CONDITIONS GENERALES D’UTILISATION DE LA MESSAGERIE SECURISEE DE SANTE MEDIMAIL








S IRET : 183 100 213 00028 APE : 8411Z Agrément Formation : 73.31.P0048.31

CONDITIONS GENERALES D’UTILISATION DE LA MESSAGERIE SECURISEE DE SANTE MEDIMAIL



Entre les soussignés

D’une part,



[NOM de la Structure], représenté par [FONCTION], sis [ADRESSE], Siret n° [XXX], dûment habilité à signer;



Ci-après dénommé « la Structure » ou la « Structure Utilisatrice »

Et

Mipih, Groupement d’intérêt public, ayant son siège au 00 xxx Xxxxxx Xxxxxxxxx – 00000 Xxxxxxxx, immatriculé au répertoire SIRENE sous le numéro 183 100 213, représenté par son Directeur Général.

Ci-après dénommé « Mipih »



D’autre part

La Structure Utilisatrice et le Mipih sont, ci-après individuellement désignés comme « Partie » et collectivement comme « Parties »

Il a été convenu ce qui suit :

  1. Préambule

L’Agence du Numérique en santé (ANS) chargée de « créer les conditions du développement et de la régulation du numérique en santé, à promouvoir l’innovation au profit des professionnels et des usagers et à assister les pouvoirs publics dans la conduite de projets numériques d’intérêt national » a développé un système de Messageries Sécurisées de Santé afin de favoriser et de sécuriser les usages du numérique en Santé.

Ce système de Messageries Sécurisées de Santé permet aux professionnels habilités d’échanger, de manière sécurisée, par voie électronique, des données à caractère personnel relatives à la santé des patients et usagers du système de santé dans le respect de leur vie privée.

Le GRADeS e-santé Occitanie a décidé de mettre à disposition des professionnels de santé et médico-sociaux de la Région une Messagerie Sécurisée de Santé.

Pour ce faire, le GRADeS e-santé Occitanie a contracté auprès de l’Opérateur de Messagerie Sécurisée de Santé Medimail, Mipih, une convention N°1901913 de mise à disposition de Medimail.

La mise à disposition de la messagerie Medimail à la Structure pour une durée initiale de quatre ans est ainsi régie par les dispositions de la Convention de Mise à Disposition N°1901913 signée le 23/03/2019. Les avenants contractualisés à l’issue des 4 années s’inscrivent dans cette même convention. La présente convention s’inscrit dans la relation contractuelle entre le Mipih et le GRADeS e-santé Occitanie. Elle est soumise aux modalités de fonctionnement et toutes autres dispositions établies entre le GRADeS e-santé Occitanie et le Mipih, notamment en ce qui concerne les obligations de mises en œuvre du Service telles que précisées à l’article 5 des présentes CGU.

  1. Objet de la convention

Cette convention définit les conditions générales d’utilisation de la Messagerie Sécurisée de Santé Medimail, auprès des Structures Utilisatrices, des secteurs sanitaire ou médico-social ou du domaine social et des Utilisateurs, amenées à traiter des données personnelles de santé. Elle a pour objectif de déterminer les obligations et responsabilités des Parties.

  1. Définitions

Dans la présente convention, et à moins que le contexte n’indique clairement une signification différente, les termes suivants, employés tant au singulier qu’au pluriel, avec ou sans majuscule, auront les significations respectives suivantes :

Administrateur : Personne responsable de la gestion des comptes Medimail pour sa Structure Utilisatrice ;

ANS : Agence du Numérique en Santé ;

BAL : Boite Aux Lettres, il en existe quatre types sur le service de messagerie sécurisée de santé Medimail :

-BAL Nominative : ou BAL Personnelle, elle identifie un utilisateur et est réservée à un usage professionnel et personnel ;

-BAL Organisationnelle : BAL identifiant un service un pôle ou tout regroupement d’utilisateurs exerçant au sein d’une même entité. La BAL doit être utilisée sous la responsabilité d’un professionnel habilité ;

-BAL Applicative : BAL rattachée à des applications (ex. dossier patient) ou à des machines (ex. serveur de laboratoire). La BAL permet des envois ou des réceptions de messages automatisés. Elle doit être utilisée sous la responsabilité d’un professionnel habilité ;

-BAL Med (Medimail) : BAL nominative, elle permet de communiquer avec d’autres comptes medimail hors sphère MSSanté.



