Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Aucune catégorie
Telechargé par p.briot

charte informatique CEM

publicité 
20
Charte d’accès et d’usage du Système
d’Information du Centre Eugène Marquis
Annexe I du règlement intérieur du Centre Eugène Marquis de Rennes
TABLE DES MATIERES
1
2
3
4
5
6
7
8
Objet du document .................................................................................................. 21
Champ d’application ................................................................................................. 21
Les fondamentaux de la sécurité des SI ...................................................................... 22
3.1
Principes ........................................................................................................... 22
3.2
Une mission sécurité ........................................................................................... 22
3.3
Un enjeu technique et organisationnel .................................................................. 22
3.4
Une gestion des risques ...................................................................................... 22
Règles de sécurité .................................................................................................... 23
4.1
Identification des personnels ............................................................................... 23
4.1.1
Arrivée d’un utilisateur .................................................................................. 23
4.1.2
Départ ou suspension d’activité d’un utilisateur ................................................ 23
4.1.3
Moyens d’authentification .............................................................................. 24
4.2
Bon usage de l’information .................................................................................. 25
4.2.1
Confidentialité de l’information et obligation de discrétion ................................. 25
4.2.2
Protection de l’information ............................................................................. 25
4.3
Bon usage des outils de communication ................................................................ 26
4.3.1
Usage du téléphone, des GSM et du fax .......................................................... 26
4.3.1
Usage des outils de visioconférence et de téléconsultation ................................. 26
4.3.2
Usage d’Internet .......................................................................................... 27
4.3.3
Usage de l’Intranet ....................................................................................... 27
4.3.1
Usage de la messagerie ................................................................................ 28
4.3.1
Autres moyens sécurisés de transferts de données ........................................... 29
4.4
Bon usage des ressources informatiques ............................................................... 29
4.4.1
Utilisation responsable des équipements informatiques ..................................... 29
4.4.1
Usage des périphériques de stockage ............................................................. 30
4.4.2
Usage des consommables ............................................................................. 30
4.5
Usage de terminaux personnels ........................................................................... 31
Informatique et Libertés ........................................................................................... 32
Surveillance du Système d’Information ....................................................................... 32
6.1
Traçabilité ......................................................................................................... 32
6.1
Contrôle ............................................................................................................ 33
6.2
Alertes .............................................................................................................. 33
Responsabilités et sanctions ...................................................................................... 33
Mise à jour de cette charte ........................................................................................ 34
Centre Eugène Marquis
21
1
Objet du document
La présente Charte a pour objet de décrire les règles d'accès et d’utilisation des ressources
informatiques, des applications et des services Internet du Centre Eugène Marquis et rappelle à
ses utilisateurs les droits et les responsabilités qui leur incombent dans l’utilisation du Système
d’Information.
Elle pose des règles permettant d’assurer la sécurité et la performance du Système
d’Information de l’établissement, de préserver la confidentialité des données dans le respect de
la réglementation en vigueur et des droits et libertés reconnus aux utilisateurs, conformément à
la politique de sécurité du Système d’Information définie par l’établissement.
Cette Charte a été validée par la Direction Générale de l’établissement. Préalablement à sa mise
en œuvre, elle a été notifiée au Comité Social et Economique et à la Commission Médicale
d’Etablissement. Elle constitue une annexe au Règlement Intérieur de l’établissement.
Les membres du personnel et les personnels extérieurs sont invités à en prendre connaissance
et à l’accepter formellement à leur prise de fonction. La Charte est disponible sur l’Intranet.
Les obligations de sécurité supplémentaires des fournisseurs et prestataires de service sont
décrites dans une Charte additionnelle et spécialisée disponible auprès de la Direction des
Systèmes d’Information.
2
Champ d’application
La présente Charte concerne les ressources informatiques, les applications, les services Internet
et téléphoniques du Centre Eugène Marquis, ainsi que tout autre moyen de connexion à
distance permettant d’accéder, via le réseau informatique, aux services de communication ou
de traitement électronique interne ou externe. Il s’agit principalement des ressources suivantes
:

Ordinateurs et terminaux fixes et portables ;

Copieurs, imprimantes simples ou multifonctions, scanners ;

Tablettes et Smartphones ;

Téléphones d’entreprise ;

Applications hébergées au CEM ;

Services métiers hébergés sur internet.
Cette Charte s’applique à l’ensemble du personnel du Centre Eugène Marquis, tous statuts
confondus. Elle concerne également les personnels permanents ou temporaires (stagiaires,
internes, doctorants, prestataires, fournisseurs, sous-traitants, …) utilisant les moyens
informatiques de l’établissement et les personnes qui ont la possibilité d’accéder au Système
d’Information à distance.
Dans la présente Charte, sont désignés sous les termes suivants :

Ressources informatiques : les moyens informatiques, ainsi que ceux auxquels il
est possible d’accéder à distance, directement ou en cascade à partir du réseau
administré par l’entité ;

Outils de communication : la mise à disposition par des serveurs locaux ou distants
de moyens d’échanges et d’informations diverses (Portail VPN, web, messagerie,
visioconférence, téléphonie, etc.) ;

