Stratégie de déploiement Messageries Sécurisées de Santé
Transcription
Stratégie de déploiement Messageries Sécurisées de Santé
Stratégie de déploiement Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 1 Stratégie de déploiement La présente note vise à éclairer la démarche de mise en place d’un système de messageries sécurisées de santé en concertation avec l’ensemble des acteurs. 1 CONTEXTE DE MISE EN ŒUVRE DE MSSANTE Des projets de messageries nationales, régionales ou locales, aux succès variables, se sont développés au cours des dernières années. Force est de constater que leur absence d’interopérabilité, le faible taux d’adhésion des professionnels de santé au-delà des pionniers de la médecine de ville en ont limité l’intérêt (cf. Etat des lieux régional des messageries sécurisées de santé – juin 2013 réalisé par l’ASIP Santé). Les principales solutions existantes sur le terrain se répartissent en trois grandes catégories : Les messageries régionales : environ 20.000 adresses concentrées dans environ 4 régions sur une douzaine équipées ; La solution Apicrypt : première solution avec 45000 utilisateurs (médecins de ville), elle ne satisfait pas à ce jour à l’obligation de disposer d’un agrément pour l’hébergement de données de santé ; Les Outils de Sécurisation de Messagerie (OSM) : non déployés, ils ne sont plus promus par l’ASIP Santé. Au total, on compte environ 65 000 boîtes aux lettres sécurisées pour près d’un million deux cent mille professionnels de santé soit 5,5%. Dans ce paysage, un petit nombre d’établissements de santé s’est équipé pour transmettre vers l’extérieur de façon automatisée et sécurisée les documents produits (lettre de sortie, compte-rendu d’hospitalisation, compte-rendu opératoire, etc.). Mais en l’absence d’interopérabilité des services de messagerie sécurisée un déploiement à large échelle reste impossible. La majorité des professionnels et établissements de santé travaillent encore par courrier et téléphone. Au regard de l’usage devenu massif par les professionnels de santé de services de messagerie non sécurisés (sur leur poste de travail ou leur Smartphone), le risque de perte de confidentialité sur les données devient majeur. Partageant le constat de l’ASIP Santé et soucieux des questions de confidentialité des données et de responsabilité des professionnels, le Conseil National de l’Ordre des Médecins (CNOM) a pris l’initiative en 2010 de proposer la création d’adresses de messagerie sécurisée pour les médecins. Sur la base d’un travail élargi à l’ensemble des Ordres des professions de santé (médecins, pharmaciens, chirurgiens-dentistes, sages-femmes, masseurs-kinésithérapeutes, infirmiers, pédicures podologues), l’ASIP Santé a conçu un système de Messageries Sécurisées de Santé offrant le cadre nécessaire au développement de services interopérables de messagerie sécurisée afin de permettre à toutes les messageries existantes de développer leurs usages en s’inscrivant dans un espace de confiance commun. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 2 Stratégie de déploiement 2 UN ESPACE DE CONFIANCE COMMUN RESPECTANT L’EXISTANT ET LA LOI En mettant en place les conditions de développement de messageries sécurisées de santé, les pouvoirs publics répondent à une attente des acteurs de faciliter leurs échanges interprofessionnels dans le cadre de la prise en charge de leurs patients, tout en garantissant le respect de la loi et de l’éthique professionnelle. L’espace de confiance MSSanté comprend : Un annuaire national MSSanté s’appuyant en particulier sur le RPPS : il permet de référencer l’ensemble des professionnels de santé (libéraux ou exerçant en établissement). Cet annuaire commun définit une communauté fermée d’utilisateurs clairement identifiés ; Une « liste blanche » des opérateurs gérant des domaines de messagerie sécurisée autorisés à échanger dans l’espace de confiance MSSanté; Un référentiel s’appuyant sur les standards du web et de la messagerie, permettant aux industriels de développer simplement des offres interopérables entre tous les opérateurs MSSanté. L’espace de confiance permet l’échange de données de santé à caractère personnel par mail sécurisé entre professionnels de santé (messagerie interprofessionnelle) ou entre systèmes d’informations de l’espace de confiance (messagerie inter-applicative). Tous les domaines de messageries des acteurs du monde de la santé (établissements de