CNIL : Commission Nationale de l’Informatique et des Libertés ;

CPS : Carte de Professionnel de Santé ;

Référentiel socle #1: réalisé par l’ANS, le Référentiel #1 Opérateurs MSSanté définit les interfaces d’accès au système de Messageries Sécurisées de Santé. Ce dossier contient des exigences que Xxxxx s’est engagé à respecter ;

GRADeS : GRADeS e-santé Occitanie ;

HDS : Hébergeur de Données de Santé ;

MSSanté : Espace de confiance qui regroupe les opérateurs de messageries électroniques réservé aux professionnels de santé. Il se caractérise par :

  • L’annuaire national MSSanté des professionnels habilités à échanger des données de santé à caractère personnel et disposant d’une BAL MSSanté

  • Une liste blanche des domaines MSSanté regroupant les domaines des opérateurs détenteurs d’un certificat numérique d’authentification délivré par l’ANS.

Medimail : Messagerie Sécurisée de Santé opérée par le Mipih ;

SMTP : Simple Mail Transfer Protocol est un protocole de communication utilisé pour transférer le courrier électronique vers les serveurs de messagerie électronique ;

Structure Utilisatrice : Structure Utilisatrice du domaine de la santé ou du Médico-Social ou du domaine social habilité à utiliser et à traiter des données à caractère personnel et des données de santé ;

Utilisateur : Utilisateur final de la solution, habilité à utiliser et à traiter des données personnelles et des données de santé.

Usager : Personne bénéficiant d’une prestation médicale ou médico-sociale dont les données font l’objet d’un traitement par la Messagerie Sécurisée de Santé.

  1. Description du service mis à disposition

    1. Généralités

Medimail est le service de Messagerie Sécurisé de Santé compatible MSSanté développé par le Mipih. Ce service assure les échanges de données de santé et de données à caractère personnel utiles à la prise en charge sanitaire, médico-sociale et sociale d’une personne ainsi que les échanges entre professionnels habilités et les usagers du système de santé par le biais d’un compte de messagerie sécurisée de l’Espace de Confiance MSSanté par voie électronique en garantissant la sécurité, la traçabilité et la confidentialité des données de santé à caractère personnel.

La messagerie Medimail répond aux exigences de l’ANS publiées dans le Référentiel #1 applicable du système de messageries sécurisées MSSanté pour les Opérateurs de messagerie. La solution est hébergée au Mipih dans ses propres Datacenters certifiés ISO 27001 et HDS.


Le Mipih est autonome dans le développement de Medimail et ne dépend d’aucun autre prestataire ou d’autres composants techniques externes.


Seuls les professionnels habilités à échanger des données de santé et les Usagers du système de santé peuvent utiliser la messagerie sécurisée de santé Medimail.


Medimail constitue uniquement un outil d’échange sécurisé de messages pouvant comporter des données sensibles et non un espace de stockage. Le service Medimail ne peut donc pas être confondu avec un service de dossier médical dématérialisé du patient.

L’Usager est informé que le service de messagerie sécurisée n’a pas vocation à traiter les situations d’urgence. En cas d’urgence, l’Usager doit impérativement composer le numéro 15. En conséquence, ni la responsabilité de l’Utilisateur ni la responsabilité du Mipih ne peuvent être engagées pour tout préjudice, direct, indirect, moral ou matériel, actuel ou futur, survenu dans le cadre d’une situation d’urgence.

4.2Cadre juridique et technique de la MSSanté

Les conditions et modalités d’utilisation du service Medimail sont encadrées par les textes législatifs et règlementaires régissant la protection des données de santé à caractère personnel, les droits des patients et les systèmes d’informations partagés de santé, à savoir, notamment, le Règlement UE 2016/679 du Parlement Européen et du Conseil du 26 avril 2016, la loi n°78-17 du 6 janvier 2018 relative à l’Informatique, aux fichiers et aux libertés ainsi que la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et le Code de la Santé Publique.

