ce livret recense les thématiques sur lesquelles l’ASIP Santé peut appuyer les acteurs des établissements de santé et en particulier des Groupements Hospitaliers de Territoire (GHT) lors de la construction, puis de la mise en œuvre de leur schéma directeur du système d’information (SI).

Il s’adresse aux équipes des établissements de santé, aux Assistances à Maîtrise d’OuvrAge (AMOA) qui les aident à formaliser leur schéma directeur et aux Maîtrises D’œuvre (MOE, éditeurs ou intégrateurs) qui les accompagnent dans la mise en œuvre.

Il a pour objectif de répondre, sous forme de fiches repères synthétiques, aux questions-clés qui se poseront lors de la mise en œuvre du schéma directeur SI de l’établissement ou du GHT, sur les domaines d’expertise de l’ASIP Santé.

n Comment identifier les patients pris en charge par l’établissement et leurs partenaires ?

n Comment identifier les professionnels de santé intervenant en interne ou exerçant en dehors, en interaction avec l’établissement ?

n Comment sécuriser l’accès au système d’information de l’établissement ?

n Comment sécuriser l’hébergement des données de santé de l’établissement ?

n Comment favoriser l’interopérabilité entre les applications locales et les applications régionales et nationales de e-santé ?

n Quels outils utiliser pour échanger et partager les informations de santé avec l’ensemble des acteurs de santé participant à la prise en charge du patient dans le cadre de son parcours de soins ?

Le développement des parcours et des filières de soins implique la multiplication des échanges entre professionnels de santé et le partage croissant des données de santé.

Le développement du numérique en santé et les évolutions réglementaires (sur la notion d’équipe de soins notamment) facilitent le partage et l’échange d’informations entre les établissements de santé, les professionnels en ville et les secteurs médico-social et social.

Le schéma directeur SI doit ainsi prendre en compte deux composantes d’urbanisation :

n L’urbanisation intra-établissement, qui correspond, dans le cas particulier des GHT, à la trajectoire de convergence des SI GHT.

n L’urbanisation extra-établissement, qui correspond à l’articulation du SI de l’établissement (ou du GHT à terme) avec l’espace de la e-santé.

OBJECTIFS DE CE LIVRET

CONSTRUIRE UN SCHÉMA DIRECTEUR URBANISÉ DANS L’ECOSYSTEME E-SANTÉ

L’ASIP Santé, agence publique d’Etat composée de 130 collaborateurs, est chargée de favoriser le développement des systèmes d’information partagés et des technologies numériques dans les domaines de la santé et du secteur médico-social, afin de concourir au renforcement de l’efficacité des politiques de santé et à l’amélioration de la qualité, de la coordination et de l’efficience des soins.

Partie 1 - Les référentiels : n Fiche R1 : Identifier le patient avec son identifiant national

n Fiche R2 : Construire les annuaires internes et de correspondants en s’appuyant sur les référentiels nationaux

n Fiche R3 : Sécuriser l’accès aux applications de santé en authentifiant les professionnels

n Fiche R4 : Sécuriser le système d’information selon les normes en vigueur

n Fiche R5 : Héberger les données de santé à caractère personnel dans des conditions sécurisées et en conformité avec la réglementation

n Fiche R6 : Favoriser l’interopérabilité des différents systèmes d’information

n Fiche R7 : Partager et échanger les données de santé

n Fiche R8 : Accéder à l’offre de soins via le ROR pour orienter le patient

Partie 2 - Les services : n Fiche S1 : S’ouvrir sur les SI de santé externes

n Fiche S2 : S’intégrer dans le cadre commun des projets e-santé de sa région

n Fiche S3 : Partager les informations de santé utiles à la coordination des soins via le DMP

n Fiche S4 : Echanger les données de santé avec ses correspondants via MSSanté

n Fiche S5 : Utiliser la certification Qualité Hôpital Numérique

n Fiche S6 : Simplifier la chaîne accueil – facturation – recouvrement en automatisant et dématérialisant les démarches administratives

Ce livret rassemble les fiches repères en deux parties.

SOMMAIRE

OBJECTIFS DE CE LIVRET

CONSTRUIRE UN SCHÉMA DIRECTEUR URBANISÉ DANS L’ECOSYSTEME E-SANTÉ

IDENTIFIER LE PATIENT AVEC SON IDENTIFIANT NATIONAL

L’identification fiable des patients et des données les concernant est indispensable à la qualité de la prise en charge et à la sécurité des soins. En effet, des erreurs d’identification (doublons, collisions, documents mal attribués) peuvent avoir des conséquences graves dans la prise en charge du patient.

En conséquence, l’identifiant utilisé pour les patients en tant que porteurs de données de santé à caractère personnel doit être unique, univoque, pérenne et reconnu par tous les acteurs de santé.

La loi de modernisation de notre système de santé du 26 janvier 2016 consacre le NIR (Numéro d’Inscription au Répertoire national d’identification des personnes physiques) comme Identifiant National de Santé (INS). Le décret 2017-412 du 28 mars 2017 précise les modalités d’application.

Le NIR pourra être utilisé comme INS à compter de la publication du référentiel d’identification des usagers du secteur santé, médico-social et social, prévu avant le 31 mars 2018. Jusqu’alors, l’identifiant utilisé reste l’INS-C (l’Identifiant National de Santé Calculé à partir des traits contenus dans la carte vitale du patient), créé pour le Dossier Médical Partagé (DMP).

Le recours au NIR pour référencer les données de santé sera une obligation pour les acteurs qui concourent à la prise en charge sanitaire ou au suivi social et médico-social des personnes, à compter du 1er janvier 2020.

Une identification commune du patient pour faciliter sa prise en charge

L’identifiant national NIR permet cette identification unique, univoque et pérenne du patient

Toute personne assurée sociale est inscrite dans le Répertoire National d’Identification des Personnes Physiques (RNIPP) et dispose donc d’un NIR.

Le NIR est formé de 13 caractères : le sexe (1 chiffre), l’année de naissance (2 chiffres), le mois de naissance (2 chiffres) et le lieu de naissance (5 caractères). Les 3 chiffres suivants correspondent à un numéro d’ordre qui permet de distinguer les personnes nées au même lieu à la même période ; une clé de contrôle à 2 chiffres complète le NIR.

Le NIR est communément appelé « numéro de sécurité sociale ».

Cet identifiant doit être utilisé par l’ensemble des professionnels exerçant dans les établissements et les GHT ainsi que par les professionnels de santé extérieurs, quel que soit leur mode d’exercice (autres établissements, médecine de ville…), pour les patients qu’ils prennent en charge.

Les modalités de déploiement du NIR dans les systèmes d’information de santé sont à l’étude. Une étude, élaborée par l’ASIP Santé en complément du référentiel d’identification des usagers du secteur santé, médico-social et social, doit permettre de préciser ces modalités.

La solution privilégiée est l’ajout de deux champs complémentaires dans les systèmes d’information, permettant d’adjoindre à l’identifiant local (IPP dans les établissements de santé) l’identifiant national (le NIR accompagné de l’identifiant unique de l’autorité d’affectation du NIR).

FR R1

Le NIR est d’ores et déjà disponible sur l’attestation de droits à l’assurance maladie du patient, pour les 66 millions de bénéficiaires de l’Assurance Maladie.

Le NIR est disponible dans la carte vitale du patient à partir du moment où le patient est l’ouvrant-droit (il s’agit de la majorité des cas soit 51 millions de personnes représentant 77% de la population).

Le NIR pourra être récupéré par le biais de téléservices de l’Assurance-Maladie, mis en œuvre au plus tard à partir du 31/12/2018, dans les cas où le NIR n’est pas disponible dans la carte vitale (il s’agit des ayants-droit du régime général, essentiellement les patients mineurs, inscrits dans la(les) carte(s) de leurs parents ou les adultes rattachés à un ouvrant-droit ).

Une minorité de patients n’auront jamais de NIR : il s’agit en particulier des patients étrangers de passage (touristes). Une règle d’identification de ces patients sera proposée dans le référentiel « identification des usagers» de la PGSSI-S.

Dans la majorité des cas (quand le patient correspond à l’assuré), le NIR est d’ores et déjà une donnée collectée par les équipes administratives des établissements de santé, généralement lors de l’accueil du patient, à des fins de facturation. Cette donnée existe donc déjà dans les applications de Gestion Administrative du Patient (GAP) pour un certain nombre de patients.

Comment récuperer le NIR ?

L’identito-vigilance dans les établissements de santé.

Les téléservices de l’Assurance-Maladie per-mettront de collecter les traits d’identités du patient, tels qu’ils sont enregistrés dans l’état civil. Ces téléservices permettront donc de fiabiliser et d’harmoniser la gestion des traits d’identité du patient au sein des SI (nom et prénoms de naissance par exemple).

Le NIR peut ainsi servir de trait d’identité et, à ce titre, faciliter le rapprochement entre les identifiants locaux des établissements, en particulier, lors de la mise en place d’une base patients commune dans le cadre des GHT.

Ce NIR sert également lors de l’appel des services nationaux comme le Dossier Médical Partagé (DMP) ou le Dossier Pharmaceutique (DP).

Pour plus d’informationsesante.gouv.fr/services

CONSTRUIRE LES ANNUAIRES INTERNESET DE CORRESPONDANTS EN S’APPUYANT SUR

LES RÉFÉRENTIELS NATIONAUX

Chaque établissement a besoin d’identifi er :

n L’ensemble des professionnels qui travaillent au sein d’un établissement pour les rémunérer et faciliter l’attribution des droits d’accès physiques (parking, locaux,…) et logiques (accès au SI) ;

n Les acteurs de santé correspondants de l’établissement pour permettre le partage et l’échange d’informations utiles à la coordination et à la continuité des soins.

La mise en place d’une gestion commune des données d’identifi cation constitue la ressource clé du système d’information pour l’ensemble des processus de gestion des identités, des habilitations et des échanges.

Les enjeux sont multiples, car il faut pouvoir :

n Avoir confi ance dans l’exactitude des données d’identité ;

n Minimiser les charges de peuplement et de maintenance de l’annuaire ;

n Fédérer l’ensemble des applications.

Ces données couvrent l’ensemble des professionnels de santé :

n Médecins, sages-femmes, pharmaciens, chirurgiens-dentistes et masseurs-kinésithérapeutes, enregistrés dans le RPPS.

n Les autres professions de santé (infi rmiers…), enregistrées dans le référentiel Adeli (dans l’attente que ces professions soient intégrées dans le RPPS).

Elles sont opposables car enregistrées et certifi ées par les autorités concernées (DRESS pour Adeli, Ordres, Service Santé des Armées et INSEE pour le RPPS). Elles tiennent lieu de pièces justifi catives.

L’ASIP Santé met en œuvre une plateforme de publication des données d’identifi cation des professionnels de santé contenues dans les référentiels nationaux RPPS et Adeli : annuaire.sante.fr.

Dès à présent, tout établissement peut récupérer ces données pour alimenter quotidiennement ses annuaires, pour gérer l’identifi cation de ses professionnels de santé ou pour faciliter la correspondance avec l’extérieur.

Identifi er les professionnels de santé intervenanten interne et en dehors, via un annuaire convergent

Comment fi abiliser les données d’identifi cation en les synchronisant aux référentiels nationaux ?

Les données d’identifi cation portent principalement sur l’identité du professionnel, ses données professionnelles (diplôme, profession, spécialité), ses coordonnées de correspondance (postale et messagerie sécurisée), son lieu d’exercice.

Consolider les annuaires existants : aide au rapprochement des identités.

L’ASIP Santé met à disposition des établissements un outillage et une méthodologie pour réaliser le rapprochement de l’annuaire local aux référentiels nationaux.

Cet accompagnement permet notamment, dans le cadre des GHT, de faciliter le peuplement initial de l’annuaire, en confiant à l’ASIP Santé les tâches de rapprochement. Le GHT dispose ainsi rapidement d’un annuaire consolidé, basé sur l’identifiant national RPPS/Adeli, dont les mises à jour sont facilement automatisables.

L’ASIP Santé accompagne les établissements et les GHT

Cette démarche de rapprochement a été engagée en 2016 avec une trentaine d’établissements pour mettre à jour les données des prescripteurs dans le RPPS dans le cadre du suivi des prescriptions exécutées en ville.

Ce modèle n’impose pas d’identifiant unique mais souligne l’importance de pouvoir maintenir dans le temps les liens entre les identifiants internes au système d’information et l’identifiant national du professionnel.

Mettre en place la synchronisation : automatiser les mises-à-jour.

La mise à jour des données d’annuaire de l’établissement est automatisable. L’ASIP Santé assiste à trois niveaux les acteurs souhaitant mettre en place les interfaces annuaire.sante.fr :

n Mise à disposition de la documentation des interfaces ;

n Accompagnement à la mise en œuvre technique ;

n Assistance aux porteurs de projets dans l’utilisation des données.

Identifier l’ensemble des professionnels de l’établissement : recommandations contenues dans le modèle d’identification des acteurs du secteur santé.

Au-delà des règles définies dans le référentiel d’identification des acteurs sanitaires et médico-sociaux de la PGSSI-S, l’ASIP Santé publie un socle commun de bonnes pratiques et de règles homogènes facilitant la mise en œuvre d’un annuaire des professionnels.

FR R2

Pour plus d’informationsesante.gouv.fr/services

L’utilisation des données des référentiels nationaux permet de :

n Disposer de l’identifiant national des professionnels ;

n Vérifier l’identité et les compétences des professionnels sans requérir de justificatifs ;

n Réduire les charges de collectes et de mises à jour des données dans l’annuaire interne.

SÉCURISER L’ACCÈS AUX APPLICATIONS DE SANTÉ EN AUTHENTIFIANT

LES PROFESSIONNELS

Le Référentiel Général de Sécurité (RGS) définit l’authentification dans les termes suivants : « L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine (s’identifier consiste à communiquer une identité préalablement enregistrée, s’authentifier consiste à apporter la preuve de cette identité). »

L’authentification permet donc de sécuriser l’accès aux systèmes d’information utilisés par les professionnels, et tout particulièrement l’accès aux données sensibles telles que les informations de santé concernant le patient :

n En accordant un accès aux systèmes aux seules personnes autorisées ;

n En différenciant les possibilités d’accès aux services et aux données de santé en fonction des droits attachés à l’identité des utilisateurs ;

n En permettant d’imputer les actions à leur auteur.

Dans le cadre des établissements, il s’agit à la fois :

n De sécuriser, pour les professionnels travaillant dans les établissements, l’accès aux applications métiers des établissements (et au futur SI convergent dans le cas des GHT) ainsi que l’accès aux SI externes (DMP, plateforme de télémédecine…) que les professionnels sont amenés à utiliser de plus en plus ;

n De sécuriser, pour les professionnels de santé hors de l’établissement (médecine de ville, professionnel accédant depuis son domicile…), l’accès au SI ;

n De sécuriser l’accès des fournisseurs accédant au SI et donc aux données de santé (télémaintenance des équipements biomédicaux…).