Utilisateurs : les personnes ayant accès ou utilisant les ressources informatiques et
les outils de communication de l’établissement.
Centre Eugène Marquis
22
3
Les fondamentaux de la sécurité des SI
3.1 Principes
Le Centre Eugène Marquis héberge des données et des informations médicales et
administratives sur les patients (dossier médical, dossier de soins, dossier images et autres
dossiers médicotechniques, …), et sur les personnels (paie, gestion du temps, évaluations,
accès à Internet et à la messagerie, …).
L’information se présente sous de multiples formes : stockée sous forme numérique sur des
supports informatiques, imprimée ou écrite sur papier, imprimée sur des films (images),
transmise par des réseaux informatiques privés ou internet, par la poste, oralement et/ou par
téléphone...
La sécurité de l’information est caractérisée comme étant la préservation de :
-
Sa disponibilité : l’information doit être accessible à l’utilisateur, quand celui-ci en a
besoin ;
Son intégrité : l’information doit être exacte, exhaustive et conservée intacte pendant
sa durée de vie ;
Sa confidentialité : l’information ne doit être accessible qu’aux personnes autorisées à
y accéder ;
Sa traçabilité : les systèmes doivent comporter des moyens de preuve sur les accès et
opérations effectuées sur l’information.
3.2 Une mission sécurité
La Direction des Systèmes d’Information (DSI ci-après) fournit un Système d’Information qui
s’appuie sur une infrastructure informatique. Il doit assurer la mise en sécurité de l’ensemble
c’est-à-dire protéger ces ressources contre des pannes, des erreurs ou des malveillances. Il doit
aussi protéger les intérêts économiques de l’établissement en s’assurant que ces moyens sont
bien au service de la production de soins. Il doit donc définir et empêcher les abus.
3.3 Un enjeu technique et organisationnel
Les enjeux majeurs de la sécurité sont la qualité et la continuité des soins, le respect du cadre
juridique sur l’usage des données personnelles de santé.
Pour cela, la Direction des Systèmes d’Information déploie un ensemble de dispositifs
techniques mais aussi organisationnels. En effet, au-delà des outils, la bonne utilisation des
moyens informatiques est essentielle pour garantir un bon niveau de sécurité. La sécurité peut
être assimilée à une chaîne dont la solidité dépend du maillon le plus faible. Certains
comportements humains, par ignorance des risques, peuvent fragiliser le Système
d’Information.
3.4 Une gestion des risques
L’information médicale, qu’elle soit numérique ou non, est un composant sensible qui intervient
dans tous les processus de prise en charge des patients. Une information manquante, altérée
ou indisponible peut constituer une perte de chance pour le patient (exemples : erreur dans
l’identification d’un patient (homonymie par exemple), perte de données suite à une erreur
Centre Eugène Marquis
23
d’utilisation d’une application informatique, …). La sécurité repose sur une gestion des risques
avec des analyses des risques potentiels, des suivis d’incidents, des dispositifs d’alertes. La
communication vers les utilisateurs est un volet important de cette gestion. La présente Charte
d’accès et d’usage du Système d’Information s’inscrit dans ce plan de communication.
4
Règles de sécurité
4.1 Identification des personnels
Il est indispensable pour garantir la sécurité du Système d’Information, que la Direction des
Ressources Humaines et la Direction des Systèmes d’Information, par son intermédiaire,
connaissent de façon exacte, et à tout moment, la population qui travaille dans l’établissement
et/ou est susceptible d’avoir accès à l’information, et le rôle de chaque professionnel.
4.1.1
Arrivée d’un utilisateur
L’accès au Système d’Information de l’établissement, et aux informations médicales à caractère
personnel qu’il contient, est soumis à autorisation.
Tout professionnel arrivant au Centre Eugène Marquis est reçu par la Direction des Ressources
Humaines qui lui fournit la présente Charte et recueille son acceptation formelle sur la fiche de
renseignements administratifs. Une fois la Charte acceptée, une demande de création de
compte est envoyée à la DSI avec le profil métier du nouvel arrivant.
Chaque profil dispose de droits d’accès et de droits d’usage propre à sa fonction. Le détail des
droits d’accès aux différentes fonctions des applications médicales, pour chacun des profils du
CEM, est disponible sur l’intranet du CEM à côté du règlement intérieur.
Ce droit d’accès est strictement personnel et concédé à l’utilisateur pour des activités
exclusivement professionnelles. Il ne peut être cédé, même temporairement à un tiers. Il est
donc interdit de permettre ou de favoriser l’accès au Système d’Information à toute personne
dont la présence ne serait pas dûment répertoriée par la Direction des Ressources Humaines,
par exemple les personnels conventionnés, stagiaires, thésards, vacataires, intérimaires,
prestataires ou tout autre type d’intervenant, extérieur au Centre Eugène Marquis.
L’obtention d’un droit d’accès au Système d’Information de l’établissement de santé entraîne
pour l’utilisateur les droits et les responsabilités précisées dans la suite de ce document.
4.1.2
Départ ou suspension d’activité d’un utilisateur
Tout droit prend fin lors de la cession, même provisoire, de l’activité professionnelle de
l’utilisateur, ou en cas de non-respect des dispositions de la présente Charte par l’utilisateur. La
Direction des Ressources Humaines prévient au plus vite la Direction des Systèmes
d’Information du départ définitif d’un professionnel ou de son absence longue durée pour
pouvoir supprimer ou adapter les droits d’accès aux informations de l’établissement.
Au départ d’un utilisateur, la DSI procède à la désactivation immédiate du compte Windows ce
qui provoque la perte de l’accès à son répertoire personnel, à sa messagerie professionnelle et
sécurisée. Un message d’absence définitive sera installé invitant à correspondre avec une autre
adresse de messagerie de substitution.
Ces trois éléments seront détruits définitivement 3 mois calendaires après le départ de
l’utilisateur.
Centre Eugène Marquis
24
Pendant cette période, tout sous-répertoire ou dossier de messagerie portant une mention
« privé », « personnel » ou « confidentiel » pourra être restitué par la DSI à l’utilisateur, si
l’utilisateur est parti de manière non standard (maladie, accident, faute grave) et n’a pu
récupérer ses données personnelles.
L’accès aux données professionnelles (exclusivement) sera temporairement accordé au N+1
pendant la période de conservation.
En cas de remplacement par un autre utilisateur ce dernier n’aura pas accès à la boite mail du
partant si celle-ci est nominative, seul le responsable de l’ancien utilisateur pourra faire la
liaison.
4.1.3
Moyens d’authentification
Chaque utilisateur dispose d’un compte nominatif lui permettant d’accéder aux applications du
Système d’information de l’établissement. Ce compte est personnel. Il est strictement interdit
d’usurper une identité en utilisant ou en tentant d’utiliser le compte d’un autre utilisateur ou en
agissant de façon anonyme dans le Système d’Information.
L’accès aux données de santé à caractère personnel des patients par des professionnels
habilités se fait avec une carte CPS ou un moyen d’authentification de type identifiant/mot de
passe.
L’accès au Système d’Information depuis l’extérieur de l’établissement se fait avec une carte
CPS ou via un mécanisme d’authentification forte de type login/mot de passe/SMS de contrôle.
Le mot de passe choisi doit être robuste (8 caractères minimum, mélange de chiffres, lettres
minuscules et majuscules et caractères spéciaux), de préférence simple à mémoriser, mais
surtout complexe à deviner. Le mot de passe est strictement confidentiel et doit être renouvelé
selon la périodicité définie dans le cadre de la politique de sécurisation du système
d’information (a minima chaque année). Il ne doit pas être communiqué à qui que ce soit : ni à
des collègues, ni à sa hiérarchie, ni au personnel en charge de la sécurité des systèmes
d’information, même pour une situation temporaire. L’utilisateur ne doit jamais enregistrer son
mot de passe lorsqu’une application ou un navigateur web lui propose, encore moins sur un
ordinateur public.
Chaque utilisateur est responsable de son compte et de l’usage qui en est fait. Il ne doit ainsi
pas mettre à la disposition de tiers non autorisés un accès aux systèmes et aux réseaux de
l’établissement dont il a l’usage. La plupart des systèmes informatiques et des applications de
l’établissement assurent une traçabilité complète des accès et des opérations réalisées à partir
des comptes sur les applications médicales et médicotechniques, les applications
administratives, le réseau, la messagerie, l’Internet, … Il est ainsi possible pour l’établissement
de vérifier a posteriori l’identité de l’utilisateur ayant accédé ou tenté d’accéder à une
application au moyen du compte utilisé pour cet accès ou cette tentative d’accès.
Ces données étant considérées comme des données à caractère personnel dans le cadre du
règlement européen sur la protection des données, le professionnel pourra exercer ses droits
auprès du service des ressources humaines ou du Délégué à la Protection des Données du
Centre.
Il est interdit de contourner ou de tenter de contourner les restrictions d’accès aux logiciels.
Ceux-ci doivent être utilisés conformément aux principes d’utilisation communiqués lors de
formations ou dans les manuels et procédures remis aux utilisateurs.
L’utilisateur s’engage enfin à signaler toute tentative de violation de son compte personnel.
Centre Eugène Marquis
25
4.2 Bon usage de l’information
4.2.1
Confidentialité de l’information et obligation de discrétion
Les personnels de l’établissement sont soumis au secret professionnel et/ou médical. Cette
obligation revêt une importance toute particulière lorsqu’il s’agit de données de santé. Les
personnels se doivent de faire preuve d’une discrétion absolue dans l’exercice de leur mission.
Un comportement exemplaire est exigé dans toute communication, orale ou écrite,
téléphonique ou électronique, que ce soit lors d’échanges professionnels ou au cours de
discussions relevant de la sphère privée.
L’accès par les utilisateurs aux informations et documents conservés sur le Système
d’Information doit être limité à ceux qui leur sont propres, ainsi que ceux publics ou partagés. Il
est ainsi interdit de prendre connaissance d’informations détenues par d’autres utilisateurs,
même si ceux-ci ne les ont pas explicitement protégées. Cette règle s’applique en particulier
aux données couvertes par le secret professionnel, ainsi qu’aux conversations privées de type
courriers électroniques dont l’utilisateur n’est ni directement destinataire, ni en copie.
L’utilisateur doit assurer la confidentialité des données qu’il détient. En particulier, il ne doit pas
diffuser à des tiers, au moyen d’une messagerie non sécurisée, des informations nominatives
et/ ou confidentielles couvertes par le secret professionnel. Le CEM est opérateur MSSanté et
permet à ses professionnels d’échanger des informations médicales en toute sécurité par ce
moyen dont les conditions d’utilisation sont détaillées dans une autre annexe de ce document.
Il doit veiller à ce que les transferts de données à caractère personnel respectent les règles du