Les acteurs éligibles à l’espace de confiance MSSanté sont les professionnels habilités par la loi à échanger des données de santé tels qu’établis à l’article R. 1110-2 du code de la santé publique.

    1. Hébergement HDS

La Messagerie Sécurisée de Santé Medimail est un service en SaaS. Elle est hébergée au Mipih qui est certifié « hébergeur de données de santé à caractère personnel », conformément au décret 2018-137 du 26 février 2018. Le périmètre et les lieux d’hébergement sont disponibles sur le site de l’ANS à l’adresse suivante :   xxxxx://xxxxxx.xxxx.xx/xxxxxx-xxxxxxxxxxxxxx/xxx/xxxxx-xxx-xxxxxxxxxxx-xxxxxxxxx.

    1. Accès au service et fonctionnalités

Ce service de messagerie réservé aux professionnels de santé et personnels administratifs, du secteur sanitaire ou médico-social est accessible uniquement après vérification de la qualité professionnelle de l’Utilisateur. Seuls les professionnels habilités à échanger des données de Santé peuvent utiliser la MSSanté.

Le service Medimail est accessible de façon sécurisée depuis les médias d’accès suivants :


- accès Webmail depuis le portail Medimail avec une authentification par carte CPS, la carte eCPS, l’OTP ou le portail SSO ou tout autre ou dispositif d’authentification forte pour les usages de la MSSanté ;

- accès depuis un client de messagerie par protocole SMTP avec une authentification forte ;

- accès depuis un logiciel métier intégrant des fonctions de messagerie en « Web Services » avec une authentification par carte CPS ou dispositif d’authentification forte ;

- accès depuis un client mobile de messagerie, sous iOS et Android avec une authentification forte ;


Le service Medimail comporte les fonctionnalités suivantes :


- création d’un compte de messagerie sécurisée de santé ;

- administration du compte de messagerie sécurisée ;

- émission, réception de messages ;

- recherche, classement et gestion des messages ;

- authentification forte des Utilisateurs ;

- notification de réception des messages sur une adresse non MSSanté ;

- recherche dans un Annuaire de correspondants.


La messagerie est compatible avec le système de messagerie Apycript. Les Parties reconnaissent que les modalités d’utilisation du service de MSSanté Apycript sont régies par la convention reliant l’Utilisateur à APICEM, éditeur et gestionnaire de Apycript.


Conformément aux référentiels et réglementations applicables au Mipih en tant qu’Opérateur de MSSanté, Medimail met à disposition des éditeurs tiers de Logiciel de Professionnel de Santé (LPS) une API permettant l’interconnexion avec leur service/outil. Dans cette hypothèse, le Mipih n’est aucunement Responsable des Traitements mis en œuvre, ni Sous-Traitant de l’éditeur.


    1. Annuaires

Le fonctionnement de Medimail repose sur l’utilisation d’Annuaires qui permettent d’identifier les Utilisateurs habilités. Si les Utilisateurs disposent d’un identifiant interne attribué par leur Structure Utilisatrice, ils seront identifiés dans l’annuaire avec cet identifiant. Les Annuaires servent également à retrouver des correspondants.

Medimail repose aujourd’hui sur trois annuaires, l’annuaire MSSanté, l’annuaire Medimail et l’annuaire Apycript.

La Structure Utilisatrice et l’Utilisateur s’engagent à utiliser les données contenues dans les Annuaires dans le strict respect du cadre de ses fonctions et dans un but exclusivement professionnel. Ceci exclut tout particulièrement toute démarche commerciale ou publicitaire, politique ou religieuse. La Structure Utilisatrice et l’Utilisateur s'engagent à ne pas mettre à disposition, donner, céder, ou vendre, à des tiers les fichiers des Annuaires, en totalité ou en partie, sous quelque forme que ce soit et à quiconque, pour quelque finalité que ce soit, sans l'accord préalable de chacun des inscrits concernés.