La politique générale de sécurité des systèmes d’information en santé (PGSSI-S) publie le référentiel d’authentification des acteurs de santé des domaines sanitaire, médico-social et social. Ce référentiel, bientôt opposable, guide les acteurs de santé dans le choix des dispositifs d’authentification à mettre en œuvre pour la protection des données de santé des patients.

Une révision du référentiel d’authentification de 2014 est en cours, afin de mieux faire ressortir les paliers d’authentification minimum requis selon :

n Le niveau d’exposition des données de l’application, en tenant compte des critères suivants :

- caractéristique du réseau sur lequel est déployée l’application (réseau public ? réseau interne non cloisonné ?) ;

- caractéristique de la zone physique dans laquelle se situe le terminal d’accès (zone physique ouverte au public sans contrôle d’accès ?) ;

- caractéristique du terminal dédié ou mutualisé entre plusieurs utilisateurs.

n Les liens contractuels entre le responsable de traitement et l’utilisateur bénéficiant du dispositif d’authentification.

Le référentiel conserve la distinction entre l’authentification privée et l’authentification publique du professionnel, ainsi que la dissociation entre l’authentification directe du professionnel à une application

Authentifier le professionnel qui accède aux SI de santé

Dans le respect du référentiel d’authentification de la pgssi-s

FR R3

La réalisation d’une analyse des risques en matière de sécurité du SI est obligatoire avant toute mise en œuvre d’un système d’information de santé.

Elle est effectuée par le responsable de traitement de l’établissement pour les applications locales ou par le(s) responsable(s) de traitement du (des) SI convergent(s) du GHT pour les applications du GHT, et par les responsables de traitement des téléservices nationaux et régionaux.

Elle facilite l’identification du palier minimum à mettre en œuvre pour sécuriser l’accès à l’application tel que décrit dans le référentiel d’authentification de la PGSSI-S, puis le choix des dispositifs d’authentification respectant ces exigences de sécurité et tenant compte des usages et de l’existant.

Dans le cas particulier du GHT, le choix du mode d’authentification est complexifié par le fait que le GHT n’est pas une personne morale.

Comment mettre en œuvre un dispositif d’authentification adapté ?

et l’authentification indirecte (ou déléguée) via une personne morale.

Le niveau de confiance des différents dispositifs d’authentification susceptibles d’être mis en œuvre reste précisé selon trois paliers.

n Le palier 1 (minimum) est une authentification simple qui repose sur un seul facteur (par exemple un utilisateur qui indique son mot de passe). Ce palier ne s’applique que dans un contexte d’authentification privée ;

n Le palier 3 (maximum) comprend des dispositifs d’authentification forte, combinant plusieurs facteurs différents. On y trouve par exemple la carte CPS qui permet de combiner « la carte à puce » détenue par le porteur (« ce qu’il possède ») et le code associé (« ce qu’il sait »)

La carte CPS La carte CPS est délivrée gratuitement par l’ASIP Santé. Un million de cartes de la famille CPS sont aujourd’hui en circulation. Intégrant nativement l’identification nationale du professionnel de santé et contenant des certificats d’authentification et de signature, elle permet une authentification directe du professionnel de santé auprès des applications métiers de l’établissement et des télé-services régionaux et nationaux. Sa fonctionnalité « sans contact » facilite son usage en situation de mobilité. La CPS est un titre fondateur permettant la mise en place de dispositifs d’authentification alternatifs (ex : enrôlement d’un terminal par carte CPS).

Plus de 60 établissements ont généralisé l’utilisation des cartes de la famille CPS, à la fois pour sécuriser l’accès aux systèmes d’information, mais également pour sécuriser les accès physiques (locaux, parking…) et parfois la personnalisent avec la photo du porteur.

Pour plus d’informationsPGSSI-S : esante.gouv.fr/servicesProduits de certification délivrés par l’ASIP Santé : esante.gouv.fr/servicesPlus spécifiquement, consignes relatives aux mots de passe : ANSSI : www.ssi.gouv.fr/uploads/IMG/pdf/NP_MDP_NoteTech.pdfwww.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires

SÉCURISER LE SYSTÈME D’INFORMATION SELON LES NORMES EN VIGUEUR

Le besoin croissant de coordination nécessite d’ouvrir davantage le SI hospitalier, pour permettre l’échange et le partage d’informations de santé entre les professionnels impliqués dans la prise en charge des patients (qu’ils soient du même établissement, du même GHT ou extérieurs).

L’évolution des pratiques nécessite de faciliter la mobilité des professionnels amenés à exercer sur plusieurs sites, notamment dans le cadre des GHT.

Favoriser l’ouverture du SI ainsi que la mobilité des utilisateurs implique cependant une réfl exion accrue sur la sécurisation du SI. De nombreuses questions se posent, notamment :

n Quel identifi ant choisir pour les acteurs professionnels ?

n Quels dispositifs d’authentifi cation choisir pour sécuriser l’accès au SI et aux données de santé ?

n Comment gérer la traçabilité des accès au SI et aux données de santé ?

n Comment encadrer l’utilisation des tablettes dans les établissements ?

n Quelles sont les bonnes pratiques de sauvegarde ?

La politique générale de sécurité des systèmes d’information de santé (PGSSI-S) a pour objectif d’apporter des éléments de réponse à toutes ces questions.

La PGSSI-S, établie sur le fondement de l’article L. 1110-4-1 du code de la santé publique, défi nit les exigences et les recommandations liées à la protection des données de santé à caractère personnel, dans le respect des droits du patient, dans des contraintes opérationnelles et économiques acceptables pour l’ensemble des acteurs des secteurs sanitaire, médico-social et social.

La PGSSI-S est un corpus documentaire composé de guides et de référentiels à vocation opposable :

Guides (liste non exhaustive)

Des besoins accrus de protection des données de santé

La PGSSI-S, un cadre pour la protectiondes données de santé

Le guide d’élaboration et de mise en œuvre d’une PSSI apporte une aide à l’élaboration de la politique de sécurité du système d’information et à la mise en œuvre du plan d’actions associé.

FRR4

Référentiels opposables

Outre le fait de gérer la sécurité des infrastructures dont elle a responsabilité, l’ASIP Santé contribue à renforcer la sécurité des systèmes de santé à plusieurs titres :

n L’ASIP Santé élabore les référentiels et guides de la PGSSI-S, sous la responsabilité de la Délégation à la stratégie des systèmes d’information de santé (DSSIS) et en concertation avec les acteurs parties prenantes du domaine sanitaire, médico-social et social. La PGSSI-S est régulièrement actualisée avec le cadre juridique national (code de la santé publique, loi informatique et libertés…) et européen (GDPR, NIS, eIDAS…) ;

n L’ASIP Santé gère la chaine de confi ance permettant d’identifi er puis d’authentifi er les acteurs de santé, depuis leur enregistrement par les autorités d’enregistrement nationales (ordres, ARS, service de santé des armées…) jusqu’à la délivrance de certifi cats électroniques assurée par l’ASIP santé pour sécuriser l’échange et le partage de données de santé ;

n Les travaux menés pour favoriser l’interopérabilité entre les SI de santé contribuent à la normalisation des échanges, gage de confi ance ;

n A partir d’octobre 2017 , l’ASIP Santé, en collaboration avec le HFDS et les services de la DGS, sera chargée d’analyser les incidents graves et signifi catifs de sécurité remontés par les établissements de santé, laboratoires de biologie médicale et centres de radiothérapie, et d’apporter un appui aux acteurs.

Les référentiels présentent différents niveaux d’exigences, appelés « paliers » :

Ces paliers techniques dépendent de la maturité de l’établissement et du contexte d’usage.

Ils comprennent :

n Un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre comportant les exigences de sécurité indiscutables,

n un palier cible (palier dont le numéro est le plus élevé) et paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires.

Ces paliers permettent de défi nir le niveau de sécurité cohérent avec les cas d’usage et les risques identifi és par l’établissement de santé.

L’ASIP Santé agit pour renforcerla sécurite des SI de santé

Pour plus d’informationsesante.gouv.fr/pgssi-s

HÉBERGER LES DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL

Tout responsable de traitement doit s’assurer de mettre en œuvre (lui-même ou en ayant recourt à des sous-traitants) les mesures de sécurité adaptées à la sensibilité des données (cf. article 34 de la loi « Informatique et Libertés).

Ces mesures concernent notamment la conservation des données de santé, qui fait l’objet d’un encadrement spécifique défini par l’article L.1111-8 du code de la santé publique .

Cet article a pour finalité d’organiser et d’encadrer le dépôt, la conservation et la restitution des données de santé à caractère personnel dans des conditions propres à garantir leur confidentialité et leur sécurité :

n Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte d’un tiers, doit être agréée à cet effet ;

n L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime.

Le décret n° 2006-6 du 4 janvier 2006 est venu préciser l’article L.1111-8. Il définit le déroulement de la procédure d’agrément pour l’hébergement de données de santé sur support informatique et les exigences à respecter :

n Le décret fixe le contenu du dossier de demande d’agrément. Sont ainsi évalués la capacité financière du candidat, le type de prestation proposée, le niveau de sécurité et les conditions du respect des principes de la protection des données personnelles et des droits des personnes.

n L’agrément est délivré par type de prestation, pour une durée de trois ans par le ministre chargé de la Santé après avis de la Commission nationale de l’informatique et des libertés (CNIL) et du comité d’agrément des hébergeurs (CAH - organe consultatif créé par le décret précité). Si l’hébergeur agréé souhaite poursuivre son activité d’hébergement au-delà des trois ans initiaux, il doit effectuer une demande de renouvellement d’agrément qui sera instruite comme la demande initiale.

L’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel - qui entrera en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019 – remplace l’actuelle procédure d’agrément pour l’hébergement de données de santé à caractère personnel sur support électronique par une évaluation de conformité à un référentiel de certification, délivrée par un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) et choisi par l’hébergeur.

Le cadre juridique de l’hébergement de données de santé

La procédure actuelle

L’évolution de la procédure d’agrément vers une procédure de certification

FR R5

La procédure de certification se fonde sur le processus standard de type système de management décrit dans la norme ISO/CEI 17021 :

n L’hébergeur choisit un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) ;

n Le cas échéant, l’organisme certificateur vérifie l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur ;

n Un audit en deux étapes conformes aux normes en vigueur est alors effectué : un audit documentaire (pouvant être réalisé sur le site d’hébergement), puis un audit sur site.

La future procédure de certification, ainsi que sa date de mise en œuvre seront définies par décret en Conseil d’Etat.

Le référentiel de certification Il est basé sur des normes internationales existantes :

n Les exigences de la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;

n Des exigences de la norme ISO 20000 « système de gestion de la qualité des services» ;

n Des exigences de la norme ISO 27017 « code de pratique pour les contrôles de sécurité de l’information pour les services du nuage » ,

n Des exigences de la norme ISO 27018 « protection des données à caractère personnel » ;

n Et des exigences spécifiques à l’hébergement de données de santé.

Pour plus d’informationsesante.gouv.fr/services

FAVORISER L’INTEROPÉRABILITÉ DES DIFFÉRENTS SYSTÈMES D’INFORMATION

La prise en charge continue et coordonnée du patient par l’ensemble des acteurs en santé (sanitaire, médico-social et social) implique que les systèmes d’information de ces acteurs soient en capacité d’interagir aisément entre eux, de manière interopérable (c’est-à-dire en utilisant le même langage) et sécurisée.

Pour pérenniser les investissements tant du côté des éditeurs de logiciels que de leurs clients, les pouvoirs publics ont favorisé la mise en place d’un cadre d’interopérabilité des systèmes d’information en santé (CI-SIS) s’appuyant sur des normes et standards internationaux matures et stables et tenant compte des contextes d’usage.

Un cadre d’intéropérabilité pour créer les conditions de l’essor de la e-santé

Construit en concertation avec les représentants des professionnels de santé et les éditeurs des systèmes d’information de santé, le CI-SIS fixe les règles d’une informatique de santé communicante en France. Il couvre :

n L’interopérabilité technique, qui porte sur le transport des flux et sur les services garantissant l’échange et le partage des données de santé dans le respect des exigences de sécurité et de confidentialité des données personnelles de santé.

n L’interopérabilité des contenus métiers, qui permet l’échange et le partage des données de santé et leur compréhension par les systèmes d’information en s’appuyant sur un langage commun.

A titre d’exemple, le CI-SIS contient les spécifications de la synthèse médicale du patient (VSM) (produite un médecin via son logiciel métier), du Dossier de Liaison d’Urgence (DLU) du résident (produit par le médecin coordinateur via le logiciel utilisé en EHPAD) ou de la lettre de liaison (la lettre de liaison d’entrée en hospitalisation étant produite par les médecins de ville dans leur logiciel métier et celle de sortie par les professionnels en établissement de santé, via le SIH).

Les spécifications d’interopérabilité du CI-SIS reposent sur l’identification et la compréhension partagée de concepts métiers (ou objets) correspondant aux informations manipulées par les systèmes d’information de santé (telles les informations relatives au professionnel de santé) qui sont catalogués dans le Modèle des objets de santé (MOS).

Publié dans sa première version en 2009 puis régulièrement mis à jour, le CI-SIS a principalement permis de couvrir les cas d’usage liés au partage et à l’échange de documents de santé dans le cadre de la coordination des soins, favorisant ainsi le déploiement du DMP et des messageries sécurisées de santé (MSSanté).

Le CI-SIS, une intéropérabilité à la fois sémantique et technique

De facto, les éditeurs disposant d’applications « DMP compatibles » ont développé des interfaces conformes au CI-SIS pour pouvoir s’interfacer avec le DMP, dans le respect de la démarche d’homologation à la « DMP compatibilité » et du dossier de spécifications fonctionnelles et techniques des interfaces DMP des logiciels de professionnels de santé.

FR R6

Les établissements, entre autres acteurs, peuvent être confrontés :

n D’une part, à un besoin d’interopérabilité entre les briques applicatives qui composent le SI (et notamment le SI convergent dans le cas des GHT), d’autre part, à un besoin d’interopérabilité avec les partenaires extérieurs à l’établissement ou au groupement, et souhaiter que ce besoin puisse donner lieu à un enrichissement du CI-SIS.

L’établissement, en associant s’il le souhaite sa maîtrise d’œuvre, peut :

n Dans le cas des GHT, préalablement utiliser le guichet www.si-ght.fr pour échanger avec les autres GHT sur son (ses) besoin(s) d’interopérabilité, et voir si d’autres GHT sont également concernés et intéressés à porter collectivement cette demande ,

n Remplir et transmettre à l’ASIP Santé le formulaire d’expression de besoins d’interopérabilité (qui contient notamment la description des cas d’usage métiers effectuée par les établissements) en suivant la démarche décrite dans : esante.gouv.fr/services/referentiels/ci-sis/demarche-elaboration. Ce formulaire standard est destiné à tout acteur qui souhaite remonter un besoin d’interopérabilité.