règlement européen sur la protection des données (information de la personne et utilisation de
solution sécurisée).
4.2.2
Protection de l’information
Les fichiers et bases de données ou fichiers comportant des données à caractère personnel
concernant les patients ou les professionnels doivent être stockés sur les serveurs du Centre.
En dehors du cadre de la prise en charge (diagnostic, thérapeutique, préventif), aucun fichier
comportant des informations à caractère personnel ne peut être transmis à un tiers, que ce soit
une personne physique ou morale, sans respecter les règles en vigueur dans le cadre du
règlement européen sur la protection des données. Le Comité de Revue des Etudes et des
accès aux DOnnées (CREDO) est l’instance interne au Centre Eugène Marquis en charge de la
vérification de l’application de ces règles. Il doit être sollicité avant tout transfert de données de
santé en dehors du cadre du soin et des recherches interventionnelles.
En aucun cas, le transfert autorisé ne doit se faire via un support mobile informatique ou par
courrier électronique non sécurisé. L’utilisateur ne doit pas transmettre de fichiers sensibles à
une personne qui en ferait la demande et qu’il ne connaitrait pas, même s’il s’agit d’une adresse
électronique interne à l’établissement.
Les bases de données ou fichiers doivent être stockés sur les serveurs du Centre
En aucun cas, le transfert autorisé ne doit se faire via un support mobile informatique ou par
courrier électronique non sécurisé.
Centre Eugène Marquis
26
Les postes de travail permettent d’élaborer des documents bureautiques. Il est important de ne
stocker aucune donnée ni aucun document sur les disques durs locaux (bureau, C:\) de ces
postes mais seulement sur les serveurs de fichiers du Centre qui sont sécurisés et sauvegardés.
Ces espaces de stockage sont à usage professionnel, cependant le stockage de données privées
est toléré en dessous de 100 MO.
Les utilisateurs qui utilisent un matériel portable (exemples : poste, tablette, smartphone, …) ne
doivent pas le mettre en évidence pendant un déplacement, ni exposer son contenu à la vue
d’un voisin de train … ; le matériel doit être rangé en lieu sûr.
Il faut également veiller à verrouiller systématiquement son poste de travail informatique
lorsqu’on quitte son espace de travail même pour une courte absence et à fermer sa session de
travail en fin de journée.
4.3 Bon usage des outils de communication
Les outils de communication tels que le téléphone, la visioconférence, le fax, Internet, la
messagerie ou les plates formes d’échanges sécurisées sont destinés à un usage professionnel.
L’usage à titre personnel, dans le cadre des nécessités de la vie privée, est toléré à condition
qu’il soit très occasionnel, raisonnable et conforme à la législation en vigueur. Il ne doit en
aucun cas être porté à la vue des patients ou de visiteurs et accompagnants.
4.3.1
Usage du téléphone, des GSM et du fax
Le téléphone et le fax sont des moyens potentiels d’échanges de données qui présentent des
risques puisque l’identité de l’interlocuteur qui répond au téléphone ou de celui qui réceptionne
un fax n’est pas garantie.
Il ne faut ainsi communiquer aucune information sensible par téléphone ou par fax, notamment
des informations nominatives, médicales ou non, ainsi que des informations ayant trait au
fonctionnement interne de l’établissement. Exceptionnellement, une communication
d’information médicale peut être faite après avoir vérifié l’identité de l’interlocuteur
téléphonique. Si un doute subsiste, le numéro de téléphone de l’interlocuteur indiqué doit être
vérifié, le cas échéant, dans les annuaires de patients ou professionnels.
La communication d’informations médicales (exemples : résultats d’examens, …) aux patients et
aux professionnels extérieurs est strictement réglementée. Les utilisateurs concernés doivent se
conformer à la réglementation et aux procédures de l’établissement en vigueur.
L’usage du téléphone est un usage professionnel, une utilisation exceptionnelle à titre privé est
tolérée dans le respect des collègues de bureau.
L’utilisation du forfait data pour les téléphones GSM du Centre est autorisé en Europe
règlementaire uniquement (détail sur l’intranet à la section Système d’Information/Téléphonie).
Il est rappelé que la consommation de data à l’étranger hors zone Europe réglementaire peut
être facturée plusieurs milliers d’euros par Giga octet.
4.3.1
Usage des outils de visioconférence et de téléconsultation
Centre Eugène Marquis
27
Le Centre Eugène Marquis met à disposition de son personnel des outils de visioconférence et
de téléconsultation. Ces outils doivent être utilisés à titre professionnel uniquement.
L’organisateur de visioconférence ou de téléconsultation est chargé de vérifier que le public de
la réunion est bien celui attendu en visioconférence comme en audioconférence et qu’il n’y a
pas d’intrus mal intentionné.
4.3.2
Usage d’Internet
L’accès à l’Internet a pour objectif d’aider les personnels à trouver des informations nécessaires
à leurs missions quotidiennes ou spécifiques.
Internet sert également à accéder à de nombreux services ou applications métiers hébergés sur
internet. Cette utilisation est autorisée au personnel qui aura dû être informé des objectifs et du
cadre d’utilisation par sa hiérarchie.
Il est rappelé aux utilisateurs que, lorsqu’ils « naviguent » sur l’Internet, leur identifiant est
enregistré. Il conviendra donc d’être particulièrement vigilant lors de l’utilisation de l’Internet et
à ne pas mettre en danger l’image ou les intérêts de l’établissement de santé.
Par ailleurs, les données concernant l’utilisateur (exemples : sites consultés, messages
échangés, données fournies à travers un formulaire, données collectées à l’insu de l’utilisateur,
…) peuvent être enregistrées par des tiers, analysées et utilisées à des fins notamment
commerciales. Il est donc recommandé à chaque utilisateur de ne pas fournir son adresse
électronique professionnelle, ni aucune coordonnée professionnelle sur l’Internet, si ce n’est
strictement nécessaire à la conduite de son activité professionnelle.
Il est interdit de participer à des forums, blogs et groupes de discussion à des fins non
professionnelles, et de se connecter sur des sites à caractère injurieux, violent, raciste,
discriminatoire, pornographique, diffamatoire ou manifestement contraire à l’ordre public.
La DSI a bloqué l’accès aux principaux webmails, réseaux sociaux et à une liste de sites jugés
dangereux de par leur contenu ou référencés comme site « infecté » (ransomware, phishing,
malware, spyware), elle se réserve le droit d’exclure l’accès à tout site pouvant compromettre la
sécurité du SI.
4.3.3
Usage de l’Intranet
L’intranet de l’établissement est accessible via l’icône ‘Portail’ sur le bureau du poste de travail.
Des référents ont la possibilité d'ajouter ou de modifier le contenu de l'intranet en toute
autonomie (Ex : gardes et astreintes, annuaire, documents RH, messages du comité social et
économique…). Les personnes habilitées à produire du contenu pour l’intranet doivent respecter
les règles suivantes :
- Les contenus déposés sur l'intranet à l'exception de la section « comité social et
économique » doivent être à caractère professionnel dans la sphère d’activité de
l’établissement,
- Aucun contenu nuisant à l’établissement ou à son image en interne comme en externe
ne peut être déposé sur l’intranet,
- Aucune communication syndicale ne peut se faire à travers l’Intranet
Centre Eugène Marquis
28
4.3.1
Usage de la messagerie
Les messageries permettent de faciliter les échanges entre les professionnels de l’établissement
et en dehors de l’établissement.
Les utilisateurs doivent garder à l’esprit que leurs messages électroniques peuvent être stockés,
réutilisés, exploités à des fins auxquelles ils n’auraient pas pensé en les rédigeant, constituer
une preuve ou un commencement de preuve par écrit ou valoir offre ou acceptation de manière
à former un contrat entre le Centre et son interlocuteur, même en l’absence de contrat signé de
façon manuscrite.
4.3.1.1
Usage de la messagerie professionnelle non sécurisée
Un usage privé de la messagerie professionnelle est toléré s’il reste exceptionnel. Les messages
personnels doivent comporter explicitement la mention « privé » dans l’objet. A défaut, les
messages seront réputés relever de la correspondance professionnelle. Les messages marqués
« privé » ne doivent pas comporter de signature d’ordre professionnel à l’intérieur du message.
L’usage des listes de diffusion doit être strictement professionnel.
Il est strictement interdit d’utiliser la messagerie professionnelle pour des messages d’ordre
commercial ou publicitaire, du prosélytisme, du harcèlement, des messages insultants ou de
dénigrement, des textes ou des images provocants et/ou illicites, ou pour propager des opinions
personnelles qui pourraient engager la responsabilité de l’établissement ou de porter atteinte à
son image. Les utilisateurs sont tenus par leurs clauses de confidentialité et de loyauté
contractuelles dans le contenu des informations qu’ils transmettent par email.
Afin de ne pas surcharger les serveurs de messagerie, les utilisateurs doivent veiller à éviter
l’envoi de pièces jointes volumineuses, notamment lorsque le message comporte plusieurs
destinataires. Seules les pièces jointes professionnelles de type « documents » ou « images »
sont autorisées. Il est rappelé que le réseau Internet n’est pas un moyen de transport sécurisé.
La messagerie professionnelle ne doit donc pas servir à l’échange d’informations médicales
nominatives. En l’absence de dispositif de chiffrement de l’information de bout en bout, les
informations médicales doivent être rendues anonymes.
Il est strictement interdit d’ouvrir ou de lire des messages électroniques d’un autre utilisateur,
sauf si ce dernier a donné son autorisation explicite.
Une délégation de lecture des messages est systématiquement donnée au responsable
hiérarchique (en particulier afin d'assurer les besoins du service), celui-ci n’ouvrira pas les
messages privés mais pourra être alerté par un dépassement des limites raisonnables de
ceux-ci (nombre, taille, diffusion, …) qui constituerait de fait une violation de la présente
Charte, il n’ouvrira pas les messages ne semblant pas avoir d’intérêt pour le service ou de
caractère d’urgence.
4.3.1.2
Usage des messageries sécurisées (MSS/APIcrypt)
Le Centre Eugène Marquis dispose d’un outil de sécurisation des échanges de données de santé
à caractère personnel par voie électronique. L’outil permet de correspondre avec deux systèmes
de messageries sécurisées : La Messagerie Sécurisée de Santé (MSS) et la messagerie sécurisée
APIcrypt.
Centre Eugène Marquis
29
Le Centre Eugène Marquis a le statut d’opérateur MSS, à ce titre, tout utilisateur doit se
conformer aux conditions générales d’utilisation de la MSS décrites en annexe du règlement
intérieur du Centre Eugène Marquis. Les lignes directrices de ces CGU sont résumées cidessous.
L’outil de messagerie sécurisée est uniquement ouvert à certaines catégories de Professionnels
de Santé habilitées à échanger et collecter des données de santé à caractère personnel dans le
cadre de ses missions.
Deux types de boites aux lettres (BAL) sont à disposition des utilisateurs :