L’Utilisateur est informé que l’utilisation du service Medimail suppose que soient inscrites dans les Annuaires des données d’identité et de contact le concernant. Cela permet aux autres Utilisateurs de la messagerie de l’identifier et d’échanger des messages sécurisés avec lui.

Également, l’Utilisateur est informé qu’il conserve la possibilité de modifier ou supprimer des informations le concernant. Il dispose également de la possibilité de s’inscrire sur la liste rouge afin de pas faire apparaître ses données d’identité et de contact dans les Annuaires. Il peut se désinscrire de la liste rouge à tout moment. L'Utilisateur est également informé que ces informations soient accessibles aux autres Utilisateurs par le moyen des Annuaires.


Enfin l’Utilisateur est informé qu’un traitement statistique à des fins de pilotage et de suivi d’utilisation de la MSSanté pourra être réalisé par le Mipih à la demande de l’ANS.

La fiabilité de l’Annuaire reposant sur la responsabilité collective de ceux qui mettent des informations à disposition, l’Utilisateur s’engage à informer Xxxxx dans les délais les plus courts s’il constate des erreurs (de saisie, d’oubli, ...), abus ou détournements le concernant. Le service saisi met en œuvre les moyens nécessaires pour corriger les erreurs ou faire cesser les troubles constatés.

    1. Convention de preuve

La loi n° 2000-230 du 13 mars 2000, modifiée par l’Ordonnance n°2016-131 du 10 février 2016, article 4, codifiée par l’article 1366 du code civil, admet la preuve écrite sous forme électronique au même titre que l'écrit sur support papier « sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans les conditions de nature à en garantir l'intégrité ». L’acceptation des Conditions Générales d’Utilisation entraîne la conclusion d’une convention de preuve, au sens de l’article 1356 du Code Civil sur le fondement de laquelle les Parties, dont la Structure Utilisatrice et l’Utilisateur, s’autorisent mutuellement à produire les procédés de preuve susmentionnés en cas de différend.

Au regard des conditions d’application de ces dispositions, la messagerie Medimail utilise les dispositifs de certification de l’identité et d’authentification des Utilisateurs.

La messagerie Medimail intègre un dispositif d’imputabilité capable d’établir des traces des actions des utilisateurs sur le système et de les conserver. Ainsi, ce dispositif permet de garantir au récepteur de la messagerie l’identité de l’émetteur du message et donc de son contenu. L’imputabilité repose sur les traces des actions des utilisateurs sur le système ainsi que sur les traces techniques générées automatiquement par les composants logiciels et matériels utilisés par le système d’information pour assurer les fonctionnalités sollicitées par les Utilisateurs.

Afin de prévenir d’éventuelles contestations sur la valeur probante des messages échangés entre les Utilisateurs via le service Medimail au regard des exigences fixées par la loi précitée, la Structure Utilisatrice et l’Utilisateur s’engagent, en acceptant la présente convention, à ne pas contester leur force probante sur le fondement de leur nature électronique. Ils s’accordent dès lors pour reconnaître la même valeur probante aux écrits électroniques transmis via la messagerie Medimail qu’aux écrits sur support papier. Tout Utilisateur qui souhaiterait ne plus recevoir par voie papier des documents reçus par voie électronique dans le cadre du service Medimail, peut porter cette information en indiquant son choix concernant la dématérialisation.


  1. Organisation du service

Le GRADeS e-santé Occitanie est tenu à une obligation générale de conseil, notamment d’information et de recommandations envers la Structure Utilisatrice et l’Utilisateur. A ce titre le GRADeS e-santé Occitanie fournit à la Structure Utilisatrice et à l’Utilisateur, dès que cela s’avère nécessaire, des conseils, mises en garde et recommandations nécessaires, notamment en termes de qualité de services, de continuité d’exploitation, relatifs à la réalisation du service. Le cas échéant le GRADeS e-santé Occitanie pourra proposer de solliciter directement le Mipih pour la réalisation de prestations complémentaires, notamment de paramétrage, de formation et/ou de mise en place de connecteurs d’outils métiers, dans les conditions à définir par la Structure et le Mipih.