La demande est ensuite étudiée par les experts de l’ASIP Santé en charge du CI-SIS :

n Analyse des besoins d’un point de vue fonctionnel et technique, pour vérifier s’ils sont à prendre en compte pour faire évoluer le CI-SIS ou s’ils doivent être traités d’une autre manière ;

n Après validation par le comité d’instruction du degré de priorisation de ces besoins (au regard des autres demandes reçues), évolution du CI-SIS : choix de la norme ou du standard permettant de couvrir ces besoins, rédaction des spécifications d’interopérabilité, concertation publique et intégration finale dans le CI-SIS.

Le CI-SIS s’ouvre désormais à de nouveaux cas d’usage pour lesquels un besoin d’interopérabilité entre systèmes se fait sentir.

A titre d’exemple, le CI-SIS s’enrichit de spécifications relatives à la gestion d’un agenda partagé et à la notification d’évènements (permettant par exemple d’informer les professionnels de santé en ville que leur patient est hospitalisé).

Comment faire remonter les besoins d’intéropérabilité ?

Pour plus d’informationsPrésentation du CI-SIS: esante.gouv.fr/services Le modèle des objets de santé (MOS) et les nomenclatures associées : esante.gouv.fr/services

PARTAGER ET ÉCHANGER LES DONNÉES DE SANTÉ

La possibilité d’échanger et de partager des données de santé au-delà des murs de l’hôpital et entre des professionnels ne relevant pas tous du secteur sanitaire a été consacrée par la loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé, en modifiant les règles fixées à l’article L. 1110-4 du code de la santé publique et en créant l’article L. 1110-12 du même code, relatif à l’équipe de soins définie pour la première fois.

Le législateur a ainsi tenu compte des nouvelles modalités de prise en charge des personnes, dont les GHT font partie.

Le principe général est, et reste l’obligation de respecter le secret professionnel.

La loi permet d’y déroger pour permettre l’échange et le partage de certaines données de santé à caractère personnel dans de nouvelles conditions :

n Léchange et le partage ne sont possibles qu’entre professionnels participant à la prise en charge d’une même personne ;

n Seules les informations strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou au suivi médico-social et social de la personne peuvent être échangées ou partagées ;

n L’échange ou le partage d’informations entre professionnels faisant partie de la même équipe de soins supposent d’informer le patient au préalable (sans recueil du consentement) ; le patient dispose d’un droit d’opposition ;

n Le partage d’informations entre professionnels ne faisant pas partie de l’équipe de soins nécessite de recueillir le consentement exprès du patient.

La notion d’équipe de soins, auparavant réservée aux professionnels exerçant au sein d’un même établissement de santé est étendue notamment au cas du GHT.

La notion d’équipe de soins est une notion clé pour les GHT : en effet, le projet médical partagé du GHT prévoit la mise en place d’équipes médicales communes et institue de ce fait de nouvelles définitions d’équipes de soins.

Les GHT doivent donc s’approprier la notion d’équipe de soins, à la fois pour :

n Déterminer et identifier les modalités d’échange ou de partage de données de santé et garantir le respect des droits des patients ;

n Mettre en place les mécanismes adéquats de protection des données de santé des patients pris en charge au sein du GHT.

Les principes généraux et conditions particulières à respecter en cas d’échange ou de partage de données de santé

La notion d’équipe de soins dans le cas particulier du GHT

FR R7

La déontologie des professionnels de santé est la première mesure de protection des données de santé.

En en cas d’accès illicite aux données de santé, c’est-à-dire, sans motif de soins, les risques encourus relèvent du pénal (15 000 euros d’amende et un an d’emprisonnement).

Au-delà, au sein des établissements, des mesures organisationnelles et techniques doivent être mises en place pour veiller à la sécurité des données de santé traitée dans le cadre des activités de soins de l’établissement ou du GHT.

Certaines de ces mesures permettront de faciliter et contribuer au respect des conditions légales d’échange et de partage des données de santé telles que la signature de la charte d’accès aux données de santé, la définition de grilles d’habilitation par profil, la mise en œuvre de blocages SI ciblés…

Au-delà de ces mesures de contrôle a priori, des contrôles aléatoires a posteriori d’accès aux dossiers peuvent être réalisés.

En outre, les systèmes d’information utilisés doivent obligatoirement faire l’objet de mesures de sécurité adaptées à la sensibilité des données de santé.

Ces mesures de protection doivent être étudiées par l’établissement, en impliquant notamment les représentants du corps médical, des soignants et de la DSI, qui doivent réaliser leur propre analyse de risques.

Les mesures de protection des données de santé

Les professionnels qui exercent au sein des GHT sont réputés constituer une équipe de soins à condition de participer directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d’autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes.

Les informations de santé sont réputées confiées à l’ensemble de l’équipe de soins.

L’accès aux données de santéL’accès aux données de santé est à distinguer de l’accès au système d’information: l’accès aux données de santé peut se faire par la création de comptes utilisateurs dans le SI ; mais il peut y avoir accès aux données de santé sans accès au système d’information (par exemple, remise d’un support de sauvegarde comportant les données de santé extraites du SI).

Autre exemple, le fait de réceptionner sous format papier un extrait d’une base de données de santé est considéré comme un accès aux données de santé.

La PGSSI-S éclaire les acteurs sur les modalités de protection des données de santé (cf. fiche R4).

Pour plus d’informationsesante.gouv.fr/services

ACCÉDER À L’OFFRE DE SOINS VIA LE ROR POUR ORIENTER LE PATIENT

Le ROR, Répertoire Opérationnel des Ressources, est positionné par les acteurs institutionnels comme le référentiel de la description opérationnelle de l’offre de santé. Les régions sont responsables du déploiement et du peuplement du ROR de leur région sur l’ensemble des champs d’activité du sanitaire et du médico-social.

Le ROR est un composant essentiel en matière de SI de santé pour faciliter l’orientation du patient, et ainsi éviter les ruptures dans son parcours de santé et lui garantir l’égalité d’accès aux soins. L’acteur de santé a deux options pour identifier l’offre la plus adaptée à la situation de son patient : utiliser la fonction de recherche associée au ROR ; ou utiliser des applications métier d’orientation, de coordination, de régulation qui s’appuient sur les données du ROR.

Compte tenu des enjeux, la Direction Générale de l’Offre de Soins (DGOS), a créé un programme national, le programme ROR qui accompagne les acteurs de santé pour converger vers une description harmonisée de l’offre de santé et garantit à ces acteurs l’accès à une image nationale de cette offre. De façon concrète, le programme doit définir et mettre en œuvre les conditions pour :

n Qu’un acteur de santé qui se connecte sur le service de recherche de son ROR régional puisse accéder à l’offre de santé sur l’ensemble du territoire national ;

n Qu’une application qui a besoin de la description de l’offre de santé régionale ou nationale puisse accéder à l’ensemble des ROR de façon normalisée (flux d’échange normalisé).

La convergence autour du ROR évite ainsi la multiplication des référentiels de description de l’offre de santé dans les applications métiers, permet de concentrer les efforts de peuplement sur un référentiel unique et favorise l’interopérabilité des SI qui s’appuient ainsi sur une vision harmonisée de l’offre de santé.

Le ROR permet à un établissement d’exposer son offre notamment auprès de nouveaux acteurs susceptibles de lui adresser leurs patients. Demain le ROR alimentera des applications comme Via Trajectoire (orientation en SSR), le SI des SAMU ou des portails grands publics. Ainsi, pour que l’offre de l’établissement soit référencée dans ces applications qui facilitent l’orientation du patient vers la bonne prise en charge, les établissements doivent tenir à jour cette offre dans le ROR.

Les données de description opérationnelle de l’offre de santé sont saisies dans le ROR par les établissements qui sont responsables de leur complétude et de leur qualité.

L’enjeu particulier pour les GHT est :

n De mettre en place des processus qui favorisent la mise à jour des données dans l’ensemble des établissements qu’ils regroupent et de s’assurer de la cohérence des offres exposées ;

n De favoriser l’utilisation du ROR par les professionnels de santé car la qualité s’acquiert par l’usage.

Un répertoire au service du parcours de santé de la personne

Les enjeux pour les établissements

Pour plus d’informationshttp://esante.gouv.fr/services

FR R8

S’OUVRIR SUR LES SI DE SANTÉ EXTERNES

Ces portails et téléservices – qui peuvent être nationaux ou régionaux – permettent :

n De partager ou échanger des données de santé ;

n D’effectuer des déclarations réglementaires en ligne ;

n De collecter des données administratives en ligne ;

n De se renseigner sur l’offre de soins et orienter le patient…

Les professionnels de santé accèdent généralement à ces services via un portail web. Parfois, l’accès est possible directement à partir des logiciels métier, sous la forme de téléservices intégrés. Cette intégration facilite leur utilisation au quotidien.

Quelques exemples de portails et téléservices nationaux et régionaux existants pour les établissements de santé sont présentés ci-après. Ceux faisant l’objet d’une fiche dédiée sont marqués par une *.

Exemple :

n Le DMP (Dossier Médical Partagé, porté par la CNAMTS)* permet le partage des documents nécessaires à la coordination des soins. Il est accessible par le patient et ouvert à tout professionnel de santé impliqué dans la prise en charge du patient.

n Le DP (Dossier Pharmaceutique, porté par le CNOP) recense les médicaments délivrés au patient au cours des quatre derniers mois. Accessible aux pharmacies et à certains médecins hospitaliers, il a pour objectif de repérer les risques d’interaction médicamenteuse.

n Les systèmes de transmission et d’archivage des images médicales (PACS, portés par les MOA régionales ou des établissements) permettent aux professionnels de santé de partager ces images.

n Le système MSSanté (messageries sécurisées en santé, portées par l’ASIP Santé)* offre aux professionnels un moyen sécurisé d’échange d’informations.

Exemple :

n CERT-DC (porté par la DGS et l’INSERM) permet aux professionnels de santé de déclarer les décès.

n Le portail des signalements (PSIG, porté par la DGS et l’ASIP Santé) permet aux professionnels de santé et au public de déclarer des événements sanitaires indésirables, qui seront ensuite remontés aux ARS, à l’INSERM, à l’ANSM, aux centres antipoison, aux centres régionaux de pharmacovigilance…

Les professionnels de santé utilisent de plus en plus des portails et téléservices

Les services de partage et d’échange de données de santé

Les services de dématérialisation des démarches reglementaires

FR S1

Exemple :

n CDR/CDRI (porté par la CNAMTS) permet d’accéder aux droits du patient vis-à-vis de son organisme d’assurance maladie obligatoire.

n Les téléservices associés au projet remboursement des organismes complémentaires (ROC, portés par les organismes d’assurance maladie complémentaire) permettent d’accéder aux droits du patient vis-à-vis de son organisme d’assurance maladie complémentaire et de simuler puis calculer la part prise en charge par ce dernier.

n L’espace pro ameli.fr (porté par la CNAMTS) permet aux professionnels de santé d’accéder aux services de l’Assurance-Maladie.

Exemple :

n Le ROR (répertoire opérationnel des ressources, porté par les ARS avec les MOA régionales)* décrit en détail l’offre de soins pour permettre aux professionnels de santé d’identifier la structure ou le professionnel de santé le plus adapté à la situation du patient.

n Les services de télémédecine.

n Les portails régionaux (portés par les MOA régionales) apportent aux usagers et aux professionnels de santé un certain nombre de services (plateforme de prise en charge de parcours de soins complexes, gestion / préparation de l’hospitalisation,…).

Les services de collecte des informations administratives

Les autres services

n E-DO (porté par l’ANSP) permet aux professionnels de santé de déclarer certaines maladies à déclaration obligatoire.

n E-FIT (porté par l’ANSM) permet aux professionnels de santé en charge de l’hémovigilance de déclarer les incidents transfusionnels.

n E-Saturne (en projet, porté par l’ANSM) permet aux professionnels de santé de réaliser une demande d’autorisation temporaire d’utilisation (ATU) nominative de médicaments.

n SI-VIC (en projet, porté par l’ASIP Santé) permet aux services d’urgences des établissements de santé de recenser les victimes d’attentat.

n Syrenad (porté par l’agence de la biomédecine) permet le recueil des donneurs / receveurs de moelle osseuse.

n Cristal (porté par l’agence de la biomédecine) permet le recueil des donneurs / receveurs d’organes.

S’INTÉGRER DANS LE CADRE COMMUN DES PROJETS E-SANTÉ DE SA RÉGION

FR S2

La stratégie nationale de santé présentée par la Ministre de la santé et des affaires sociales en septembre 2013 vise à organiser les soins du patient dans le cadre d’une médecine de parcours reposant sur une coopération de l’ensemble des professionnels. Elle identifie le numérique comme un facteur clé de soutien à la mise en place de ces parcours, et plus largement, à l’amélioration de la qualité et de la sécurité des soins et à la modernisation des pratiques. Le cadre commun des projets e-santé - aussi appelé cadre d’urbanisation des projets de e-santé - a été construit avec tous les acteurs concernés. Il a pour objectif de garantir la cohérence et l’efficience des actions régionales de promotion et d’usage de services numériques. Il précise :

n les référentiels qui s’appliquent à tous les projets de e-santé ;

n le socle commun minimum de services à proposer dans les territoires ;

n les principes de conduite de projets devant s’appliquer aux projets de e-santé.

Publié en mai 2016 , il s’impose dans les territoires sous le pilotage des agences régionales de santé (ARS).

La première version du socle commun impose la mise en œuvre dans tous les territoires des services numériques suivants :

n Pour le partage de données de santé :

- le dossier médical partagé (DMP) ; - un dossier communiquant en cancérologie (DCC) ; - les solutions de partage d’images médicales (PACS).n Pour l’échange sécurisé de données de santé :

- le service de messageries sécurisées de santé (MSSanté).n Pour la présentation de l’offre de soins d’un territoire et l’orientation des patients :

- un répertoire opérationnel des ressources (ROR) ; - un service d’orientation et d’aide au placement des patients et usagers.n Pour la prise en charge à distance et coordonnée du patient :

- des services de télémédecine.D’autres services viendront enrichir ce socle commun dans ses versions suivantes. D’ores et déjà certaines régions proposent des services complémentaires au socle commun. Les établissements, et en particulier les GHT, en tant que point de passage clé dans le parcours des patients, doivent prévoir, dans leur schéma directeur, d’utiliser ces services et de respecter les référentiels du cadre commun s’ils exposent eux-mêmes des services.