La BAL nominative qui est strictement personnelle. L’utilisateur s’engage à ne pas
partager sa BAL avec un tiers.
Les BAL organisationnelles qui sont attribuées à un secrétariat, un service, un pôle
ou même l’établissement entier et sont utilisées par un groupe d’utilisateurs exerçant
au sein du même service, pôle ou même établissement (exemple : services de
neurologie, de psychiatrie, centre d’imagerie, secrétariat médical, etc.).
Il est rappelé que le compte de messagerie sécurisée de santé constitue uniquement un outil
d’échange sécurisé de données et ne doit pas être confondu avec le dossier médical de la
personne concernée. L’utilisateur doit donc veiller à reporter si nécessaire dans le dossier de la
personne concernée toute donnée qu’il jugera utile pour la prise en charge de cette dernière.
4.3.1.3
médecin
Cas spécifique de la messagerie sécurisée nominative
Suivant les délibérations du bureau de CME du 15/09/2020, les traitements suivants sont
appliqués sur les boites sécurisées nominatives des médecins :


Les courriers en provenance de laboratoires sous convention de preuve avec le CEM
sont automatiquement redirigés vers le eParapheur du médecin
Les courriers avec une pièce jointe sont automatiquement redirigés vers la boite de
messagerie sécurisée du secrétariat du médecin. Ce secrétariat est en charge de
traiter le document en fonction des consignes vues avec le médecin (Ex :
transmission au eParapheur du médecin pour visa, transmission directement dans le
DPI du patient, mise en attente d’informations complémentaires, transfert
d’information complémentaire au médecin …)
4.3.1
Autres moyens sécurisés de transferts de données
A défaut de disposer d’une messagerie sécurisée, les professionnels du CEM sont invités à
privilégier les systèmes d’échanges via des plateformes sécurisées. Au Centre, il est possible de
demander un accès au système Bluefiles. La demande est à faire par le cadre auprès de la DSI.
4.4 Bon usage des ressources informatiques
4.4.1
Utilisation responsable des équipements informatiques
Seule la Direction des Systèmes d’Information (ou par son intermédiaire la société avec laquelle
elle a contracté) a le droit d’installer de nouveaux logiciels, de connecter de nouveaux PC au
Centre Eugène Marquis
30
réseau de l’établissement et plus globalement d’installer de nouveaux matériels informatiques et
de téléphonie.
L’utilisateur s’engage à ne pas modifier la configuration des ressources (matériels, réseaux, …)
mises à sa disposition, sans avoir reçu l’accord préalable et l’aide de la Direction des Systèmes
d’Information (ou par son intermédiaire la société avec laquelle elle a contracté).
Les logiciels commerciaux acquis par l’établissement ne doivent pas faire l’objet de copies de
sauvegarde par l’utilisateur, ces dernières ne pouvant être effectuées que par la Direction des
Systèmes d’Information.
Dans un but d’économie d’énergie il est demandé au personnel d’utiliser de façon optimale les
équipements informatiques. Ainsi, il est d’usage de mettre en veille l’ordinateur lorsqu’il n’est
pas utilisé. De la même façon, lorsque cela concerne un poste individuel, de l’éteindre en fin de
service et, si c’est un poste collectif, de veiller à ce que le dernier utilisateur s’en charge. Pour
pallier aux oublis, le Centre Eugène Marquis a mis en œuvre un système d’extinction
automatique des ordinateurs qui le permettent à 22h00 tous les soirs.
4.4.1
Usage des périphériques de stockage
L’usage de périphérique de stockage amovible (Clé USB, Disque dur, smartphone…) sur un
ordinateur du CEM est autorisé dans les cas suivants :