    1. Mise en œuvre du Service

Le GRADeS e-santé Occitanie en tant que MOA du projet de messagerie régional, pilote la mise en œuvre du service au sein de la Structure Utilisatrice conformément au Plan de Qualité Projet. Il est entendu que le GRADeS e-santé Occitanie ne saurait être considéré comme Utilisateur ou Structure Utilisatrice de la MSSanté Medimail.

A ce titre le GRADeS e-santé Occitanie organise et anime des comités projet de mise en œuvre avec la/les Structure(s) Utilisatrice(s). Chaque Structure Utilisatrice désigne un Référent Métier (Annexe n° 1) de la messagerie Sécurisée de Santé en son sein, ci-après dénommé « chef de projet ».

Le Chef de Projet est en lien avec les équipes de déploiement du GRADeS e-santé Occitanie et du Mipih et participe aux comités de projet de déploiement. Il valide, pour le compte de sa Structure, la recette proposée par le GRADeS e-santé Occitanie en comité de projet.

Par la suite ce Chef de projet centralise les demandes auprès du GRADeS e-santé Occitanie.

    1. Rôle de l’Administrateur

La Structure Utilisatrice doit désigner en son sein a minima un Administrateur qui sera en lien direct avec le GRADeS e-santé Occitanie.

L’Administrateur est responsable de la création, de la gestion, de la désactivation et de la suppression des comptes utilisateurs dans le respect des exigences du Référentiel #1 de l’ANS et des présentes CGU. Ce rôle peut être différent de celui de Chef de Projet pour le déploiement de Medimail.

Dans le cas d’une création de BAL nominative, l’Administrateur doit renseigner le numéro d’identifiant national de l’Utilisateur (RPPS ou ADELI), ainsi que les données d’identités certifiées par l’autorité d’enregistrement. De façon dérogatoire et uniquement dans le cas où l’Utilisateur ne dépend d’aucune autorité d’enregistrement reconnue par un texte, la Structure Utilisatrice devra renseigner un identifiant interne attribué par le responsable de la Structure Utilisatrice.

Dans le cas d’une création de BAL organisationnelle ou applicative, par un Administrateur, celles-ci n’identifiant pas une personne physique, mais un service, un secrétariat, un automate ou toute forme d’organisation interne à la Structure, elle relève de la responsabilité du responsable opérationnel de la BAL déterminé par la Structure Utilisatrice ou à défaut du représentant légal de cette Structure. Dans ce cadre, le Mipih veille à ce que les traces d’accès à ces BAL permettent, d’identifier la personne physique qui y a accédé.


Le Mipih, en tant qu’Opérateur de la MSSanté Medimail s’autorise à supprimer des BAL en cas d’inactivité complète durant 12 mois glissants. Un compte sera considéré comme inactif lorsqu’aucune connexion, aucun envoi et/ou aucune réception avec ouverture du message n’ont été réalisés sur la dernière année. A compter de 10 mois après la dernière activité, un message est envoyé toutes les semaines à l’adresse Medimail (identifiant du compte). En l’absence d’activité entre le dixième et le douzième mois, la BAL est physiquement supprimée au bout d’un an. 

    1. Fonctionnement du Support

La répartition du support de la messagerie Medimail est définie dans les dispositions de la Convention N°1901913 qui lie le GRADeS e-santé Occitanie et Mipih.

Il est réparti comme suit.

  • Support de Niveau 1 :

Par convention il est assuré par le Groupement e-santé Occitanie il est accessible les jours ouvrés de 8h30 à 18h30 aux coordonnées suivantes :

Mail : xxxxxxxxxx@xxxxxx-xxxxxxxxx.xx – Téléphone : 0000 000 000

Il comprend la déclaration d’incident, l’enregistrement de la demande de support et la vérification du bon fonctionnement du service Medimail.



  • Support de Niveau 2 : le support fonctionnel et technique est assuré par le Mipih qui intervient à la demande du support de niveau 1 ;



  • Support de Niveau 3 : le support niveau 3 est assuré par le Mipih à la demande du support de niveau 2 et est spécifiquement assuré par l’équipe de développement de Medimail.



Les supports de Niveau 2 et de Niveau 3 assurés par le Mipih sont disponibles les jours ouvrés de 8h à 18h.