Un cadre pour garantir à tous les professionnels un socle commun minimum de services numériques en santé sur leur territoire

Un socle commun minimum de services deployé et utilisé dans l’ensemble des régions françaises

Pour plus d’informationsesante.gouv.fr/services

PARTAGER LES INFORMATIONS DE SANTÉ UTILES À LA COORDINATION

DES SOINS VIA LE DMPFR S3

La prise en charge continue et coordonnée du patient par l’ensemble des acteurs nécessite que l’information, utile à la coordination des soins, soit partagée par l’ensemble des professionnels de santé qu’ils exercent au sein d’un établissement de santé, d’un GHT, d’une structure médico-sociale ou en libéral.

Le DMP (Dossier Médical Partagé) permet en effet de partager, en toute sécurité, les documents produits par les différents professionnels acteurs de la prise en charge : synthèse médicale, lettre de liaison, compte rendu d’hospitalisation, compte-rendu de radiologie, résultats d’analyses de biologie, documents relatifs aux antécédents et allergies… Il constitue ainsi le carnet de santé électronique du patient.

Inscrit dans la loi , le DMP est un service national sécurisé, accessible aux professionnels de santé autorisés (par le biais de leurs logiciels métiers « DMP compatibles » ou à défaut, via le portail internet dmp.gouv.fr) et au patient (par le portail internet).

Au 1er juillet 2016, plus de 730 établissements et structures de santé utilisent le DMP, dans le cadre d’initiatives individuelles, de démarches d’accompagnement territoriales ou dans la continuité du programme Hôpital Numérique .

Le schéma directeur des SI des établissements, et en particulier celui des GHT, doit veiller à ce que le futur logiciel portant le dossier patient soit « DMP compatible » (directement ou via une passerelle DMP compatible) et permette d’intégrer au mieux, dans la pratique quotidienne des professionnels de santé, les modalités d’alimentation et de consultation du DMP.

Dans l’attente de la mise en œuvre du SI convergent, les GHT peuvent utiliser le DMP comme outil de coordination des soins entre les professionnels de santé intervenant dans les différents établissements constitutifs du GHT. Dans l’attente d’avoir un dossier patient commun au sein des GHT, le DMP peut permettre d’assurer un premier niveau de partage, et ainsi faciliter la continuité et la coordination des soins des patients suivis dans plusieurs établissements du GHT.

Un service national de partage de documents de santé pour faciliter la continuité des soins

Utiliser le DMP

Pour plus d’informationsSite du DMP : www.dmp.gouv.fr Guide pratique du projet DMP en établissement (2012) : www.dmp.gouv.fr/documentation/guide-dmp-en-es

Lancé en 2010 par l’ASIP Santé et déployé dans certains territoires avec l’appui des ARS, des GCS e-santé et autres partenaires en région, le DMP est administré depuis le 4 juillet 2016 par la caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS) qui en assure le déploiement sur l’ensemble du territoire français.

ECHANGER LES DONNÉES DE SANTÉ AVEC SES CORRESPONDANTS, VIA MSSANTÉ

La prise en charge continue et coordonnée du patient par l’ensemble des acteurs nécessite que tous les professionnels - qu’ils exercent au sein d’un établissement de santé, d’un GHT, d’une structure médico-sociale ou en libéral - puissent échanger entre eux les données de santé des patients qu’ils prennent en charge (notamment via la lettre de liaison). Pour gagner du temps, ces échanges se font de plus en plus par email.

Ces échanges doivent se faire en utilisant une messagerie sécurisée de santé.

L’espace de confiance MSSanté est défini. Toutes les messageries intégrant cet espace de confiance en répondant aux exigences techniques requises permettent aux professionnels de santé d’échanger des données de santé de façon sécurisée en garantissant la confidentialité, la traçabilité et l’intégrité de ces échanges.

Des travaux sont également en cours pour que les professionnels du secteur médico-social habilités à échanger des données de santé puissent également bénéficier de ces messageries.

Le système MSSanté permet aux opérateurs publics ou privés (établissements de santé, industriels, opérateurs de solutions régionales, autres opérateurs) d’intégrer l’espace de confiance MSSanté. Il se caractérise par :

n Un annuaire MSSanté ayant vocation à référencer l’ensemble des professionnels habilités à échanger des données de santé.

n Une liste blanche de domaines qui regroupe l’ensemble des domaines de messageries des opérateurs autorisés à échanger dans l’espace de confiance MSSanté.

n Des référentiels permettant aux industriels de développer des offres interopérables.

L’espace de confiance MSSanté a vocation à intégrer l’ensemble des solutions de messagerie sécurisée existantes et de les rendre interopérables. Il appartient à ces solutions de se connecter à l’espace de confiance pour être en mesure de tirer avantage de l’interopérabilité.

L’instruction DGOS du 23 décembre 2014 relative à l’usage de la messagerie sécurisée MSSanté dans les établissements de santé demande à tous les établissements de santé d’intégrer l’espace de confiance MSSanté.

Les établissements, et en particulier les GHT, doivent donc, dans leur réflexion sur le schéma directeur des SI, intégrer ce dispositif.

Pour faciliter l’usage de cette messagerie au quotidien par les professionnels de santé, il est fortement conseillé qu’elle soit intégrée dans le SIH : l’envoi des documents issus du DPI vers les correspondants peut ainsi être automatisé (via des boites aux lettres applicatives), évitant l’envoi des documents papier par courrier.

Pour cela, les documents produits par les DPI doivent être accompagnés de métadonnées (identifiant patient, type de document, producteur…) afin de faciliter le traitement des documents par les destinataires.

Une messagerie sécurisée pour faciliter la coordination et la continuité des soins

Intégrer la MSSanté dans le schéma directeur SI

FR S4

L’ASIP Santé accompagne, sur 2017, les établissements de santé et les GHT qui le souhaitent dans le déploiement de MSSanté.

Elle peut ainsi les aider à :

n Organiser une réunion de lancement dans le GHT / l’établissement de santé ;

n Réaliser le diagnostic interne ;

n Étudier les modalités de raccordement technique ;

n Assurer le déploiement fonctionnel et favoriser les usages au quotidien de la messagerie ;

n Amorcer la communication autour de MSSanté (en interne et vis-à-vis des partenaires extérieurs).

Déployer MSSanté

L’intégration de MSSanté dans le cas spécifique des GHT peut s’envisager de deux façons :

n Chaque établissement du GHT met en place sa propre solution. Les messageries du dispositif MSSanté étant interopérables, les établissements du GHT ayant déjà une solution compatible peuvent la conserver.

n L’installation de la messagerie se fait au niveau du groupement. Dans ce cas, il est nécessaire de mener une réflexion, par exemple sur les sujets suivants (liste non exhaustive) :

- Sur le nom de domaine (celui du GHT ? celui de chaque établissement ?). Pour les établissements déjà dotés d’un dispositif MSSanté, cela dépendra des possibilités offertes par le contrat souscrit auprès de leur opérateur actuel.

- Sur la solution technique (l’établissement support devient-il opérateur MSSanté pour l’ensemble du groupement? Le GHT passe-t-il par un opérateur tiers MSSanté ?…).

Pour plus d’informationsSite MSSanté : https://www.mssante.fr/comprendre-mssante Mail de l’équipe de déploiement MSSanté : [email protected]

UTILISER LA CERTIFICATION QUALITÉ HÔPITAL NUMÉRIQUE

L’élaboration des schémas directeurs SI impliquent une analyse de la maturité des systèmes de management de la qualité (SMQ) des industriels fournisseurs de logiciels.

Cette analyse peut être réalisée, lors de la réalisation du diagnostic de l’existant, pour évaluer le SMQ des fournisseurs des établissements. Elle peut également être réalisée lors de la réflexion autour de la cible, pour évaluer les processus de management de la qualité des fournisseurs envisagés.

La certification Qualité Hôpital Numérique (QHN) garantit aux établissements de santé que :

n Les logiciels sont testés avant leur installation en production ;

n Les déploiements sont efficaces et réalisés par des équipes formées et stables ;

n Le support est réactif ;

n L’industriel donne de la visibilité sur l’évolution de ses produits.

Pour cela, elle inclut des critères relatifs à :

n La conception, au développement et à l’évolution du produit (tests en usine, maintenance corrective…) ;

n La gestion des services de production (fonctionnement en mode dégradé, garanties…) ;

n La gestion de projets (accompagnement…) ;

n L’interopérabilité ;

La certification Qualite Hopital Numérique, un moyen d’évaluer le SMQ des industriels

Le certificat Qualité Hôpital Numérique est délivré par des organismes certificateurs accrédités par le COFRAC signataires d’une convention avec l’ASIP Santé.

L’ASIP Santé publie la liste des industriels certifiés qualité hôpital numérique

Le référentiel Qualité Hôpital Numérique s’inscrit dans le cadre d’une certification de système de management de la qualité (SMQ) suivant les normes ISO 9001 ou ISO 13485. Ces normes sont spécifiées par des exigences complémentaires pour tenir compte des particularités des solutions à destination des établissements de santé.

n Éditeurs de logiciels (produits standard sur étagère, progiciels) ;

n Développeurs de logiciels (logiciels à façon) ;

n Intégrateurs de logiciels (distributeur d’applications métiers et/ou producteurs de systèmes d’intégration destinés à être commercialisés) ;

n Fournisseurs de solution en mode service (SaaS).

La certification Qualite Hopital Numérique s’adresse à l’ensemble des industriels

FR S5

Les établissements peuvent ainsi inciter leurs industriels partenaires à s’engager dans la démarche de certification qualité hôpital numérique.

Les établissements peuvent aussi évaluer le SMQ de leurs fournisseurs de système d’information de santé à partir des exigences du référentiel QHN.

Si un établissement souhaite s’assurer de la qualité de services garantie par la certification QHN, il peut ajouter cette exigence dans les critères contenus dans son cahier des charges lors d’un appel d’offres.

Les industriels souhaitant devenir certifiés Qualité Hôpital Numérique, peuvent contacter l’un des organismes conventionnés avec l’ASIP Santé.

La liste ci-dessous correspond à ces organismes conventionnés à date.

n AFNOR - http://www.boutique-certification.afnor.org/certification/qualite-hopital-numerique

n Apave Certification - http://www.apave-certification.com/

n Bureau VERITAS - www.bureauveritas.fr/certification

n SGS - http://www.sgsgroup.fr

Comment un industriel peut-il être certifié Qualite Hopital Numerique ?

Pour plus d’informationsesante.gouv.fr/services

SIMPLIFIER LA CHAÎNE ACCUEIL – FACTURATION – RECOUVREMENT EN AUTOMATISANT ET DÉMATÉRIALISANT LES

DÉMARCHES ADMINISTRATIVES

FR S6

Lecture des droits de l’assuré, envoi de factures sous format papier, édition de relances pour le recouvrement….Autant de tâches administratives, à faible valeur ajoutée, que les équipes administratives des établissements de santé prennent en charge.

Le programme Simphonie (simplification du parcours patient hospitalier et numérisation des informations échangées), piloté par la DGOS, vise à simplifier le circuit administratif du patient, par le biais de l’automatisation des tâches et la dématérialisation des échanges.

Ce programme comprend plusieurs chantiers, couvrant l’ensemble du parcours patient, à titre d’exemples :

n La récupération automatique des droits auprès de l’Assurance-Maladie Obligatoire (AMO), via l’intégration du téléservice CDRI porté par la CNAMTS dans les logiciels de gestion administrative du patient (GAP) ;

n La récupération automatique des droits auprès de l’Assurance-Maladie Complémentaire (AMC), via l’intégration des téléservices ROC portés par les organismes AMC dans les logiciels GAP ;

n L’envoi dématérialisé des factures AMC et des retours associés via l’extension des normes de télétransmission B2 et NOEMIE au circuit de facturation AMC ;

n Du recouvrement automatisé du reste à charge patient, via le dispositif Diapason, permettant l’enregistrement, en lien avec la GAP, des coordonnées bancaires du patient par un tiers de confiance afin que son compte soit débité, une fois le montant de la facture connu ;

n De la promotion des initiatives de modernisation des démarches administratives (prise de rendez-vous en ligne, préadmission en ligne, enregistrement sur bornes…) ;

n Du pilotage intégré dans la GAP de l’ensemble de la chaine des recettes, via des indicateurs, des états et des listes de travail automatisés.

Ces chantiers sont en cours d’expérimentation ou de déploiement. Ils permettront aux établisse-ments de santé de repenser leur parcours patient administratif et l’organisation de leur chaîne d’accueil – facturation – recouvrement.

Ces évolutions se traduiront par des gains, en termes de qualité de la prise en charge administrative du patient, d’efficacité de gestion et de sécurisation des recettes.

La prise en compte de ces évolutions dans le schéma directeur SI des établissements et en particulier des GHT est donc fondamentale afin de rendre possible cette transformation de la chaîne accueil – facturation – recouvrement.

Le parcours patient administratif: une simplification nécessaire

Ces tâches peuvent être automatisées et dématérialisées

Pour plus d’informationsPage Simphonie – Ministère des Affaires Sociales et de la Santé : http://social-sante.gouv.fr/professionnels/gerer-un-etablissement-de-sante-medico-social/performance-des-etablissements-de-sante/simphonie/article/simphonie

SIMPLIFIER LE RECOUVREMENT DANS LES ÉTABLISSEMENTS

DE SANTÉ EN PROPOSANT UNE NOUVELLE MODALITÉ DE PAIEMENT

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

SIMPLIFIER LE RECOUVREMENT DANS LES ÉTABLISSEMENTS DE SANTÉ EN PROPOSANT

UNE NOUVELLE MODALITÉ DE PAIEMENT

Le recouvrement de la part patient est identifié comme un enjeu financier clé pour les établissements de santé : en effet, une moitié du reste à charge patient des établissements publics de santé reste à recouvrer au bout d’un an, soit 550 millions d’euros par an.

Ces créances concernent essentiellement des factures de faible montant (en externe, la facture moyenne s’élève à 17 € et 80 % des factures patients sont inférieures à 20 €).

Ce non recouvrement s’explique en partie par la complexité du processus. Il n’est pas toujours possible de connaître à l’avance les prestations de soins qui seront réalisées et donc le montant restant à charge du patient. Le recouvrement ne peut donc pas être réalisé à l’entrée. De même, les prestations de soins effectuées ne sont pas toujours connues en temps réel, rendant impossible un recouvrement à la sortie. La facture est donc envoyée a posteriori au patient qui doit la régler, dans le meilleur des cas en ligne (par exemple en utilisant TIPI), sinon, par chèque.

Le projet DIAPASON (Débit Intervenant Après le PArcours de SOiNs) a ainsi pour objectif de simplifier pour le patient le paiement de ses factures et de limiter la charge de recouvrement pour les équipes administratives des établissements (ou de la DGFIP pour les établissements publics). Ce projet est partie intégrante du programme SIMPHONIE (SIMplification du Parcours administratif HOSpitalier du patient et Numérisation des Informations Échangées), porté par la DGOS.