santé, opérateurs privés ou publics, gérants des données de santé) ont vocation à intégrer cet espace de confiance commun. MSsanté offre à tous un cadre permettant de respecter les exigences de la loi Tout opérateur de messagerie de santé doit garantir le respect des textes relatifs à la confidentialité et à l’hébergement. Au regard de sa finalité qui est d’échanger des données à caractère personnel dont des données de santé, le système MSSanté est développé dans le respect de la loi « Informatique et Libertés » et des dispositions du code de la santé publique. En outre, afin de garantir la confidentialité des données ainsi échangées et conformément à l’article L1110-4 du code de la santé publique, le système MSSanté impose l’utilisation de moyens d’authentification forte par carte de professionnel de santé ou tout autre dispositif équivalent. La Commission nationale de l’informatique et des libertés (CNIL) a autorisé l’accès à la messagerie MSSanté, par carte CPS mais aussi par login/mot de passe associé à un mot de passe à usage unique (comme les systèmes de paiement par internet). Enfin l’article L1111-8 du Code de le Santé public décrit les conditions d’hébergement de données de santé à caractère personnel. Le patient devra bien sûr, comme l’exige la loi, être informé de ces nouvelles modalités d’échanges entre professionnels de santé. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 3 Stratégie de déploiement 3 LES ETAPES DE LA MISE EN ŒUVRE Le système MSSanté est construit et déployé par étapes, dans une démarche pragmatique, selon les principes du « bêtatest ». Pour assurer le démarrage du système, l’ASIP Santé a planifié les deux premiers jalons de cette mise en œuvre. Un jalon pour commencer : le service opéré par l’ASIP Santé en partenariat avec les Ordres Accessible en bêtatest depuis juin 2013 ce premier service générique rend possible la sensibilisation et le déploiement auprès des acteurs, principalement les professionnels de santé libéraux. Le portail mssante.fr permet à tout détenteur d’une carte CPS de disposer gratuitement d’une boite aux lettres sécurisée MSSanté. Sous réserve d’une évolution législative, cette messagerie pourrait également être utilisée par des acteurs non professionnels de santé du secteur médico-social. Les expérimentations PAERPA, instaurées par l’art 48 de la LFSS 2013, permettront de valider l’utilité d’une telle extension. Un jalon pour confirmer : le cadre de mise en œuvre d’autres services MSSanté compatibles L’évolution est majeure et comprend : Des spécifications opérateurs (Dossier des Spécifications Fonctionnelles et Techniques), un contrat type pour intégrer l’espace de confiance MSSanté, et les composants indispensables à tous les opérateurs (annuaire commun et liste blanche des domaines autorisés) ; Des spécifications clients (Dossier des Spécifications Techniques), utiles aux éditeurs de clients de messagerie et de logiciels de professionnels de santé, souhaitant exploiter les boites aux lettres proposées par l’ASIP Santé, ou de tout autre opérateur qui choisirait les mêmes standards ; Un client de messagerie Open source (Mozilla Thunderbird) adapté de façon à être compatible avec le service MSSanté ; Des applications (Android et Apple IOS) permettant l’accès en mobilité avec authentification forte au service MSSanté opéré par l’ASIP Santé. Cette étape permet l’apparition de multiples opérateurs (dont les établissements de santé) et de solutions sécurisées et interopérables dans l’espace de confiance. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 4 Stratégie de déploiement 4 DEPLOIEMENT : UNE APPROCHE SYSTEMIQUE L’ASIP Santé a pour mission de contribuer à l’adoption rapide de messageries sécurisées de santé. Pour cela elle propose un ensemble d’actions d’accompagnement impliquant les différents acteurs selon une approche nécessairement systémique structurée autour de 4 axes. L’histoire des grands projets de SI de santé le prouve : la mobilisation durable clairement exprimée des pouvoirs publics ainsi que l’ensemble des acteurs institutionnels conditionne la réussite du projet MSSanté. La phase de préparation initiée en 2013 avec la ville comme avec les établissements, constitue le point de départ de cette mobilisation. 