  1. Rôle et engagements de service

    1. Rôle du GRADeS e-santé Occitanie

Le GRADeS e-santé Occitanie s’est engagé à informer sur les usages numériques en santé et la promotion de la MSSanté.

Il a en particulier en tant que MOA du projet MSSanté régional un devoir d’information auprès de ses adhérents pour qu’ils aient connaissance du service sous-traité au Mipih. Il veille au bon fonctionnement général et à la qualité du service fournit par Mipih et centralise les demandes des Structures Utilisatrices.

Le GRADeS e-santé Occitanie a en particulier un devoir d’information sur les évolutions et les arrêts programmés de services auprès des Structures Utilisatrices.

Le GRADeS e-santé Occitanie doit fournir les différentiels fonctionnels et les documentations utilisateurs à la demande de la Structure Utilisatrice.



Le GRADeS e-santé Occitanie met à disposition de la Structure Utilisatrice un ou plusieurs contacts désigné(s) sur le projet en son sein. Il est également garant du bon déroulement de la procédure de conventionnement entre la Structure Utilisatrice et Xxxxx.

    1. Rôle du Mipih et engagements de Service

La Messagerie Medimail est un outil d’échange au service de soins relevant d’une criticité particulière.

Bien que le Mipih mette tout en œuvre pour que le service fonctionne 24/7, il n’existe toutefois pas d’astreinte spécifique sur ce service dont la Hotline est ouverte de 8h à 18h les jours ouvrés, celui-ci ne relevant pas de la catégorie des services critiques

Mipih reconnait être tenu à une obligation générale de conseil, notamment d’information et de recommandations envers XXXXxX e-santé Occitanie. À ce titre, le Mipih leur fournit dès que cela s’avère nécessaire, des conseils, mises en garde et recommandations nécessaires, notamment en termes de qualité de services, de continuité d’exploitation, relatifs à l’utilisation de Medimail.

Le Mipih est engagé selon les dispositions de la Convention de Mise à disposition de la MSSanté Medimail N°1901913 avec le GRADeS e-santé Occitanie au titre d’une obligation de résultat pour la remise de livrables. Il a en particulier l’obligation d’informer le GRADeS e-santé Occitanie des évolutions et des mises à jour du service et de lui fournir les différentiels fonctionnels et la documentation utilisateurs.

Le Mipih s’engage à :

  • Maintenir Medimail en conditions opérationnelles et à corriger gratuitement les anomalies détectées ;

  • Paramétrer Medimail pour permettre l’utilisation d’une interface SMTP depuis et vers la Structure Utilisatrice ;

  • Paramétrer la passerelle de messagerie Medimail pour interconnecter le serveur de messagerie de la Structure Utilisatrice ;

  • Préparer et transmettre les éléments techniques concernant le paramétrage :

    • Création et livraison d’un certificat TLS à l’Administrateur de la messagerie de la Structure Utilisatrice

    • Livraison d’un document de préconisations techniques pour l’interfaçage de serveurs Exchange ou Postfix dans la Structure Utilisatrice

    • Livraison d’un script pour le paramétrage automatique d’un serveur Exchange 2013 ou Exchange 2016.

  • Réaliser une prestation d’une journée pour réaliser les tests d’interconnexion et valider que le paramétrage réalisé correspond à la logique technique attendue.

Le Mipih ne s’engage pas à :


  • Paramétrer le serveur de messagerie de la Structure Utilisatrice ;

  • Paramétrer le réseau de la Structure Utilisatrice.


Les indicateurs de service à respecter par le Mipih qui permettent d’évaluer la qualité de la prestation sont définis dans les Engagements de services en Annexe 2.


6.3Responsabilité du Mipih

Tout événement échappant au contrôle des parties, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, est considéré comme un cas de force majeure empêchant l'exécution de son obligation par le débiteur et entraîne la suspension temporaire du contrat. L’inexécution de ses obligations par la Partie défaillante ne saurait engager sa responsabilité, contractuelle et extracontractuelle, ni induire le versement de dommages et intérêts.