Le projet DIAPASON repose sur la mise en œuvre d’une nouvelle modalité de paiement dans les établissements de santé, permettant de débiter automatiquement le reste à charge du patient. Cette solution mutualisée est proposée aux établissements au travers d’un marché porté par la Centrale d’Achat de l’Informatique Hospitalière (CAIH).

n A l’accueil, le patient est informé du dispositif DIAPASON : l’agent d’accueil lui en explique le mode de fonctionnement, en précisant notamment le montant maximal du débit. Le patient valide son acceptation en tapant son code PIN sur le terminal de paiement.

n A l’issue de ses soins, le patient quitte directement l’établissement, sans autre formalité administrative.

n Lorsque le montant de la facture est connu, et s’il est inférieur au montant maximal prévu, le patient est informé par SMS ou courriel du débit. Celui-ci est réalisé automatiquement trois jours plus tard. Si le montant de la facture dépasse le maximum prévu, le débit est annulé et le patient est redirigé vers une plate-forme de paiement en ligne.

Ce service DIAPASON sera intégré dans les logiciels de gestion administrative du patient (GAP), s’intégrant ainsi à l’environnement de travail des équipes administratives.

L’amélioration du recouvrement : un enjeu pour les établissements de santé

Pour en savoir plusPage DIAPASON – Ministère des Affaires Sociales et de la Santé : www.social-sante.gouv.fr/diapason

DIAPASON rend possible l’encaissement automatique par débit carte bancaire

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

SIMPLIFIER LE TIERS-PAYANT DANS LES ÉTABLISSEMENTS

DE SANTÉ EN FACILITANT LES ÉCHANGES AVEC LES AMC

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

L’identification de l’organisme d’Assurance Maladie Complémentaire (AMC) du patient et des modalités de facturation associées (adresse…) sont aujourd’hui déduites de l’attestation papier de tiers-payant par les agents administratifs, ce qui est source de complexité lors de l’accueil et d’erreurs lors de la facturation.

La prise en charge par l’AMC des prestations est, dans le cas des venues en externe, présumée à partir de l’attestation de tiers-payant papier. Dans le cas des séjours en hospitalisation, la prise en charge est déterminée suite à l’envoi d’une demande complémentaire à l’AMC, généralement sous format papier. L’établissement ne peut donc pas informer immédiatement, et de façon certaine, le patient d’un éventuel reste à charge.

La facturation à l’AMC nécessite l’envoi, par l’Établissement de Santé, de factures le plus souvent papier, et le retour de l’AMC (rejet ou paiement de la facture) suit la même voie, nécessitant un temps de traitement important au niveau des établissements de santé (ou de la DGFiP dans le cas des établissements publics).

Le projet ROC a pour objectif de simplifier le travail des agents administratifs des établissements de santé et d’améliorer la communication vis-à-vis du patient quant à son reste à charge. Ce projet est partie intégrante du programme SIMPHONIE (SIMplification du Parcours Administratif HOSpitalier du patient et Numérisation des Informations Échangées), porté par la DGOS.

Le projet ROC repose sur la mise en place de formats d’échanges normés, pour l’ensemble des acteurs.

Il comprend d’une part 5 webservices synchrones, permettant d’automatiser la collecte des informations nécessaires à la facturation auprès des AMC :

n Un service d’annuaire centralisé permet d’obtenir automatiquement les adresses des services dématérialisés proposés par chaque AMC : l’agent administratif n’a plus à identifier cette adresse sur l’attestation de tiers-payant papier.

n Un service d’Identification des Droits du Bénéficiaire (IDB) permet de confirmer l’immatriculation du patient, d’identifier en temps réel l’existence d’un éventuel reste à charge et d’en informer le patient.

La conception du projet ROC pour les établissements publics et privés non lucratifs s’est achevée fin 2016, par la publication du corpus documentaire du projet.

Les éditeurs de GAP amorcent les développements : une plateforme et des scenarii de tests seront mis à leur disposition.

Les premières expérimentations démarreront au cours du second semestre 2017, avec quelques Établissements de Santé et AMC pilotes.

La généralisation du projet ROC est envisagée dès 2018.

SIMPLIFIER LE TIERS-PAYANT DANS LES ÉTABLISSEMENTS DE SANTÉ EN FACILITANT

LES ÉCHANGES AVEC LES AMC

n Un Service de Simulation (SIM) permet d’obtenir de l’AMC la part prévisionnelle des prestations en hospitalisation prise en charge par l’AMC et ainsi d’informer le patient de la part restant à sa charge.

n Un service de CaLCul en ligne (CLC) permet à l’AMC de fournir dès le jour de sortie la part prise en charge, accompagnée de son engagement de paiement.

n Un service d’annulation (DEL) permet d’annuler un calcul de la part prise en charge par l’AMC.

Le projet ROC comprend d’autre part un service de facturation asynchrone permettant de dématérialiser les flux de facturation / recouvrement :

n Un service d’acheminement des factures dématérialisées (norme DRE-ES) de l’établissement vers les AMC, via les frontaux SESAM-Vitale déjà utilisés pour la facturation auprès de l’Assurance Maladie Obligatoire (AMO).

n Un service d’acheminement des retours, rejets ou paiements, dématérialisés (norme NOEMIE) de l’AMC vers les établissements.

Ces services seront intégrés dans les logiciels de Gestion Administrative du Patient (GAP), s’intégrant ainsi à l’environnement de travail des équipes administratives.

Les échanges entre les Établissements de Santé et les Assurances Maladie Complémentaires : un processus complexe

ROC permet de sécuriser, d’automatiser et de dématérialiser ce processus

Un déploiement à court terme du projet ROC

Page ROC – Ministère des Affaires Sociales et de la Santé : www.social-sante.gouv.fr/roc

Pour en savoir plus

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE

DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE S’INTÈGRE DANS LES PARCOURS DE SOINS

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

Dans le cadre de l’accompagnement des projets TSN, L’ASIP Santé produit notamment le guide de référence technique du programme TSN, évolutif, et qui a vocation de formaliser et diffuser les standards de référentiels applicables aux projets TSN ainsi que les recommandations d’interopérabilité à prendre en compte pour leur réalisation.

Pour préparer la généralisation des services jugés pertinents par les projets, l’ASP santé identifie des cas d’usage commun (fonction du « métier ») et propose un cadre « standard » applicable à l’ensemble des régions (TSN) à suivre par les offreurs de solutions (versant consommateur des services). Il permettra aux éditeurs de prendre compte ces pilotes dans leur roadmap à venir (périmètre large d’usages permettant aux industriels de pérenniser leurs investissements).

L’ASIP Santé :

n Fait évoluer le CI-SIS après instruction avec les porteurs de projets pour des services innovants non couverts par l’existant et les référentiels associés ;

n Prend position sur les orientations normatives proposées en consultation :

Du point de vue SI, les plateformes TSN fournissent principalement des services liés à l’échange et au partage de données de santé (test de compte utilisateur, passage de contexte, recherche d’identité patient, partage de document, échange de média, notifications, partage d’agenda…) en complément des services nationaux.

Au moins une plateforme d’appui au service de la coordination des professionnels et de l’information éclairée du patient et/ou des aidants, a ainsi été développée pour chacun des sites pilotes.

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Fondé sur l’article 48 de La Loi de Financement de la Sécurité Sociale (LFSS) pour 2013 et s’inscrivant dans le cadre de la Stratégie Nationale de Santé, le programme PAERPA, lancé opérationnellement avec la publication du cahier des charges des projets pilotes en janvier 2013, vise à améliorer le parcours de soins des personnes âgées de 75 ans et plus, qui représentent en France une personne sur dix et mobilisent entre le quart et la moitié des dépenses de santé.

L’objectif de ce programme est de préserver l’autonomie des personnes âgées.

Une initiative étendue à l’ensemble des régions françaises en 2016.

Un dispositif articulé autour de 5 actions clés :

n Renforcer le maintien à domicileLa démarche PAERPA porte une coordination renforcée des professionnels de santé de 1er recours au plus près de la personne âgée dès lors que sa situation médico-sociale le nécessite. Ainsi, le médecin traitant et un ou plusieurs professionnels de santé forment autour de la personne âgée, une coordination clinique de proximité.

n Améliorer la coordination des intervenants et des interventionsUn numéro unique accessible aux personnes âgées et à leurs aidants ainsi qu’aux professionnels est mis en place. Cette plateforme d’information et d’orientation appuie notamment les professionnels pour organiser au mieux les offres de services proposées par les différents dispositifs/structures existants des territoires à destination des personnes âgées et facilite l’accès aux droits et aux aides pour ces dernières. La Coordination Territoriale d’Appui (CTA) ainsi créée est effective sur tous les territoires PAERPA.

n Sécuriser la sortie d’hôpitalPour les personnes âgées qui ont été hospitalisées, la sortie de l’hôpital fait l’objet de dispositifs spécifiques avec l’appui de la CTA si besoin.

n Éviter les hospitalisations inutilesLe repérage, les actions d’éducation thérapeutique, la circulation d’informations entre professionnels, etc. permettent d’éviter les passages inutiles aux urgences et les hospitalisations mal préparées.

n Mieux utiliser les médicamentsLa polymédication est fréquente chez les personnes âgées. Des actions de révision d’ordonnance sont mises en place notamment en sortie d’hospitalisation en lien avec le médecin traitant et le pharmacien d’officine.

Le programme PAERPA : le parcours santé des aÎnés

Les principes de la démarche PAERPA

Le programme TSN est destiné à des patients dans des situations complexes nécessitant une prise en charge multimodale requérant une coordination entre acteurs de santé. Il a pour vocation d’être multi-parcours, pouvant s’adapter à la prise en charges de patients atteints de pathologies diverses ou au suivi long terme d’un schéma de prévention. Il peut également s’adresser aux personnes âgées en perte d’autonomie.

En 2013, deux programmes ont été lancés en expérimentation pour jeter les bases d’une excellence organisationnelle au service du patient: le programme Territoire de Soins Numérique (TSN) et le programme Personnes Agées en Risque de Perte d’autonomie (PAERPA). Chacun de ces programmes s’appuie sur des organisations spécifiques et utilise certains services numériques dédiés aux cas métiers traités.

Dans le cadre de la Stratégie Nationale de Santé (SNS 2013), la Ministre des Affaires Sociales et de la Santé a prévu l’utilisation du numérique comme levier de l’action publique pour « combattre les injustices et les inégalités de santé dans l’accès aux soins ».

Dans ce contexte, le programme Territoire Santé Numérique (TSN) lancé le 3 décembre 2013 a pour enjeu de favoriser l’émergence de territoires d’excellence :

n L’objectif général est l’amélioration de l’état de santé d’une population cible via le développement du parcours de soins et la prise en charge coordonnées des patients ;

n L’ambition est de faire émerger des solutions organisationnelles (mobilisation des professionnels de santé) et techniques innovantes (mobilisation des industriels) au service de ces objectifs ;

n L’ensemble des acteurs des filières sont ainsi associés au service d’une offre de soins optimisée et coordonnée au niveau du territoire test.

TSN a bénéficié de 80 M€ dans le cadre du Programme d’Investissement d’Avenir (PIA) financé par le Commissariat Général à l’Investissement (CGI) et la Caisse des Dépôts et Consignation (CDC) sur la période 2014-2017.

Fiche « Repère projet »

Le programme TSN : le progrès numérique au service du parcours de soins

Le programme TSN s’inscrit dans la continuité du Projet Hôpital Numérique visant à augmenter la maturité des systèmes d’information hospitaliers.

Opérationnellement, TSN repose sur 3 piliers :

n Une mise en œuvre d’organisations professionnelles innovantes et proactives sur le plan de la prévention, de l’organisation des soins en ambulatoire et à l’hôpital, et de l’utilisation des ressources. ;

n Une coordination forte entre les différents acteurs impliqués dans le parcours de santé du patient (acteurs ambulatoires, établissements sanitaires et médico-sociaux, réseaux de soins et de coordination) ;

n Des systèmes d’information innovants, interopérables, évolutifs, ouverts à l’ensemble des acteurs de la chaîne de soins et proposant des services nouveaux en soutien au développement des prises en charge innovantes et coordonnées.

Les principes de TSN

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

n Pour le programme PAERPA, dont le pilotage stratégique est assuré par La Direction de la Sécurité Sociale, l’ASIP santé est également en appui pour fournir une expertise sur le volet numérique.

n Elle fournit aux éditeurs les moyens de produire un PPS (Plan Personnalisé de Santé) dématérialisé, moyen de coordination communicable entre outils numériques pour permettre aux professionnels de prescrire et suivre le plan de soins.

Elle accompagne les éditeurs dans la sensibilisation et l’appropriation des référentiels. Et en cible, elle propose un socle de services numériques destinés aux acteurs de la coordination et l’intégration de fonctionnalités pour générer, exploiter des documents structurés dans les logiciels métiers des professionnels intervenants dans le parcours.

Ce socle sera proposé aux chefs de projet PAERPA pour positionner les activités sous-tendues par la mission de coordination et l’ASIP santé à partir de ce socle pourra les aider dans la rédaction des appels d’offre des territoires de seconde génération.

Pour plus d’informationsPublication : esante.gouv.fr

Dans le cadre de l’accompagnement des projets TSN, L’ASIP Santé produit notamment le guide de référence technique du programme TSN, évolutif, et qui a vocation de formaliser et diffuser les standards de référentiels applicables aux projets TSN ainsi que les recommandations d’interopérabilité à prendre en compte pour leur réalisation.

Pour préparer la généralisation des services jugés pertinents par les projets, l’ASP santé identifie des cas d’usage commun (fonction du « métier ») et propose un cadre « standard » applicable à l’ensemble des régions (TSN) à suivre par les offreurs de solutions (versant consommateur des services). Il permettra aux éditeurs de prendre compte ces pilotes dans leur roadmap à venir (périmètre large d’usages permettant aux industriels de pérenniser leurs investissements).

L’ASIP Santé :

n Fait évoluer le CI-SIS après instruction avec les porteurs de projets pour des services innovants non couverts par l’existant et les référentiels associés ;

n Prend position sur les orientations normatives proposées en consultation :

Du point de vue SI, les plateformes TSN fournissent principalement des services liés à l’échange et au partage de données de santé (test de compte utilisateur, passage de contexte, recherche d’identité patient, partage de document, échange de média, notifications, partage d’agenda…) en complément des services nationaux.

Au moins une plateforme d’appui au service de la coordination des professionnels et de l’information éclairée du patient et/ou des aidants, a ainsi été développée pour chacun des sites pilotes.