Une clé USB fournie par le CEM dont l’usage est exclusivement professionnel et limité
à un utilisateur (pas de fichier privé non professionnel,), le but étant de limiter au
maximum le nombre de connexions de la clé à un ordinateur extérieur qui ne suit
pas la politique de Sécurité des SI du CEM,
Un smartphone d’entreprise,
Un disque dur externe fourni par le CEM et dédié à une utilisation qui aura été
complétement cadrée par la DSI lors de sa fourniture.
L’usage des périphériques de stockage suivants sur un ordinateur du CEM est interdit :



Une clé USB personnelle qui sert à vos transferts de données quotidiens non limités à
l’aspect professionnel
Un smartphone personnel
Un disque dur externe personnel
4.4.2
Usage des consommables
La fourniture des consommables informatiques (toner, cartouches d’encre…) est assurée par le
magasin du Centre Eugène Marquis ou directement par le fournisseur des copieurs et
imprimantes. Leur usage est réservé aux systèmes d’impression du Centre Eugène Marquis.
L’utilisation de consommables à des fins privées est strictement interdite.
Le Centre Eugène Marquis s’est engagé en faveur du développement durable. A ce titre, il est
demandé à chacun d’aller dans ce sens en ayant une consommation juste et adaptée aux
besoins. Ainsi, le personnel est encouragé à imprimer ses documents uniquement lorsque cela
est nécessaire et, si tel est le cas, de préférence en recto/verso et en noir et blanc.
Le personnel est invité à faire remonter à sa hiérarchie le besoin d’évolution des pratiques
organisationnelles favorisant la diminution de l’utilisation de papier. La Direction des Systèmes
d’Information et le Groupe Développement Durable soutiendront ces projets.
Centre Eugène Marquis
31
Pour rappel, le Centre est équipé de poubelles bleues destinées à recevoir les déchets papier et
de bacs de collecte des cartouches et toners usagés. Il est demandé au personnel de trier ses
déchets pour permettre le recyclage de ceux-ci.
4.5 Usage de terminaux personnels
Les utilisateurs ne sont pas autorisés à utiliser leurs terminaux personnels au Centre Eugène
Marquis à l’exception des situations suivantes, à la condition exclusive de s’engager à activer un
mécanisme de verrouillage et d’identification sur leur terminal (code, ligne brisée, identification
faciale, identifiant/mot de passe) :
 Connexion d’un terminal personnel à un réseau WIFI offrant uniquement des facilités