4.1 L’AXE INSTITUTIONNEL Les enjeux du système MSSanté sont reconnus par les pouvoirs publics. Le projet MSSanté a été approuvé par les membres de l’assemblée générale de l’ASIP Santé : directions du ministère, Délégation à la stratégie des systèmes d'information de santé (DSSIS), Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) et Caisse nationale de solidarité pour l'autonomie (CNSA). La Stratégie Nationale de Santé présentée en septembre 2013 intègre la mise en place d’une messagerie sécurisée de santé et la Ministre de la santé a pris « l’engagement […] de promouvoir le développement des messageries sécurisées entre les professionnels de santé ». Pour permettre la mise en œuvre opérationnelle du système et son adoption, un certain nombre d’actions doivent être mises en œuvre : Mobiliser les établissements : circulaire DGOS aux établissements de santé afin de les inciter à rejoindre l’espace de confiance en cohérence avec le cadre du Programme Hôpital Numérique ; Informer et sensibiliser les ARS : instruction aux ARS en déclinaison de la Stratégie Nationale de Santé, pour inscrire l’usage des messageries sécurisées conformes à la loi dans les CPOM signés avec les établissements ; Motiver les professionnels de santé : inscription de l’usage de messageries sécurisées dans la convention médicale signée entre la CNAMTS et les professionnels de santé libéraux (dispositif de Rémunération sur Objectifs de Santé Publique - ROSP), et mobilisation du réseau des CPAM pour la sensibilisation des professionnels de santé ; Informer les partenaires institutionnels : inscrire MSSanté dans les projets pilotés par le Ministère de la Santé en lien avec la e-santé (par exemple dans le cadre du programme PAERPA piloté par la DSS, ou pour la diffusion des alertes sanitaires avec la DSS) ; Mobiliser les laboratoires : à l’occasion du décret concernant les laboratoires de biologie renforcer les apports des contenus dématérialisés produits par les laboratoires de ville. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 5 Stratégie de déploiement A terme, les exigences de sécurisation des échanges tels que mis en œuvre par le système MSSanté, pourraient être rendus opposables par voie réglementaire. Par ailleurs, le projet MSSanté associe depuis sa conception de nombreux autres partenaires institutionnels : Les ordres professionnels : le projet bénéficie de leur soutien et ils contribuent activement à son avancement. Dès l’automne 2013 ils ont commencé à communiquer auprès de leurs adhérents ; Les syndicats et fédérations des professionnels et établissements de santé ont tous été rencontrés ; Les représentants des DSI des établissements de santé (CNSI, collèges des DSI de CH et de CHU…) ont été impliqués dans les travaux de mise au point du système ; Les industriels ont été régulièrement informés et consultés via leurs fédérations, la concertation autour du DSFT, ou encore des rencontres directes pour ceux qui en ont émis le souhait. Une centaine de réunions de concertation ont été réalisées avec eux entre novembre 2012 et février 2014. Il est important de continuer à mobiliser ces partenaires dans la suite du projet. Un Comité de Pilotage Institutionnel MSSanté associant les directions du ministère (DGOS, DSS, DGS), le Secrétariat Général des ministères chargés des affaires sociales, les ARS et la CNAMTS, a été mis en place. C’est une instance d’information et d’échanges indispensable au soutien du projet et à la mise en cohérence de l’ensemble des actions. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 6 Stratégie de déploiement 4.2 L’AXE TECHNIQUE Une adoption généralisée des usages ne pourra intervenir qu’à partir du moment où : Les « fournisseurs de données » (établissements et laboratoires) seront en capacité d’échanger dans l’espace de confiance ; L’utilisation d’outils de messagerie interopérables sera disponible directement depuis le logiciel métier des professionnels de santé ; L’accès aux mails sécurisés sera possible en mobilité et de façon simple sur tablette ou mobile comme l’exige l’évolution générale des usages. Enfin, l’adoption par les professionnels de santé des messageries sécurisées sera largement favorisée par l’apparition, dans les logiciels métiers, de fonctions intelligentes, simples et ergonomiques. Les principes mis en œuvre dans la conception du système répondent à ces enjeux : En s’appuyant sur des standards techniques pour permettre aux industriels et éditeurs, à partir de développements simples, de proposer des outils sécurisés, communicants, plus riches et plus pratiques comme cela existe en dehors du monde