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Fondé sur l’article 48 de La Loi de Financement de la Sécurité Sociale (LFSS) pour 2013 et s’inscrivant dans le cadre de la Stratégie Nationale de Santé, le programme PAERPA, lancé opérationnellement avec la publication du cahier des charges des projets pilotes en janvier 2013, vise à améliorer le parcours de soins des personnes âgées de 75 ans et plus, qui représentent en France une personne sur dix et mobilisent entre le quart et la moitié des dépenses de santé.

L’objectif de ce programme est de préserver l’autonomie des personnes âgées.

Une initiative étendue à l’ensemble des régions françaises en 2016.

Un dispositif articulé autour de 5 actions clés :

n Renforcer le maintien à domicileLa démarche PAERPA porte une coordination renforcée des professionnels de santé de 1er recours au plus près de la personne âgée dès lors que sa situation médico-sociale le nécessite. Ainsi, le médecin traitant et un ou plusieurs professionnels de santé forment autour de la personne âgée, une coordination clinique de proximité.

n Améliorer la coordination des intervenants et des interventionsUn numéro unique accessible aux personnes âgées et à leurs aidants ainsi qu’aux professionnels est mis en place. Cette plateforme d’information et d’orientation appuie notamment les professionnels pour organiser au mieux les offres de services proposées par les différents dispositifs/structures existants des territoires à destination des personnes âgées et facilite l’accès aux droits et aux aides pour ces dernières. La Coordination Territoriale d’Appui (CTA) ainsi créée est effective sur tous les territoires PAERPA.

n Sécuriser la sortie d’hôpitalPour les personnes âgées qui ont été hospitalisées, la sortie de l’hôpital fait l’objet de dispositifs spécifiques avec l’appui de la CTA si besoin.

n Éviter les hospitalisations inutilesLe repérage, les actions d’éducation thérapeutique, la circulation d’informations entre professionnels, etc. permettent d’éviter les passages inutiles aux urgences et les hospitalisations mal préparées.

n Mieux utiliser les médicamentsLa polymédication est fréquente chez les personnes âgées. Des actions de révision d’ordonnance sont mises en place notamment en sortie d’hospitalisation en lien avec le médecin traitant et le pharmacien d’officine.

Le programme PAERPA : le parcours santé des aÎnés

Les principes de la démarche PAERPA

Le programme TSN est destiné à des patients dans des situations complexes nécessitant une prise en charge multimodale requérant une coordination entre acteurs de santé. Il a pour vocation d’être multi-parcours, pouvant s’adapter à la prise en charges de patients atteints de pathologies diverses ou au suivi long terme d’un schéma de prévention. Il peut également s’adresser aux personnes âgées en perte d’autonomie.

Dans le cadre de l’accompagnement des projets TSN, L’ASIP Santé produit notamment le guide de référence technique du programme TSN, évolutif, et qui a vocation de formaliser et diffuser les standards de référentiels applicables aux projets TSN ainsi que les recommandations d’interopérabilité à prendre en compte pour leur réalisation.

Pour préparer la généralisation des services jugés pertinents par les projets, l’ASP santé identifie des cas d’usage commun (fonction du « métier ») et propose un cadre « standard » applicable à l’ensemble des régions (TSN) à suivre par les offreurs de solutions (versant consommateur des services). Il permettra aux éditeurs de prendre compte ces pilotes dans leur roadmap à venir (périmètre large d’usages permettant aux industriels de pérenniser leurs investissements).

L’ASIP Santé :

n Fait évoluer le CI-SIS après instruction avec les porteurs de projets pour des services innovants non couverts par l’existant et les référentiels associés ;

n Prend position sur les orientations normatives proposées en consultation :

Du point de vue SI, les plateformes TSN fournissent principalement des services liés à l’échange et au partage de données de santé (test de compte utilisateur, passage de contexte, recherche d’identité patient, partage de document, échange de média, notifications, partage d’agenda…) en complément des services nationaux.

Au moins une plateforme d’appui au service de la coordination des professionnels et de l’information éclairée du patient et/ou des aidants, a ainsi été développée pour chacun des sites pilotes.

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Fondé sur l’article 48 de La Loi de Financement de la Sécurité Sociale (LFSS) pour 2013 et s’inscrivant dans le cadre de la Stratégie Nationale de Santé, le programme PAERPA, lancé opérationnellement avec la publication du cahier des charges des projets pilotes en janvier 2013, vise à améliorer le parcours de soins des personnes âgées de 75 ans et plus, qui représentent en France une personne sur dix et mobilisent entre le quart et la moitié des dépenses de santé.

L’objectif de ce programme est de préserver l’autonomie des personnes âgées.

Une initiative étendue à l’ensemble des régions françaises en 2016.

Un dispositif articulé autour de 5 actions clés :

n Renforcer le maintien à domicileLa démarche PAERPA porte une coordination renforcée des professionnels de santé de 1er recours au plus près de la personne âgée dès lors que sa situation médico-sociale le nécessite. Ainsi, le médecin traitant et un ou plusieurs professionnels de santé forment autour de la personne âgée, une coordination clinique de proximité.

n Améliorer la coordination des intervenants et des interventionsUn numéro unique accessible aux personnes âgées et à leurs aidants ainsi qu’aux professionnels est mis en place. Cette plateforme d’information et d’orientation appuie notamment les professionnels pour organiser au mieux les offres de services proposées par les différents dispositifs/structures existants des territoires à destination des personnes âgées et facilite l’accès aux droits et aux aides pour ces dernières. La Coordination Territoriale d’Appui (CTA) ainsi créée est effective sur tous les territoires PAERPA.

n Sécuriser la sortie d’hôpitalPour les personnes âgées qui ont été hospitalisées, la sortie de l’hôpital fait l’objet de dispositifs spécifiques avec l’appui de la CTA si besoin.

n Éviter les hospitalisations inutilesLe repérage, les actions d’éducation thérapeutique, la circulation d’informations entre professionnels, etc. permettent d’éviter les passages inutiles aux urgences et les hospitalisations mal préparées.

n Mieux utiliser les médicamentsLa polymédication est fréquente chez les personnes âgées. Des actions de révision d’ordonnance sont mises en place notamment en sortie d’hospitalisation en lien avec le médecin traitant et le pharmacien d’officine.

Le programme PAERPA : le parcours santé des aÎnés

Les principes de la démarche PAERPA

Le programme TSN est destiné à des patients dans des situations complexes nécessitant une prise en charge multimodale requérant une coordination entre acteurs de santé. Il a pour vocation d’être multi-parcours, pouvant s’adapter à la prise en charges de patients atteints de pathologies diverses ou au suivi long terme d’un schéma de prévention. Il peut également s’adresser aux personnes âgées en perte d’autonomie.

Les projets et le calendriern Pour TSN :

Suite à un appel à projets (2014) et dans le cadre de la procédure régissant les Programmes Investissements d’Avenir (PIA) pilotée par le Commissariat Général à l’Investissement (CGI), cinq projets (sur 18 projets candidats) ont été sélectionnés pour être territoires pilotes TSN. Ils sont portés par les ARS (Agences Régionales de Santé). Au total, ils concernent un bassin de 1,4 millions de patients.

Après une mise en place en 2015 (phase de conception organisationnelle et technique), les cinq expérimentations ont été lancées en 2016.

L’année 2017 est l’année du bilan des pilotes, de la capitalisation et de la préparation de la généralisation potentielle des plateformes d’appui.

n Pour le programme PAERPA

Neuf parcours pilotes PAERPA ont été lancés entre octobre 2014 et janvier 2015.

Le premier parcours PAERPA a été lancé par la Ministre chargée des affaires sociales, de la Santé et des droits des femmes dans le Lochois le 26 septembre 2014.

La démarche PAERPA a été étendue en 2016 aux grandes régions n’ayant pas encore d’expérimentations (Bretagne, Normandie, Auvergne-Rhône-Alpes, Provence-Alpes-Côte d’Azur, Corse) tout en élargissant la taille des territoires actuels afin de pérenniser les dynamiques de coopération. Une réflexion est en œuvre pour développer PAERPA en Outre-Mer.

Ces extensions sont centrées sur le recours aux soins primaires.

Les actions autour des outils numériques PAERPA sont articulées avec les autres projets en cours portés par le Ministère et la CNSA, dont Territoires de Soins Numériques.

Capitalisation

L’accompagnement des acteurs par l’ASIP Santé

n TSN :

La loi du 26 janvier 2016 de modernisation de notre système de santé prévoit, dans son article 74, la mise en œuvre des Plateformes Territoriales d’Appui (PTA), avec pour objectif de « mettre en place un parcours organisé ».

TSN, avec pour chaque expérimentation au moins une PTA mise en œuvre, peut être considéré comme un test pour ce modèle (définition des outils et retours d’expérience).

Le bilan TSN définira les solutions organisationnelles et technologiques qui auront montré leur efficacité. Celles-ci pourront être proposées à la généralisation sur d’autres territoires.

Ces plateformes d’appui pourront également appuyer l’action des CTA effectives sur les territoires PAERPA.

n PAERPA :

La démarche PAERPA capitalise sur les outils existants : DMP, messagerie sécurisée de l’ASIP Santé, et plateformes de coordination déployées dans certains territoires.

Une démarche d’évaluation économique est en cours sous l’égide de la DREES pour mesurer l’impact des dispositifs sur la qualité et les coûts de la prise en charge.

Le pilotage stratégique de TSN est assuré par la DGOS. L’Agence Nationale pour l’Appui à la Performance (ANAP) est chargée de la maîtrise d’ouvrage déléguée.

L’Agence française de la santé numérique (ASIP Santé) est en appui de l’ANAP pour fournir une d’expertise sur le volet numérique des projets pilotes TSN en vue de leur généralisation.

L’ASIP Santé :

n Identifie les référentiels et standards nationaux applicables aux projets TSN ;

n Les enrichit en capitalisant sur les innovations développées ;

n S’assure de l’acceptabilité et de la couverture de ces référentiels pour garantir cohérence et interopérabilité des projets mis en œuvre ;

n Accompagne les acteurs industriels et chefs de projets régionaux en l’absence de référentiel pour respecter le cadre légal, prendre en compte les bonnes pratiques, élaborer des spécifications ou recommandations communes aux projets.

Territoires TSN : E_Tics (Bourgogne) OIIS/PLEXUS OI (Océan indien) PASCALINE (Rhône-Alpes) Terr-eSanté (Ile-de-France) XL ENS (Aquitaine)

Territoires PAERPA

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Les projets et le calendriern Pour TSN :

Suite à un appel à projets (2014) et dans le cadre de la procédure régissant les Programmes Investissements d’Avenir (PIA) pilotée par le Commissariat Général à l’Investissement (CGI), cinq projets (sur 18 projets candidats) ont été sélectionnés pour être territoires pilotes TSN. Ils sont portés par les ARS (Agences Régionales de Santé). Au total, ils concernent un bassin de 1,4 millions de patients.

Après une mise en place en 2015 (phase de conception organisationnelle et technique), les cinq expérimentations ont été lancées en 2016.

L’année 2017 est l’année du bilan des pilotes, de la capitalisation et de la préparation de la généralisation potentielle des plateformes d’appui.

n Pour le programme PAERPA

Neuf parcours pilotes PAERPA ont été lancés entre octobre 2014 et janvier 2015.

Le premier parcours PAERPA a été lancé par la Ministre chargée des affaires sociales, de la Santé et des droits des femmes dans le Lochois le 26 septembre 2014.

La démarche PAERPA a été étendue en 2016 aux grandes régions n’ayant pas encore d’expérimentations (Bretagne, Normandie, Auvergne-Rhône-Alpes, Provence-Alpes-Côte d’Azur, Corse) tout en élargissant la taille des territoires actuels afin de pérenniser les dynamiques de coopération. Une réflexion est en œuvre pour développer PAERPA en Outre-Mer.

Ces extensions sont centrées sur le recours aux soins primaires.

Les actions autour des outils numériques PAERPA sont articulées avec les autres projets en cours portés par le Ministère et la CNSA, dont Territoires de Soins Numériques.

Capitalisation

L’accompagnement des acteurs par l’ASIP Santé

n TSN :

La loi du 26 janvier 2016 de modernisation de notre système de santé prévoit, dans son article 74, la mise en œuvre des Plateformes Territoriales d’Appui (PTA), avec pour objectif de « mettre en place un parcours organisé ».

TSN, avec pour chaque expérimentation au moins une PTA mise en œuvre, peut être considéré comme un test pour ce modèle (définition des outils et retours d’expérience).

Le bilan TSN définira les solutions organisationnelles et technologiques qui auront montré leur efficacité. Celles-ci pourront être proposées à la généralisation sur d’autres territoires.

Ces plateformes d’appui pourront également appuyer l’action des CTA effectives sur les territoires PAERPA.

n PAERPA :

La démarche PAERPA capitalise sur les outils existants : DMP, messagerie sécurisée de l’ASIP Santé, et plateformes de coordination déployées dans certains territoires.

Une démarche d’évaluation économique est en cours sous l’égide de la DREES pour mesurer l’impact des dispositifs sur la qualité et les coûts de la prise en charge.

Le pilotage stratégique de TSN est assuré par la DGOS. L’Agence Nationale pour l’Appui à la Performance (ANAP) est chargée de la maîtrise d’ouvrage déléguée.

L’Agence française de la santé numérique (ASIP Santé) est en appui de l’ANAP pour fournir une d’expertise sur le volet numérique des projets pilotes TSN en vue de leur généralisation.

L’ASIP Santé :

n Identifie les référentiels et standards nationaux applicables aux projets TSN ;

n Les enrichit en capitalisant sur les innovations développées ;

n S’assure de l’acceptabilité et de la couverture de ces référentiels pour garantir cohérence et interopérabilité des projets mis en œuvre ;

n Accompagne les acteurs industriels et chefs de projets régionaux en l’absence de référentiel pour respecter le cadre légal, prendre en compte les bonnes pratiques, élaborer des spécifications ou recommandations communes aux projets.

Territoires TSN : E_Tics (Bourgogne) OIIS/PLEXUS OI (Océan indien) PASCALINE (Rhône-Alpes) Terr-eSanté (Ile-de-France) XL ENS (Aquitaine)

Territoires PAERPA

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Dans le cadre de l’accompagnement des projets TSN, L’ASIP Santé produit notamment le guide de référence technique du programme TSN, évolutif, et qui a vocation de formaliser et diffuser les standards de référentiels applicables aux projets TSN ainsi que les recommandations d’interopérabilité à prendre en compte pour leur réalisation.

Pour préparer la généralisation des services jugés pertinents par les projets, l’ASP santé identifie des cas d’usage commun (fonction du « métier ») et propose un cadre « standard » applicable à l’ensemble des régions (TSN) à suivre par les offreurs de solutions (versant consommateur des services). Il permettra aux éditeurs de prendre compte ces pilotes dans leur roadmap à venir (périmètre large d’usages permettant aux industriels de pérenniser leurs investissements).