L’Utilisateur est responsable du bon fonctionnement de son système informatique et de son accès Internet. L’usage du service et l’accès au Webmail ou à l’application se fait sous la responsabilité de l’Utilisateur.

La Structure déclare et reconnaît que, le Mipih ne pourra être tenu responsable en cas de non interopérabilité ou de difficultés rencontrées liées à l’interopérabilité de la Solution avec d’autres logiciels ou systèmes.


Également, le Mipih ne pourra être tenu pour responsable des dommages résultant de virus quelle qu’en soit la forme, de bug(s), voire de tout programme ou d’application qui serait incompatible avec l’infrastructure utilisée par l’Utilisateur, ni des dommages subis par l’Utilisateur par le fait d’une panne, interruption, maintenance, problème technique, coupure du réseau téléphonique ou des réseaux de télécommunications, surcharge, défaut de continuité des réseaux de télécommunications et notamment d’internet, omission, négligence ou faute de tiers ou de l’Utilisateur ou d’une incompatibilité de la configuration de l’ordinateur de l’Utilisateur.

Dans l’hypothèse de lien hypertexte vers d’autres sites, la responsabilité du Mipih ne saurait être engagée quant à leur contenu. Le fait d’accéder aux sites en cliquant sur ledit lien suppose l’application des Conditions Générales d’Utilisation dudit site, sur le fondement desquels la responsabilité du Mipih ne saurait être engagée.

En tant qu’intermédiaire technique, à l’occasion d’une alerte de sécurité (contrôle anti-virus, etc.), d’une demande d’une autorité (administrative, judiciaire, etc.), d’une alerte émanant d’un autre Utilisateur, le Mipih se réserve le droit de conserver et de transmettre, sur demande, aux autorités compétentes, à des fins de preuve, tous logs, traces de connexion ou données à caractère personnel ou non, auxquelles le Mipih a accès, prouvant l’imputabilité à l’Utilisateur des comportements ou actions en cause, conformément aux CGU.


  1. Obligations de l’Utilisateur

La Structure Utilisatrice et l’Utilisateur doivent tenir compte :

- Des règles de droit commun relatives à l’échange des données de santé à caractère personnel dont les dispositions de l’article L. 1110-4 et l’article L1110-12 du code de la santé publique ;

- Des règles particulières qui autorisent dans certains cas l’échange de données de santé à caractère personnel ;

- Du cadre légal qui régit sa profession, en particulier les règles relatives à l’obligation de conserver les données de santé à caractère personnel collectées à l’occasion de l’exercice de sa profession.

En ce qui concerne l’Identité Nationale de Santé, l’Utilisateur professionnel, en tant que responsable de traitement, s’engage à le traiter conformément aux dispositions venant encadrer ses conditions d’utilisation et notamment les articles L1111-8 et R1111-8-1 et suivants du Code de la Santé Publique.

Il est conseillé à l’Utilisateur de reporter si nécessaire dans le dossier de la personne concernée toute donnée qu’il jugera utile pour la prise en charge de cette dernière, le contenu et les pièces jointes étant automatiquement supprimées au bout de 3 mois. Il est responsable du contenu des messages échangés et apprécie seul la sensibilité et la pertinence des messages échangés. Le Mipih en tant qu’hébergeur de données de santé est soumis au principe de confidentialité des communications. Relativement au contenu des échanges, la responsabilité du Mipih ne pourra aucunement être engagée Les données de santé à caractère personnel sont couvertes par le secret professionnel dans les conditions prévues à l’article L. 1110-4 du Code de la santé publique, dont la violation est réprimée par l’article 226-13 du Code pénal.

L’Utilisateur est informé qu’en cas d’opposition du patient à l’utilisation du service MSSanté, pour échanger des données de santé le concernant, l’Utilisateur professionnel devra recourir à un moyen d’échange alternatif. Le Mipih ne sera aucunement responsable de la mise en œuvre de ce moyen d’échange alternatif.