de la santé. Avec les composants et spécifications utiles proposé par l’ASIP Santé aux opérateurs de messagerie et aux éditeurs de clients (clients de messageries ou logiciels métier) En ouvrant la voie à l’utilisation de moyens d’authentification forte alternatifs, équivalents à la CPS. Une première évolution indispensable du service MSSanté est d’ores et déjà prévue pour 2014 : des applications mobiles (IOS et Android) permettront d’accéder aux mails sécurisés gérés via le service de l’ASIP Santé. Pour concrétiser ces principes, il est prévu de poursuivre la mobilisation des industriels en organisant des ateliers – sur la base des spécifications - et de prioriser la mise à disposition d’applications permettant d’accéder aux mails sécurisés. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 7 Stratégie de déploiement 4.3 L’AXE METIER L’adoption de MSSanté par les professionnels de santé passe par leur « intérêt à faire ». Celui-ci dépend largement de la possibilité de recevoir des contenus pertinents au format numérique. Le bénéfice concret attendu est le gain de temps que l’utilisation de MSSanté, dans la durée, apportera aux professionnels de santé. Un levier majeur du déploiement réside dans la capacité de la messagerie à s’adapter à toutes les organisations métiers et à leurs usages (ville/hôpital, télémédecine, coopération inter-hospitalière etc.). A plus long terme, le gain de temps viendra de la possibilité d’intégrer les contenus des emails dans les logiciels métiers grâce à la structuration des données (notamment les résultats de biologie envoyés automatiquement). Le premier message à faire passer doit être : « MSSanté c’est simple et cela fait gagner du temps. Protéger les données de vos patients est possible dès maintenant ». 4.4 L’AXE PROXIMITE/CHANGEMENT Le déploiement s’organise autour de 2 grandes phases : une phase de préparation, démarrée en juin 2013, permet de montrer les premiers usages d’échanges sécurisés avec de multiples opérateurs au printemps 2014 ; Une phase de généralisation lancée dès que tous les acteurs seront prêts. Le présent chapitre décrit la phase de préparation, en se focalisant sur l’accompagnement des établissements de santé. Les deux premières étapes de cette phase consistent à ouvrir un premier service simple à l’attention des professionnels de santé (pour rendre possible l’échange) puis a à engager l’ensemble des établissements de santé et des éditeurs dans l’adaptation de leurs outils et de leur organisation (pour amener le contenu indispensable au développement des échanges). Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 8 Stratégie de déploiement 4.4.1 PREMIER DEPLOIEMENT DU SERVICE MSSANTE AUPRES DES PROFESSIONNELS DE SANTE Les professionnels de santé, libéraux ou hospitaliers, doivent adopter de nouveaux usages d’échanges sécurisés dans une logique interprofessionnelle, au service de la coordination des soins. Pour cela doit s’imposer la conviction que la messagerie sécurisée est un facteur majeur de protection de leur responsabilité dès qu’ils échangent des données de santé à caractère personnel. La démonstration ne peut être faite que dans le cadre de leur pratique et avec leurs outils quotidiens. Pour cela depuis juin dernier, des professionnels de santé libéraux volontaires testent le service MSSanté : ils sont betatesteurs. Un système d’invitation des correspondants a été conçu afin de permettre aux PS le souhaitant de recréer leur réseau habituel d’échange. Leurs retours sur cette première étape permettent de faire évoluer et d’améliorer le système avant sa généralisation. L’enjeu est d’animer et de préparer les usages de ce service. Il conviendra de mettre en œuvre des actions de sensibilisation auprès de cette cible : réunions d’information en région, messages portés par les acteurs institutionnels nationaux et régionaux, « bouche à oreille » des collègues (marketing viral), etc. Dès la mise en route des établissements de santé ces derniers prendront le relais par une communication MSSanté très opérationnelle auprès de leurs correspondants sur leur bassin de santé. Enfin une campagne de communication sur le thème de la sécurité des données de santé est envisagée en phase de généralisation. 