L’ASIP Santé :

n Fait évoluer le CI-SIS après instruction avec les porteurs de projets pour des services innovants non couverts par l’existant et les référentiels associés ;

n Prend position sur les orientations normatives proposées en consultation :

Du point de vue SI, les plateformes TSN fournissent principalement des services liés à l’échange et au partage de données de santé (test de compte utilisateur, passage de contexte, recherche d’identité patient, partage de document, échange de média, notifications, partage d’agenda…) en complément des services nationaux.

Au moins une plateforme d’appui au service de la coordination des professionnels et de l’information éclairée du patient et/ou des aidants, a ainsi été développée pour chacun des sites pilotes.

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Fondé sur l’article 48 de La Loi de Financement de la Sécurité Sociale (LFSS) pour 2013 et s’inscrivant dans le cadre de la Stratégie Nationale de Santé, le programme PAERPA, lancé opérationnellement avec la publication du cahier des charges des projets pilotes en janvier 2013, vise à améliorer le parcours de soins des personnes âgées de 75 ans et plus, qui représentent en France une personne sur dix et mobilisent entre le quart et la moitié des dépenses de santé.

L’objectif de ce programme est de préserver l’autonomie des personnes âgées.

Une initiative étendue à l’ensemble des régions françaises en 2016.

Un dispositif articulé autour de 5 actions clés :

n Renforcer le maintien à domicileLa démarche PAERPA porte une coordination renforcée des professionnels de santé de 1er recours au plus près de la personne âgée dès lors que sa situation médico-sociale le nécessite. Ainsi, le médecin traitant et un ou plusieurs professionnels de santé forment autour de la personne âgée, une coordination clinique de proximité.

n Améliorer la coordination des intervenants et des interventionsUn numéro unique accessible aux personnes âgées et à leurs aidants ainsi qu’aux professionnels est mis en place. Cette plateforme d’information et d’orientation appuie notamment les professionnels pour organiser au mieux les offres de services proposées par les différents dispositifs/structures existants des territoires à destination des personnes âgées et facilite l’accès aux droits et aux aides pour ces dernières. La Coordination Territoriale d’Appui (CTA) ainsi créée est effective sur tous les territoires PAERPA.

n Sécuriser la sortie d’hôpitalPour les personnes âgées qui ont été hospitalisées, la sortie de l’hôpital fait l’objet de dispositifs spécifiques avec l’appui de la CTA si besoin.

n Éviter les hospitalisations inutilesLe repérage, les actions d’éducation thérapeutique, la circulation d’informations entre professionnels, etc. permettent d’éviter les passages inutiles aux urgences et les hospitalisations mal préparées.

n Mieux utiliser les médicamentsLa polymédication est fréquente chez les personnes âgées. Des actions de révision d’ordonnance sont mises en place notamment en sortie d’hospitalisation en lien avec le médecin traitant et le pharmacien d’officine.

Le programme PAERPA : le parcours santé des aÎnés

Les principes de la démarche PAERPA

Le programme TSN est destiné à des patients dans des situations complexes nécessitant une prise en charge multimodale requérant une coordination entre acteurs de santé. Il a pour vocation d’être multi-parcours, pouvant s’adapter à la prise en charges de patients atteints de pathologies diverses ou au suivi long terme d’un schéma de prévention. Il peut également s’adresser aux personnes âgées en perte d’autonomie.

En 2013, deux programmes ont été lancés en expérimentation pour jeter les bases d’une excellence organisationnelle au service du patient: le programme Territoire de Soins Numérique (TSN) et le programme Personnes Agées en Risque de Perte d’autonomie (PAERPA). Chacun de ces programmes s’appuie sur des organisations spécifiques et utilise certains services numériques dédiés aux cas métiers traités.

Dans le cadre de la Stratégie Nationale de Santé (SNS 2013), la Ministre des Affaires Sociales et de la Santé a prévu l’utilisation du numérique comme levier de l’action publique pour « combattre les injustices et les inégalités de santé dans l’accès aux soins ».

Dans ce contexte, le programme Territoire Santé Numérique (TSN) lancé le 3 décembre 2013 a pour enjeu de favoriser l’émergence de territoires d’excellence :

n L’objectif général est l’amélioration de l’état de santé d’une population cible via le développement du parcours de soins et la prise en charge coordonnées des patients ;

n L’ambition est de faire émerger des solutions organisationnelles (mobilisation des professionnels de santé) et techniques innovantes (mobilisation des industriels) au service de ces objectifs ;

n L’ensemble des acteurs des filières sont ainsi associés au service d’une offre de soins optimisée et coordonnée au niveau du territoire test.

TSN a bénéficié de 80 M€ dans le cadre du Programme d’Investissement d’Avenir (PIA) financé par le Commissariat Général à l’Investissement (CGI) et la Caisse des Dépôts et Consignation (CDC) sur la période 2014-2017.

Fiche « Repère projet »

Le programme TSN : le progrès numérique au service du parcours de soins

Le programme TSN s’inscrit dans la continuité du Projet Hôpital Numérique visant à augmenter la maturité des systèmes d’information hospitaliers.

Opérationnellement, TSN repose sur 3 piliers :

n Une mise en œuvre d’organisations professionnelles innovantes et proactives sur le plan de la prévention, de l’organisation des soins en ambulatoire et à l’hôpital, et de l’utilisation des ressources. ;

n Une coordination forte entre les différents acteurs impliqués dans le parcours de santé du patient (acteurs ambulatoires, établissements sanitaires et médico-sociaux, réseaux de soins et de coordination) ;

n Des systèmes d’information innovants, interopérables, évolutifs, ouverts à l’ensemble des acteurs de la chaîne de soins et proposant des services nouveaux en soutien au développement des prises en charge innovantes et coordonnées.

Les principes de TSN

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

n Pour le programme PAERPA, dont le pilotage stratégique est assuré par La Direction de la Sécurité Sociale, l’ASIP santé est également en appui pour fournir une expertise sur le volet numérique.

n Elle fournit aux éditeurs les moyens de produire un PPS (Plan Personnalisé de Santé) dématérialisé, moyen de coordination communicable entre outils numériques pour permettre aux professionnels de prescrire et suivre le plan de soins.

Elle accompagne les éditeurs dans la sensibilisation et l’appropriation des référentiels. Et en cible, elle propose un socle de services numériques destinés aux acteurs de la coordination et l’intégration de fonctionnalités pour générer, exploiter des documents structurés dans les logiciels métiers des professionnels intervenants dans le parcours.

Ce socle sera proposé aux chefs de projet PAERPA pour positionner les activités sous-tendues par la mission de coordination et l’ASIP santé à partir de ce socle pourra les aider dans la rédaction des appels d’offre des territoires de seconde génération.

Pour plus d’informationsPublication : esante.gouv.fr

Dans le cadre de l’accompagnement des projets TSN, L’ASIP Santé produit notamment le guide de référence technique du programme TSN, évolutif, et qui a vocation de formaliser et diffuser les standards de référentiels applicables aux projets TSN ainsi que les recommandations d’interopérabilité à prendre en compte pour leur réalisation.

Pour préparer la généralisation des services jugés pertinents par les projets, l’ASP santé identifie des cas d’usage commun (fonction du « métier ») et propose un cadre « standard » applicable à l’ensemble des régions (TSN) à suivre par les offreurs de solutions (versant consommateur des services). Il permettra aux éditeurs de prendre compte ces pilotes dans leur roadmap à venir (périmètre large d’usages permettant aux industriels de pérenniser leurs investissements).

L’ASIP Santé :

n Fait évoluer le CI-SIS après instruction avec les porteurs de projets pour des services innovants non couverts par l’existant et les référentiels associés ;

n Prend position sur les orientations normatives proposées en consultation :

Du point de vue SI, les plateformes TSN fournissent principalement des services liés à l’échange et au partage de données de santé (test de compte utilisateur, passage de contexte, recherche d’identité patient, partage de document, échange de média, notifications, partage d’agenda…) en complément des services nationaux.

Au moins une plateforme d’appui au service de la coordination des professionnels et de l’information éclairée du patient et/ou des aidants, a ainsi été développée pour chacun des sites pilotes.

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE

S’INTÈGRE DANS LES PARCOURS DE SOINS

Fondé sur l’article 48 de La Loi de Financement de la Sécurité Sociale (LFSS) pour 2013 et s’inscrivant dans le cadre de la Stratégie Nationale de Santé, le programme PAERPA, lancé opérationnellement avec la publication du cahier des charges des projets pilotes en janvier 2013, vise à améliorer le parcours de soins des personnes âgées de 75 ans et plus, qui représentent en France une personne sur dix et mobilisent entre le quart et la moitié des dépenses de santé.

L’objectif de ce programme est de préserver l’autonomie des personnes âgées.

Une initiative étendue à l’ensemble des régions françaises en 2016.

Un dispositif articulé autour de 5 actions clés :

n Renforcer le maintien à domicileLa démarche PAERPA porte une coordination renforcée des professionnels de santé de 1er recours au plus près de la personne âgée dès lors que sa situation médico-sociale le nécessite. Ainsi, le médecin traitant et un ou plusieurs professionnels de santé forment autour de la personne âgée, une coordination clinique de proximité.

n Améliorer la coordination des intervenants et des interventionsUn numéro unique accessible aux personnes âgées et à leurs aidants ainsi qu’aux professionnels est mis en place. Cette plateforme d’information et d’orientation appuie notamment les professionnels pour organiser au mieux les offres de services proposées par les différents dispositifs/structures existants des territoires à destination des personnes âgées et facilite l’accès aux droits et aux aides pour ces dernières. La Coordination Territoriale d’Appui (CTA) ainsi créée est effective sur tous les territoires PAERPA.

n Sécuriser la sortie d’hôpitalPour les personnes âgées qui ont été hospitalisées, la sortie de l’hôpital fait l’objet de dispositifs spécifiques avec l’appui de la CTA si besoin.

n Éviter les hospitalisations inutilesLe repérage, les actions d’éducation thérapeutique, la circulation d’informations entre professionnels, etc. permettent d’éviter les passages inutiles aux urgences et les hospitalisations mal préparées.

n Mieux utiliser les médicamentsLa polymédication est fréquente chez les personnes âgées. Des actions de révision d’ordonnance sont mises en place notamment en sortie d’hospitalisation en lien avec le médecin traitant et le pharmacien d’officine.

Le programme PAERPA : le parcours santé des aÎnés

Les principes de la démarche PAERPA

Le programme TSN est destiné à des patients dans des situations complexes nécessitant une prise en charge multimodale requérant une coordination entre acteurs de santé. Il a pour vocation d’être multi-parcours, pouvant s’adapter à la prise en charges de patients atteints de pathologies diverses ou au suivi long terme d’un schéma de prévention. Il peut également s’adresser aux personnes âgées en perte d’autonomie.

TERRITOIRE DE SOINS NUMÉRIQUE, PERSONNES AGÉES EN RISQUE

DE PERTE D’AUTONOMIE : QUAND LE NUMÉRIQUE S’INTÈGRE DANS LES PARCOURS DE SOINS

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

Enjeux pour 2017

Pour plus d’informations

Les nouveaux enjeux de la sécurité des SIS et l’évolution du cadre juridique gouvernent les évolutions de la PGSSI-S.

La Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé prévoit l’opposabilité des référentiels de la PGSSI-S.

Dans ce cadre :n Un référentiel de gouvernance et de mise en œuvre de la PGSSI-S a été élaboré (en remplacement

des principes fondateurs élaborés en 2014) ;n Les référentiels d’identifi cation et d’authentifi cation des professionnels de santé sont en cours de

mise à jour ;n Le référentiel d’identifi cation des usagers et patients sera bientôt soumis à concertation, pour une

publication défi nitive avant la fi n 2017, et deviendront opposable d’ici mars 2018.

Seront publiés prochainement :n Le guide de gestion des équipements nomades ;n Des documents pratiques à destination des structures d’exercice coordonné telles les maisons et

centres de santé (modèle de charte d’accès et d’usage du système d’information, …).

De nouveaux référentiels sont en préparation et seront rendus opposables en 2018 :n Le référentiel d’authentifi cation des usagers et patients ;n Le référentiel d’imputabilité : mise à jour au cours du second semestre 2017.

Des projets liés à l’accompagnement, la pédagogie et la diffusion de la PGSSI-S sont également en cours d’élaboration : par exemple, plateforme e-learning, questionnaire d’auto-évaluation de maturité SSI, bibliographie etc… Ainsi qu’un LABEL ACCOMPAGNEMENT PGSSI-S destiné aux structures capables de promouvoir la PGSSI-S, notamment pour en expliquer les enjeux et le contenu des référentiels.

esante.gouv.fr/pgssi-s/presentation

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

PRÉREQUIS DE LA E-SANTÉ | PROCESSUS DE QUALIFICATION | SERVICES | ACCOMPAGNEMENT ET EXPERTISESCADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION DE SANTÉ

(PGSSI-S)

Le développement rapide de l’usage des technologies de l’information dans le domaine de la santé constitue un facteur important d’amélioration de la qualité des soins. Il s’accompagne toutefois d’un accroissement significatif des menaces et des risques d’atteinte aux informations conservées sous forme électronique et plus généralement aux processus de santé s’appuyant sur les systèmes d’information de santé.

Conscient de ces enjeux et face à ces risques, l’Etat élabore une Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), en concertation avec l’ensemble des acteurs partie prenante. La maîtrise d’ouvrage stratégique est assurée par la Délégation à la Stratégie des SI de Santé (DSSIS) et la maîtrise d’ouvrage opérationnelle par l’ASIP Santé.

La PGSSI-S est un corpus documentaire conforme avec la PSSI-MCAS, Politique de Sécurité du Système d’Information du Ministère Chargé des Affaires Sociales.

La PGSSI-S vise en premier lieu le secteur sanitaire, et couvrira ensuite les champs du médico-social et du social.

Elle constitue un cadre aidant les porteurs de projet dans la définition des niveaux de sécurité attendus, permettant aux industriels de préciser les niveaux de sécurité proposés dans leurs offres et accompagnant les structures de santé dans la définition et la mise en œuvre de leur politique de sécurité des SI.

Outre le document chapeau : Principes fondateurs de la PGSSI-S

Quatre référentiels :n Référentiel d’identification des acteurs sanitaires et médico-sociaux 1.0 ;n Référentiel d’authentification des acteurs de santé 2.0 ;n Référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur

de la santé 2.0 ;n Référentiel d’imputabilité 1.0.