d’accès à l’internet pour les personnels travaillant dans les sous-sols,
Utilisation de l’application téléphonique Jabber sur smartphone personnel (seulement
si souhaité par l’usager)
Utilisation d’une application de messagerie sur smartphone pour un accès à la boite
professionnelle (non sécurisée) de l’usager
En aucun cas, une application permettant de travailler sur des données à caractère personnel
(dont les données médicales) des patients et des professionnels ne devra être installée sur un
terminal personnel (PC, Mac, tablette ou smartphone) sans une autorisation explicite de la DSI
qui aura préalablement installé une infrastructure de sécurité adaptée.
Centre Eugène Marquis
32
5
Informatique et Libertés
Avant toute création ou modification de fichier comportant des données à caractère personnel
(en dehors de l’utilisation des applications métiers déployées par la Direction des Systèmes
d’Information), que ces dernières proviennent des patients ou des professionnels, il convient de
contacter le DPO du Centre qui étudie alors la pertinence des données recueillies, la finalité du
fichier, les durées de conservation prévues, les destinataires des données, le moyen
d’information des personnes et les mesures de sécurité à déployer pour protéger les données.
Le DPO procède ensuite aux opérations de déclaration et d’information réglementaires selon les
procédures prévues dans l’établissement.
Il est rappelé que l’absence de déclaration de fichiers comportant des données à caractère
personnel est passible de sanctions financières et de peines d’emprisonnement.
En cas de non-respect des obligations relatives à la réglementation en vigueur, l'information du
DPO est obligatoire, ce dernier peut alors prendre toute mesure temporaire ou définitive de
nature à mettre fin au traitement illégal ainsi qu’informer le responsable hiérarchique de
l’utilisateur à l’origine du traitement illégal.
6
Surveillance du Système d’Information
6.1 Traçabilité
Tout accès en lecture ou en modification à un fichier est tracé nominativement par un système
automatisé, un rapport d’accès à un fichier ou un répertoire peut être délivré.
Tous les accès Internet et les sites visités sont tracés, enregistrés et conservés par un dispositif
de filtrage et de traçabilité. Il est donc possible pour l’établissement de connaître, pour chaque
salarié, le détail de son activité sur l’Internet.
La Direction des Systèmes d’Information assure une traçabilité sur l’ensemble des accès aux
applications et aux ressources informatiques qu’elle met à disposition pour des raisons
d’exigence réglementaire de traçabilité, de prévention contre les attaques et de contrôle du bon
usage des applications et des ressources.
Par conséquent, les applications de l’établissement, ainsi que les réseaux, messagerie et accès
Internet intègrent des dispositifs de traçabilité permettant d’enregistrer tout ou partie de :
– L’identifiant de l’utilisateur ayant déclenché l’opération ;
– L’heure de la connexion ;
– Le système auquel il est accédé ;
– Le type d’opération réalisée
– Les informations ajoutées, modifiées ou supprimées des bases de données en réseau et/
ou des applications du Centre ;
– La durée de la connexion (notamment pour l’accès Internet) ;
Les données de traçabilité étant considérées comme des données à caractère personnel dans le
cadre du règlement européen sur la protection des données, le professionnel pourra exercer ses
droits auprès du service des ressources humaines ou du Délégué à la Protection des Données
du Centre.
Centre Eugène Marquis
33
Le personnel de la Direction des Systèmes d’Information et le Délégué à la Protection des
Données respectent la confidentialité des données et des traces auxquelles ils sont amenés à
accéder dans l’exercice de leur fonction, mais peuvent être amenés à les utiliser pour mettre en
évidence certaines infractions commises par les utilisateurs.
6.1 Contrôle
Sur demande ou pour des nécessités de maintenance et de gestion, l’utilisation des ressources
matérielles ou logicielles, les échanges via le réseau, ainsi que les rapports des
télécommunications peuvent être analysés et contrôlés dans le respect de la législation
applicable, de la loi informatique et liberté et du RGPD. La réalisation de contrôles et d’audit fait
partie des missions assurées par le Délégué à la Protection des Données.
La Direction des Systèmes d’Information assurant une mission de support ou de maintenance
sur le parc informatique, peut être amené à prendre la main à distance sur des postes. La
Direction des Systèmes d’Information prend le contrôle directement si le poste n’est pas en
cours d’utilisation (lors des maintenances nocturnes, par exemple), sinon, prévient et demande
l’accord de l’utilisateur avant toute intervention. Cette prise de main se limite à des besoins
techniques et ne peut pas servir à une quelconque surveillance des utilisateurs.
6.2 Alertes
Tout constat de vol de matériel ou de données, d’usurpation d’identité, de détournement de
moyen, de réception de messages interdits, de fonctionnement anormal ou de façon plus
générale toute suspicion d’atteinte à la sécurité ou manquement substantiel à cette Charte doit
être signalé au Responsable de la Sécurité du Système d’Information et/ou au Délégué à la
Protection des Données selon les procédures en vigueur dans l’établissement.
La sécurité de l’information met en jeu des moyens techniques, organisationnels et humains.
Chaque utilisateur de l’information se doit d’avoir une attitude vigilante et responsable afin que
les patients bénéficient d’une prise en charge sécurisée et que leur vie privée ainsi que celle des
personnels soient respectées.
7
Responsabilités et sanctions
Les utilisateurs ne doivent pas se servir des moyens informatiques pour nuire à l’image de
marque de l’établissement, que ce soit en interne ou en externe, à travers des communications
d’informations à l’extérieur de l’établissement ou du fait de leurs accès à Internet.
Les règles définies dans la présente Charte ont été fixées par la Direction Générale de
l’établissement dans le respect des dispositions législatives et réglementaires applicables (CNIL,
...).
L’établissement ne pourra être tenu pour responsable des détériorations d’informations ou des
infractions commises par un utilisateur qui ne se sera pas conformé aux règles d’accès et
d’usage des ressources informatiques et des services Internet décrites dans la Charte. En cas
de manquement aux règles de la présente Charte, la personne responsable de ce manquement
est passible de sanctions telles que définies dans le règlement intérieur.
Outre ces sanctions, la Direction du Centre Eugène Marquis est tenue de signaler toutes
infractions pénales commises par son personnel au procureur de la République.
Centre Eugène Marquis
34
8
Mise à jour de cette charte
La présente charte est réétudiée périodiquement (au moins tous les 3 ans) et mise à jour en
cas de besoin. En cas de modification, la nouvelle version sera intégrée au règlement intérieur
du Centre accessible sur l’intranet. Toute modification du règlement intérieur sera soumise à la
procédure définie par les dispositions du Code du Travail.
Rennes le 24/03/2022
Professeur Renaud De CREVOISIER,
Directeur Général du Centre Eugène Marquis
Centre Eugène Marquis
35
Conditions d’utilisation de la messagerie
sécurisée de santé MSSanté
Annexe II du règlement intérieur du Centre Eugène Marquis de Rennes
I/ Informations générales
Le Centre Eugène Marquis est devenu opérateur de messagerie sécurisée de santé MSS afin
d’offrir à ses professionnels de santé un outil sécurisé d’échange de données de santé à
caractère personnel par voie électronique.
Le service MSSanté permet l’émission de messages contenant des informations utiles à la prise
en charge sanitaire d’une personne, à destination d’un ou plusieurs titulaires d’un compte de
messagerie sécurisée de l’espace de confiance MSSanté ;
Cet outil de messagerie est ouvert à certaines catégories de Professionnels de Santé habilitées
à échanger et collecter des données de santé à caractère personnel dans le cadre de ses
missions et désignées par le terme « utilisateur ».
Tout utilisateur doit se conformer aux conditions d’utilisation des comptes de messagerie
définies dans le présent document. Il est rappelé que dans le cadre de l’utilisation du service
MSSanté, l’utilisateur doit respecter :