4.4.2 PREPARATION DES ETABLISSEMENTS DE SANTE L’objectif est de recruter largement des ES volontaires parmi les 3 000 établissements de santé et de les accompagner dans la préparation des usages. Les efforts seront toutefois concentrés sur les plus grands établissements MCO (médecine chirurgie obstétrique) qui réalisent près de 80% de l’ensemble des flux échangés et sont donc les principaux fournisseurs de contenus pour les libéraux et structures d’aval. A l’échelle des projets SI en établissements de santé, rejoindre l’espace de confiance MSSanté est un projet techniquement plutôt simple permettant de respecter la réglementation sur l’échange de données de santé à caractère personnel, et de dématérialiser les échanges en diminuant ainsi le nombre d’envoi de courriers et le temps passé à les gérer. o Les établissements betatesteurs Depuis novembre 2013, l’ASIP Santé accompagne avec le soutien de la direction générale de l’offre de soins (DGOS) un groupe de 15 premiers établissements volontaires pour utiliser le système MSSanté dès ouverture afin de témoigner avec leurs éditeurs aux Salons Santé et Autonomie de mai 2014. Une lettre d’engagement a été signée par le Directeur et le Président de la commission médicale d'établissement (CME) de chaque établissement. Les travaux réalisés avec les 15 premiers établissements permettront d’affiner le plan de généralisation MSSanté dans les établissements, et d’outiller chacun d’entre eux : Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 9 Stratégie de déploiement o Scénarios pour rejoindre l’espace de confiance, grandes tâches du plan projet ; Implication des éditeurs, choix d’architecture technique, tests et recette ; Contractualisation avec l’ASIP Santé, publication des boites aux lettres ; Communication auprès des professionnels de santé correspondants ; Information des patients ; Etc. Les établissements pilotes 2014 Après le démarrage de ces pionniers et dans la continuité de cet accompagnement rapproché, l’ASIP Santé appuiera tous les établissements pilotes volontaires, qui seront sollicités en 2014 par le biais d’une circulaire DGOS adressée aux 3 000 établissements de santé. L’accompagnement de ces établissements pilotes est conçu selon trois étapes: 1. L’ES inscrit un ou plusieurs correspondants que l’ASIP Santé contacte et invite à assister à une web-formation. L’établissement est considéré comme étant un établissement candidat pour devenir pilote ; 2. L’ES a manifesté son intérêt et décide de déployer la messagerie sécurisée. L’établissement signe une lettre d’engagement avec l’ASIP Santé et définit une date de lancement du projet : l’établissement est alors engagé et bénéficie d’un accompagnement organisationnel et technique (lancement, plan projet, conseil, etc.). A l’issue de cette phase, il a réalisé les tests nécessaires pour rentrer dans l’espace de confiance, il répond aux exigences de la CNIL et si besoin à celles relatives à l’hébergement de données de santé. 3. L’établissement devient alors utilisateur : il est en mesure d’échanger sur son bassin de santé. L’ASIP Santé l’aide à organiser la communication avec ses correspondants habituels (mailing et/ou phoning au nom de l’ES). L’objectif est d’accompagner les libéraux du bassin de l’établissement dans l’ouverture de leur boite aux lettres et d’initier les échanges dématérialisés ville/hôpital. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 10 Stratégie de déploiement 4.5 ENGAGEMENT DES REGIONS Selon la stratégie définie par chaque Agence Régionale de Santé (ARS), les maîtrises d’ouvrage régionales e-santé (MOAR) peuvent jouer un rôle actif dans le déploiement du système MSSanté : En informant/sensibilisant les établissements et les professionnels de santé. L’ASIP santé apporte son appui dans cet effort : plus d’une douzaine de régions intéressées ont déjà été rencontrées ; En accompagnant les établissements dans la mise en œuvre de leur projet ; En contribuant au développement des usages ; Le cas échéant en faisant évoluer la solution de messagerie régionale. L’ASIP Santé met à disposition des MOAR l’ensemble des outils d’accompagnement leur permettant de s’approprier le sujet et d’en faire la pédagogie en région (web-formations, supports de présentation, brochures…). Enfin les maîtrises d’ouvrage régionales e-santé promotrices de solutions de messagerie sécurisée régionales peuvent bénéficier d’un appui direct de l’ASIP Santé pour les aider à définir leur stratégie et à basculer vers MSSanté. Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 11 Stratégie de déploiement Messageries Sécurisées de Santé (MSSanté) Mars 2014 Page 12