Neuf guides pratiques spécifiques : n Règles pour les dispositifs connectés d’un Système d’Information de Santé 1.0 ;n Guide pratique spécifique pour la mise en place d’un accès Wifi 1.0 ;n Règles pour les interventions à distance sur les Systèmes d’Information de Santé (SIS) 1.0 ;n Guide pratique spécifique à la destruction de données lors du transfert de matériels informatiques

des Systèmes d’Information de Santé (SIS) 1.0 ;n Règles de sauvegarde des Systèmes d’Information de Santé (SIS) 1.0 ;n Plan de Continuité Informatique, Principes de base 1.0 ;n Règles pour la mise en place d’un accès web au SIS pour des tiers 1.0 ;n Guide des mécanismes de protection de l’intégrité des données stockées ;n Guide gestion des habilitations d’accès au SI.

Deux guides pratiques organisationnels : n Mémento de sécurité informatique pour les professionnels de santé en exercice libéral 1.0 ;n Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et

médico-social - Structure sans approche SSI formalisée 1.0.

Deux documents d’aide à la mise en œuvre : n Fiche de sensibilisation à la sécurité des systèmes d’information de santé 1.0 ;n Grille d’applicabilité des référentiels de la PGSSI-S 1.0.

La sécurite des SI : une gestion des risques à organiser Documents validés et publiés (avril 2017)

La PGSSI-S s’appuie sur des principes fondateurs qui fixent les grandes orientations en matière de sécurité des systèmes d’information de santé, et s’enrichit progressivement de référentiels qui sont amenés à devenir opposables, et de guides pratiques et organisationnels.

Les documents constitutifs de la PGSSI-S, actés dans le cadre d’un comité de pilotage, sont le fruit de groupes de travail composés d’institutionnels, de représentants d’établissements, de professionnels de santé et d’industriels. Ils sont livrés au fil de l’eau.

Dès qu’un document est stabilisé, l’ASIP Santé le soumet à concertation auprès des industriels, des établissements, des professionnels de santé et du grand public. Une fois les commentaires de concertation traités, une version validée est publiée sur le site esante.gouv.fr.

La PGSSI-S se veut pragmatique et réaliste :

n Elle est régulièrement mise à jour pour s’adapter aux évolutions industrielles et technologiques, aux usages et aux évolutions réglementaires.

n Par ailleurs, les référentiels et les guides pratiques se présentent avec une notion de paliers : un palier minimal aisé à atteindre et des paliers progressifs, permettant aux porteurs de projet d’améliorer progressivement la sécurité de leurs projets jusqu’au palier cible défini selon leur contexte.

Élaboration de la PGSSI-S

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION DE SANTÉ

(PGSSI-S)

Point de situation (mai 2017)Le référentiel de certifi cation a été validé par le comité de pilotage. Il sera approuvé par arrêté du ministre chargé de la Santé. Dans l’attente de cette approbation une version provisoire sera publiée sur le site e.sante.gouv.fr en juin 2017.

Le décret qui doit défi nir la procédure de certifi cation sera publié au JOFR au second semestre 2017. Il défi nira les modalités de mise en œuvre de la certifi cation et de transition entre la procédure d’agrément et de certifi cation : ■ Les agréments délivrés avant l’entrée en vigueur de la procédure de certifi cation produisent leur effet

jusqu’à leur terme ;■ Les hébergeurs dont l’agrément arrive à échéance moins de 12 mois après la date d’entrée en vigueur

de l’obligation de certifi cation, disposeront d’un délai pour se mettre en conformité avec l’obligation de disposer d’un certifi cat de conformité technique ;

■ Les demandes d’agrément et de renouvellement d’agrément déposées avant la date d’entrée en vigueur de l’obligation de certifi cation sont instruites selon la procédure d’agrément pour l’hébergement de données de santé sur support électronique (décret 2006-6 précité).

Ce décret désigne l’ASIP Santé comme l’organisme chargé d’établir et de participer au développement de la procédure de certifi cation.

ÉVOLUTION DE LA PROCÉDURE D’AGRÉMENT

DES HÉBERGEURSDE DONNÉES DE SANTÉ

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

Les modalités d’hébergement de données de santé à caractère personnel sont encadrées par l’article L.1111-8 du code de la santé publique :

■ Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte d’un tiers, doit être agréée à cet effet ;

■ L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime.

L’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel a modifié l’article L.1111-8 du code de la santé publique en distinguant explicitement trois grandes catégories de services d’hébergement de données de santé :

■ L’hébergement de données de santé sur support papier, qui doit être réalisé par un hébergeur agréé par le Ministre de la Culture (procédure déjà existante – cf. décret 2011-246) ;

■ l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un hébergeur agréé par le Ministre de la Culture dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils des ordres des professions de santé ;

■ l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un hébergeur certifié dans des conditions définies par décret en Conseil d’Etat pris après avis de la Commission Nationale de l’Informatique et des Libertés (CNIL)et des conseils des ordres des professions de santé.

Le décret n° 2006-6 du 4 janvier 2006 définit la procédure d’agrément pour l’hébergement de données de santé sur support informatique et les exigences à respecter : ■ Le décret fixe le contenu du dossier de demande d’agrément. Sont ainsi évalués la capacité financière

du candidat, le type de prestation proposée, le niveau de sécurité et les conditions du respect des principes de la protection des données personnelles et des droits des personnes ;

■ L’agrément est délivré pour une durée de trois ans par le ministre chargé de la Santé après avis de la CNIL et du comité d’agrément des hébergeurs (CAH - organe consultatif créé par le décret précité). Si l’hébergeur agréé souhaite poursuivre son activité d’hébergement au-delà des trois ans initiaux, il doit effectuer une demande de renouvellement d’agrément qui sera instruite comme la demande initiale.

La liste des hébergeurs agréés est publiée sur le site de l’ASIP Santé (http://www.esante.gouv.fr)

Un dispositif prévu par la loi

L’évolution de l’article L.1111-8

La procédure d’agrément

Évolution de la procÉdure d’agrÉment des hÉbergeurs de donnÉes de santÉ

Le nouveau dispositif pour l’hébergement de données de santé sur support numérique est défini par la DSSIS et l’ASIP Santé et validé par un comité de pilotage qui réunit des représentants institutionnels (Ministère de la Santé, ANSSI, CNIL, Fédérations hospitalières, Ordres, etc.) et des représentants d’industriels (AFHADS, ASINHPA, FEIMA, LESSIS, SNITEM et SYNTEC numérique).

Ce nouveau dispositif est une évaluation de conformité à un référentiel de certification, délivrée par un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) et choisi par l’hébergeur.

Deux certificatsDeux types de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :■ Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux

d’hébergement physique et d’infrastructure matérielle ;■ Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de

mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Référentiel de certificationLe référentiel de certification s’appuie sur des normes internationales :■ La norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;■ Des exigences de la norme ISO 20000 « système de gestion de la qualité des services» ;■ Des exigences de la norme ISO 27018 « protection des données à caractère personnel » ;■ Et des exigences spécifiques à l’hébergement de données de santé.

Procédure de certificationLa procédure de certification se fonde sur le processus standard de type système de management décrit dans la norme ISO 17021 et précisé dans la norme ISO 27006 :■ L’hébergeur choisit un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) ;■ Le cas échéant, l’organisme certificateur vérifie l’équivalence des éventuelles certifications ISO 27001 ou ISO

20000 déjà obtenues par l’hébergeur ;■ Un audit en deux étapes conformes aux normes en vigueur est alors effectué : - Étape 1 : audit documentaire. L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification. - Étape 2 : audit sur site. Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation basé sur les normes l’ISO 17021 et ISO 27006.L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur.Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être recommencé.Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur, lorsqu’aucune non-conformité n’est constatée.Un audit de surveillance annuel est effectué par l’organisme certificateur.

L’évolution de la procédure (Mise en œuvre début 2018)

Impacts généraux associésau changement d’IGC-Santé

Pour plus d’information sur l’IGC Santé :

Procédure de délivrance des certifi cats logiciels de l’IGC-Santé dans le cadre d’une structure

La mise en œuvre de l’IGC-Santé implique l’utilisation progressive de nouveaux types de certifi cats, cohabitant durant quelques années avec des certifi cats émis par les anciennes IGC. Elle nécessite des adaptations dans les applications et leur déploiement sur un volume conséquent de postes de travail et de serveurs. Chaque éditeur/gestionnaire d’application organise l’adaptation de son application et la migration de ses clients.

De manière générale, les adaptations concernent :■ L’ajout des chaînes de confi ance de l’IGC-Santé dans le « coffre-fort » des applications (serveurs et

postes de travail) et / ou des systèmes d’exploitation utilisant des certifi cats de l’IGC ; ■ La prise en compte de la nouvelle cryptographie de l’IGC-Santé, et l’adaptation des algorithmes

permettant aux applications d’interpréter les certifi cats ; ■ L’utilisation des composants logiciels apportés par la Cryptolib v5 ;■ Le renouvellement des certifi cats dans la nouvelle IGC.

L’éditeur/promoteur d’application : ■ Prend connaissance de la documentation technique fournie par l’ASIP Santé, en particulier le

document Migration des IGC-CPS vers l’IGC-Santé ; analyse des impacts sur les applications terrain et consignes de migration ;

■ Réalise une étude d’impact de la prise en compte de l’IGC-Santé (avec cohabitation des différentes IGC) et détermine sa stratégie de déploiement vis-à-vis de ses clients ;

■ Effectue les développements nécessaires sur son application pour la prise en compte des différents IGC ;

■ Peut mettre en œuvre l’interface web-services pour faciliter les demandes et révocation des certifi cats de l’IGC-Santé pour ses clients ;

■ Commande ses certifi cats de test en utilisant le portail internet mis à disposition par l’ASIP Santé, authentifi é avec une carte CPx de test, et effectue les tests pour valider ses développements ;

■ Informe l’ASIP Santé ([email protected]) lorsqu’il est prêt à migrer ses clients ; ■ Assiste ses clients dans les opérations de migration (mise à jour des applications et postes clients,

information donnée au client du(es) nom(s) du(es) certifi cat(s) de l’IGC-Santé à commander, procédure de demande et d’installation du certifi cat, …).

http://integrateurs-cps.asipsante.fr/IGC-Sante

Les certifi cats logiciels IGC-Santé sont délivrés aux structures qui disposent d’un contrat de commande de produits de certifi cation avec l’ASIP Santé. La demande s’effectue en deux étapes :

■ L’étape administrative : la demande d’habilitation pour commander des certifi cats IGC Santé s’effectue au moyen de formulaires ;

■ Puis l’étape technique : les administrateurs techniques peuvent générer les clés de sécurité du serveur, faire certifi er la clé publique par l’ASIP Santé et installer le(s) certifi cat(s).

NOUVELLE IGC-SANTÉ

CADRE DE LA E-SANTÉ | CERTIFICATIONS ET LABELS | SERVICES ET PROJETS | ACCOMPAGNEMENT ET EXPERTISES

ASIP Santé9, rue Georges Pitard - 75015 Paris

esante.gouv.fr

T. +33 (0)1 58 45 32 50

Du lundi au vendredi de 8h30 à 18h30 (hors jours fériés)

Pour favoriser le développement de la e-santé au service des professionnels de santé et pour le bénéfice des patients, l’ASIP Santé construit et fait évoluer un espace de confiance numérique qui repose sur les piliers suivants :

■ La politique générale de sécurité des systèmes d’Information de santé (PGSSI-S) ;■ Le répertoire partagé des professionnels de santé (RPPS) ;■ Les infrastructures de gestion de clés (IGC) dédiées au secteur santé qui : - Respectent des procédures rigoureuses de recueil des données d’identification professionnelle avec les autorités compétentes (autorités d’enregistrement du RPPS,…) ; - Émettent des certificats électroniques logiciels ou des certificats électroniques confinés dans les cartes de la famille CPS ; - Assurent la publication de ces certificats, et la prise en compte de leur révocation, signalée aux applications utilisatrices par des listes de révocation de certificats.

Sécuriser l’accès, l’échange et le partage des données de santé

Nouvelle IGC-SaNté

L’ASIP Santé met en place une nouvelle infrastructure de gestion de clés, appelée IGC-Santé, qui a vocation à devenir l’unique infrastructure de gestion de clés gérée par l’ASIP Santé, et à remplacer progressivement les deux IGC-CPS qui expirent fin 2020 et qui sont devenues obsolètes (vieillissement cryptographique…).

■ D’une part, l’IGC-CPS2bis qui émet des certificats logiciels ;■ D’autre part, l’IGC-CPS2ter qui émet les certificats d’authentification et de signature embarqués dans les

cartes de la famille CPS.L’IGC-Santé est conçue pour délivrer trois gammes en fonction du niveau de confiance attendu ; leur mise en œuvre s’effectue par étapes :

■ Étape 1 : l’IGC-Santé fournit les certificats logiciels de la gamme « Elémentaire », et à ce titre prend le relais l’IGC-CPS2bis.

- Service opérationnel depuis avril 2016.■ Étape 2 (avec la mise en place des autres gammes) : l’IGC-Santé prend le relais de l’IGC-CPS2ter pour délivrer

des certificats confinés dans les cartes de la famille CPS : - Cartes de TEST disponibles depuis mars 2017 ; - Début de la diffusion vers les utilisateurs réels à partir d’octobre 2017.

L’IGC-Santé apporte trois principales évolutions au regard des IGC précédentes :

1. Des mécanismes cryptographiques à l’état de l’artLes certificats délivrés par l’IGC-Santé sont conformes au référentiel général de sécurité (RGS) et aux standards internationaux de gestion des identités et des signatures/cachets électroniques. Dans ce cadre, une mise à niveau des caractéristiques techniques de l’IGC a été effectuée (taille de clés, algorithmes utilisés, …).

2. Une offre diversifiée de certificats logiciels L’IGC-Santé est en capacité de délivrer une variété de certificats logiciels destinés aux personnes morales (établissement de santé, structure médico-sociale, structure d’exercice coordonnée, GCS e-santé, etc) et aux personnes physiques (professionnels de santé, employées de structures de santé, etc), à la fois pour les besoins de production et de test/recette. Cette nouvelle offre permet de mieux répondre aux spécificités des usages cryptographiques (authentification, signature, chiffrement) et à l’évolution des conditions d’utilisation (dispositifs mobiles, mode SaaS, …), dans le respect des référentiels de la PGSSI-S.

3. Une amélioration des services associés aux certificats logicielsL’IGC-Santé met en œuvre deux nouvelles interfaces pour faciliter la demande, le retrait, la révocation et le suivi des certificats :

■ Un portail internet permettant aux administrateurs dûment habilités, et authentifiés avec une carte CPx, d’effectuer les différentes opérations ;

■ Une interface de type web-services facilitant la prise en compte des opérations dans les applications métiers. La demande de certificats (hors renouvellement) reste sujette à une étape administrative amont.

Nouvelle IGC-Santé, en remplacement des deux IGC existantes

Les atouts de l’IGC-Santé dès son ouverture

Application IHM : https://pfc.eservices.esante.gouv.fr

Application web services : https://pfc.eservices.esante.gouv.fr/ws-srvou https://pfc.eservices.esante.gouv.fr/ws-apt