Les règles de droit commun relatives à l’échange des données de santé à caractère
personnel dont les dispositions de l’article L 1110-4 du code de la santé publique qui
précisent les conditions d’échange de données de santé entre deux ou plusieurs
professionnels ;
Le cadre légal qui régit sa profession, en particulier les règles relatives à l’obligation
de conserver les données de santé à caractère personnel collectées à l’occasion de
l’exercice de sa profession
II/ Types de boîtes aux lettres (BAL) disponibles
Les boites de messagerie sécurisée du CEM sont toutes rattachées à l’établissement
« C.R.L.C.C. Centre Eugène Marquis (FINESS = 350002812) ».
II.1/ Les boîtes aux lettres nominatives
Les BAL nominatives sont créées sous la responsabilité du Centre Eugène Marquis et attribuées
à un utilisateur dûment identifié. La vérification de l’identité de l’utilisateur relève de la
responsabilité de la Direction des Ressources humaines par délégation du Directeur Général du
Centre Eugène Marquis.
Pour la création de la BAL, le numéro d’identification national de l’utilisateur doit être renseigné
dès lors que ce dernier en est titulaire (numéro RPPS ou ADELI). À défaut, il est nécessaire de
renseigner un identifiant interne attribué à l’utilisateur sous la responsabilité du Centre Eugène
Marquis.
La BAL nominative est strictement personnelle. L’utilisateur s’engage à ne pas partager sa BAL
avec un tiers et à conserver dans des conditions de sécurité les moyens d’accès à celle-ci.
Centre Eugène Marquis
36
II.2/ Les boîtes aux lettres organisationnelles
Les BAL organisationnelles sont créées sous la responsabilité du Directeur Général du Centre
Eugène Marquis. Les BAL organisationnelles sont attribuées à un secrétariat, un service ou un
pôle et sont utilisées par un groupe d’utilisateurs exerçant au sein de cette entité (exemple :
services de neurologie, de psychiatrie, centre d’imagerie, secrétariat médical, etc.).
Plusieurs personnes sont utilisatrices d’une même BAL organisationnelle et émettent des
messages au nom de l’établissement de santé. Ces BAL n’identifient donc pas directement un
utilisateur personne physique. Le Directeur Général du Centre Eugène Marquis désigne un «
responsable » de l’utilisation et de la gestion des habilitations d’accès à la BAL
organisationnelle. Ensuite, chaque utilisateur est habilité par ce responsable pour accéder et
utiliser ladite BAL.
Les modalités de gestion de la BAL permette d’identifier de façon individuelle les personnes
physiques qui ont accédé à la BAL organisationnelle.
II.3/ Les boîtes aux lettres applicatives
Les BAL applicatives sont créées sous la responsabilité du Directeur Général du Centre Eugène
Marquis. Une BAL applicative est associée à un logiciel métier ou à une machine (dossier patient
informatisé HM, système d’information de laboratoire, serveur de résultats, etc.) et est
alimentée directement par ce dernier.
Les BAL applicatives sont créées uniquement pour envoyer de façon automatique des messages
suivant un paramétrage prédéfini. Ces BAL ne sont pas censées recevoir de messages
électroniques (lors de l’envoi automatique d’un e-mail, une note doit informer le destinataire
que la BAL émettrice ne peut recevoir de messages).
Le Directeur Général du Centre Eugène Marquis désigne un « responsable » de l’utilisation, de
la gestion et du paramétrage de la BAL applicative.
III Création de BAL et publication dans l’annuaire national MSS
Une BAL sécurisée nominative est créée systématiquement à l’arrivée d’un médecin CEM et
sur demande validée par le Directeur Général pour les médecins sous convention ou les
autres salariés du CEM.
Les adresses de BAL nominatives et organisationnelles sont publiées par défaut dans l’annuaire
national MSS avec les attributs suivants
 Adresse MSS visible,
 Numéro de téléphone non communiqué
 Refus d’une dématérialisation complète de ses échanges
Par cette charte, l’utilisateur d’une BAL nominative ou le responsable d’une BAL
organisationnelle est informé que ses données liées à l’usage du système MSSanté sont
publiées dans l’annuaire National MSSanté et consultables par les autres utilisateurs (sauf
en cas d’inscription en liste rouge).
Malgré la politique du Centre Eugène Marquis en faveur de la dématérialisation, la loi n’autorise
pas la création d’une BAL avec ce souhait par défaut, il revient donc à l’utilisateur de faire luiCentre Eugène Marquis
37
même une demande d’indication de sa volonté de dématérialiser ces échanges à la DSI qui
reportera la demande sur l’annuaire MSS.
L’utilisateur peut également s’il le souhaite demander à la DSI



son inscription en liste rouge ;
la publication de son numéro de téléphone dans l’annuaire MSS ;
la suppression de sa boite de messagerie sécurisée nominative (La DSI lui expliquera
les conséquence de cette action sur son fonctionnement quotidien).
IV/ Principes généraux d’utilisation des BAL MSSanté
IV.1/ Mise en œuvre de l’obligation d’information des patients
Rôle de l’établissement de santé
Le Centre Eugène Marquis informe le patient de l’ensemble de ses droits, de la collecte et des
conditions d’utilisation de données de santé à caractère personnel dans le cadre de sa prise en
charge.
Le patient est informé, via le Livret d’Accueil qui lui est remis à sa première venue au Centre
Eugène Marquis, de l’utilisation d’un outil de messagerie sécurisée de santé pour l’échange de
ses données de santé à caractère personnel avec d’autres professionnels de santé entrant dans
son parcours de soins.
Rôle de l’utilisateur
L’utilisateur est tenu de compléter l’information d’ores et déjà apportée par l’établissement de
santé dès lors que des données de santé à caractère personnel nécessitent d’être échangées
avec des professionnels de santé qui n’appartiennent pas à l’équipe de soins prenant en charge
le patient. Cet échange est réalisé sauf opposition du patient (article L. 1110-4 du Code de la
santé publique).
En cas d’opposition du patient à l’utilisation du service MSSanté pour échanger des données
de santé le concernant, l’utilisateur devra recourir à un moyen d’échange alternatif (courrier
papier par exemple).
IV.2/ Contenu des messages échangés
Il est rappelé que le compte de messagerie sécurisée de santé constitue uniquement un outil
d’échange sécurisé de données et ne doit pas être confondu avec le dossier médical de la
personne concernée. L’utilisateur doit donc veiller à reporter si nécessaire dans le dossier de la
personne concernée toute donnée qu’il jugera utile pour la prise en charge de cette dernière.
L’utilisateur utilise les BAL MSSanté à des fins de prise en charge de patients et dans le respect
des obligations professionnelles auxquelles il est soumis. Il appartient à l’utilisateur d’apprécier
lui-même la sensibilité, l’importance et la pertinence des messages échangés.
Il est rappelé que les données de santé à caractère personnel sont couvertes par le secret
professionnel dans les conditions prévues à l’article L 1110-4 du Code de la santé publique,
dont la violation est réprimée par l’article 226-13 du Code pénal.
Centre Eugène Marquis
38
L’utilisateur s’engage à ne pas créer de règle de redirection automatique de ses e-mails
sécurisés MSSanté vers une boîte aux lettres non sécurisée.
L’utilisateur s’interdit de transmettre par messagerie sécurisée ou par tout autre moyen des
courriels contenant des virus ou plus généralement tout programme visant notamment à
détruire ou limiter la fonctionnalité de tout logiciel, ordinateur ou réseau de télécommunication ;
L’utilisateur s’engage à ne pas procéder à l’envoi de messages non sollicités à un ou plusieurs
destinataires, considéré comme du spam.
L’utilisateur n’utilise pas les BAL MSS pour une correspondance non médicale entre PS.
IV.3/ Moyens d’authentification
Afin d’assurer la confidentialité des données de santé, l’accès à une BAL MSSanté nécessite
l’utilisation d’un des moyens d’authentification définis ci-dessous.
Connecté sur le réseau du Centre, l’utilisateur se connecte avec un identifiant/mot de passe à
sa session Windows. Cette authentification permet l’ouverture sans nouvelle phase
d’identification du client de messagerie Outlook qui permet l’accès à sa boite de messagerie
professionnelle standard ainsi qu’à sa BAL nominative ou organisationnelle.
Connecté sur un autre réseau à l’extérieur du Centre, soit


L’utilisateur utilise un ordinateur du Centre avec son client VPN ou se connecte au
portail VPN, l’un comme l’autre en mode authentification forte avec un identifiant,
mot de passe plus soit une carte CPS, soit un code à usage unique reçu par SMS
(OTP). Une fois l’ordinateur connecté au réseau du Centre, l’utilisateur accède à sa
BAL via Outlook.
L’utilisateur utilise un ordinateur du Centre et se connecte directement à Outlook ou
utilise le webmail du Centre sur un autre ordinateur, ou synchronise son compte sur
un smartphone ou une tablette ; dans ces cas il n’aura pas accès à sa BAL
nominative
Les BAL applicatives n’ont pas de comptes de messagerie Exchange et sont donc gérées
exclusivement par les seuls membres de la DSI qui ont chacun un compte d’administration
nominatif sur la base d’un identifiant/mot de passe. L’accès de l’extérieur à l’outil
d’administration du proxy se fait via le portail VPN SSL en mode authentification forte OTP.
Chaque session Windows est verrouillée au bout d’une demi-heure de non utilisation. Les
sessions d’accès externe via le portail VPN SSL sont détruites au bout d’une heure de non
utilisation.
Le mot de passe Windows doit être renouvelé chaque année pour les utilisateurs non membre
de la DSI et tous les 6 mois pour les administrateurs de la DSI.
IV.4/ Convention de preuve
La loi n° 2000-230 du 13 mars 2000 admet la preuve écrite sous forme électronique au même
titre que l’écrit sur support papier « sous réserve que puisse être dûment identifiée la personne
dont il émane et qu’il soit établi et conservé dans les conditions de nature à en garantir
l’intégrité » (article 1316-1 du Code civil). L’infrastructure mise en place au sein du Centre et le
Centre Eugène Marquis
39
respect des règles de conduite définies au sein de l’espace de confiance MSSanté garantissent
l’identification de la personne dont émanent les messages ainsi que leur intégrité. De même, le
système mis en place assure à chaque message échangé un fort niveau d’imputabilité.
Les utilisateurs et exploitants sont informés par cette charte de la génération de traces de leurs
actions par le service MSSanté.
Afin de prévenir d’éventuelles contestations sur la valeur probante des messages (ou « écrits
électroniques ») échangés entre les utilisateurs au moyen de la messagerie sécurisée de santé
au regard des exigences fixées par la loi 2000-230, Le Centre Eugène Marquis s’est engagé, en
son nom et au nom de ses utilisateurs, à ne pas contester leur force probante sur le fondement
de leur nature électronique. Le Centre Eugène Marquis s’accorde dès lors pour reconnaître la
même valeur probante aux écrits électroniques transmis via la MSSanté qu’aux écrits sur
support papier.
L’acceptation de ces CGU par l’utilisateur a pour conséquence la conclusion d’une convention de
preuve au sens de l’article 1316-2 du Code civil.
V/ Responsabilité de l’établissement et de l’utilisateur
Le Centre Eugène Marquis est responsable de la définition des conditions d’utilisation de la
MSSanté et de leur respect par ses personnels.
Le Centre porte à la connaissance des utilisateurs les Conditions d’utilisation de la messagerie
sécurisée de santé par leur inclusion dans le Règlement Intérieur du Centre. Le Règlement
Intérieur du Centre est accepté explicitement par chaque professionnel du Centre à son arrivée.
L’utilisateur est responsable de l’utilisation de la BAL MSSanté dont il est titulaire conformément
à son usage, dans le respect des lois et règlements en vigueur et de la présente charte.
VI/ Protection des données à caractère personnel des utilisateurs
Des données (adresse e-mail, horodatage des échanges, taille des e-mails) sont collectées et
transmises à l’ANS afin de lui permettre, en tant que gestionnaire de l’espace de confiance
MSSanté, d’établir des indicateurs anonymes.
Le traitement est mis en œuvre en application de l’article 5, 5° de la loi n°78-17 du 6 janvier
1978. Les données sont conservées 3 mois, puis anonymisées.
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et au Règlement
européen n°2016/679/UE du 27 avril 2016, l’utilisateur bénéficie d’un droit d’accès, de
rectification, d’effacement, d’opposition, de limitation, et du droit de définir des directives sur le
sort de ses données après sa mort.
L’utilisateur peut, sous réserve de la production d’un justificatif d’identité valide, exercer ses
droits sur demande écrite au GIP ASIP Santé (Délégué à la protection des données), 9 rue
Georges Pitard, 75015 PARIS ou par messagerie électronique, à l'adresse suivante :
[email protected].
L’utilisateur dispose également d’un droit d’introduire une réclamation auprès de la CNIL.
Centre Eugène Marquis
40
Charte de signalement de évènements
indésirables
Annexe III du règlement intérieur du Centre Eugène Marquis de Rennes
La sécurité des activités doit être la préoccupation première et permanente d'un
établissement de santé.
Le développement d'un établissement sûr, inspirant confiance à ses patients, se
fonde notamment sur l'expérience tirée, jour après jour, des événements
indésirables pouvant affecter la sécurité des patients.
L’objectif du Centre Eugène Marquis est d'améliorer la connaissance de ces
événements indésirables, même lorsqu’ils ont pu être rattrapés ou évités de
justesse. Cette connaissance permet en effet d’entretenir notre vigilance collective
sur les risques liés aux soins et d'apporter les mesures correctives nécessaires.
Dans ce cadre, chaque professionnel est invité à communiquer toute information
sur les événements qui touchent, ou auraient pu toucher, la sécurité des patients.
Un manquement à cette règle peut compromettre l'ensemble de la démarche de
prévention conduite par l’établissement.
Dans ce but, il est du devoir et de la responsabilité de chacun de communiquer,
spontanément et sans délai, toute information sur les évènements indésirables dont
il a pu être acteur ou témoin.
Bien entendu, en cas d’évènement indésirable, la priorité restera la protection des
personnes, avant de réaliser le signalement, qui sera fait secondairement dans le
système qualité, si besoin avec l’aide du cadre.
La Direction s’engage à ce que les données recueillies lors de l’analyse des incidents
restent confidentielles. L’identité des patients, des déclarants et de l’institution ne
peut être communiquée à des tiers sauf dans le cadre des procédures légales
(plainte de patients ou inspections menées par les autorités compétentes).
Le déclarant ne pourra faire l’objet d’aucune sanction disciplinaire du simple fait
d’un signalement effectué spontanément et sans délai.
Toutefois, en cas de faux signalement volontaire, le déclarant s’expose à une
sanction disciplinaire. Il en est de même en cas de manquement aux textes
réglementaires auxquels les professionnels sont tenus ou de non-respect des règles
de sécurité de l’établissement.
Chaque professionnel, quels que soient sa place et son rôle dans l’établissement,
doit s’impliquer dans cette dynamique qui contribue à la recherche permanente du
plus haut niveau de sécurité de nos pratiques, dans l’intérêt des patients, des
visiteurs ou des professionnels du Centre Eugène Marquis.
RI_Mars2022
Centre Eugène Marquis
Documents connexes
"Antre 2 rires" soutient le Centre Eugène Marquis
"Antre 2 rires" soutient le Centre Eugène Marquis
cancer de la prostate - Centre Eugène Marquis
cancer de la prostate - Centre Eugène Marquis
« Je serai ravie de recevoir via MSSanté le compte rendu de
« Je serai ravie de recevoir via MSSanté le compte rendu de
Press Review page
Press Review page
Les Vibrants, une pièce poignante !
Les Vibrants, une pièce poignante !
Le Chat botté II - Banque de questions
Le Chat botté II - Banque de questions
La Martinique se dote d`une Messagerie Sécurisée de Santé
La Martinique se dote d`une Messagerie Sécurisée de Santé
Vous n`utilisez pas la messagerie pro en entreprise ? Voici ce que
Vous n`utilisez pas la messagerie pro en entreprise ? Voici ce que
« Recevoir les documents de santé du patient sur l`appli mobile de
« Recevoir les documents de santé du patient sur l`appli mobile de
Téléchargement
publicité