Pour le compte de l’Utilisateur, la Structure Utilisatrice s’engage à ne pas procéder à l’envoi de messages non sollicités à un ou plusieurs destinataires, considéré comme du spam. Il s’interdit également de télécharger, transmettre par courriel ou par tout autre moyen des courriels contenant des virus ou plus généralement tout programme visant notamment à détruire ou limiter la fonctionnalité de tout logiciel, ordinateur ou réseau de télécommunication. L’Utilisateur s’engage à ne pas perturber, entraver ou fausser, directement ou indirectement, le fonctionnement des Services et de l’infrastructure du Mipih, par quelque moyen que ce soit.


L’Utilisateur reconnaît que toute utilisation de l’application mobile et/ou des Services, est présumée faite par lui et lui sera imputée, à charge pour l’Utilisateur d’en apporter la preuve contraire. L’Utilisateur est responsable de la confidentialité de ses identifiants et des restrictions d’accès à son ordinateur et autres équipements utilisés pour se connecter à la Messagerie. L’Utilisateur s’engage à conserver ses moyens d’authentification dans des conditions garantissant leur sécurité. La responsabilité du Mipih ne peut être engagée pour tout manquement causé, directement ou indirectement, par une absence de sécurisation de ses moyens d‘authentification par l’Utilisateur.

De manière générale, l’Utilisateur s’engage à ne pas utiliser Medimail de manière illégale, illicite ou pouvant causer un préjudice quelconque au Mipih ou à un tiers. L’Utilisateur s’engage à utiliser Medimail dans le périmètre défini par les présentes Conditions Générales d’Utilisation. Tout dépassement de ce périmètre est susceptible d’engager sa responsabilité.

Les Structures et Utilisateurs s’engagent à ne pas rediriger leur adresse sécurisée vers une adresse de messagerie qui n’est pas sécurisée pour la transmission de données de santé.

Les Structures et Utilisateurs s’engagent à utiliser le produit exclusivement pour un usage professionnel et non marchand.

Les Structures et les Utilisateurs s’engagent à respecter les droits de propriété intellectuelle de Mipih sur tout contenu disponibles sur ses Services dans les conditions décrites à l’article 9 des présentes CGU. Tout manquement à ces clauses est susceptible d’engager la responsabilité de ces derniers pour des faits de contrefaçon

  1. Données à caractère personnel et données de santé

    1. Responsabilité du Traitement

Dans le cadre de la protection des données à caractère personnel et des données de santé, le RGPD a en particulier introduit le rôle de Responsable de traitement, rôle repris dans la loi relative à l’informatique, aux fichiers et aux libertés (article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée). Il est défini comme suit par la CNIL « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal ».

Le service Medimail permet l’échange de données à caractère personnel dont des données de santé relatives aux personnes physiques prises en charge par la Structure Utilisatrice ou l’Utilisateur.

De ce fait, la Structure Utilisatrice est le Responsable des Traitements de données de santé et données à caractère personnel échangées via Medimail. A ce titre, certaines obligations lui incombent au titre du Règlement Général sur la Protection des Données, notamment, l’obligation d’informer les personnes concernées des modalités de traitement de leurs données, de sécuriser, minimiser, mener une analyser d’impact (lorsque nécessaire), limiter le traitement, notifier les violations de données auprès de la CNIL et des personnes concernées.

Il appartient à la Structure Utilisatrice de s’assurer que ces personnes soient informées de l’utilisation d’une Messagerie Sécurisé de Santé en leur délivrant les informations suivantes :

- L’identité du responsable de traitement ;

- La finalité du traitement ;

- Les modalités d’exercice des droits d’opposition, de rectification, de suppression, de portabilité et d’accès aux données à caractère personnel ;

- Les modalités d’hébergement des données à caractère personnel échangées par le service Medimail.

Les demandes d’accès aux données de santé sont traitées dans le respect des règles de droit commun (article L. 1111-7 du code de la santé publique). La Structure Utilisatrice doit veiller à mettre en place les mesures nécessaires pour garantir l’effectivité des droits des personnes concernées par les données échangées au moyen du service Medimail.

Ces informations pourront être délivrées par des documents affichés sur les lieux de consultation de la Structure Utilisatrice, par la remise en main propre d’une note d’information ou être insérées dans le livret d’accueil. Le respect des obligations relatives aux données traitées et aux droits des personnes prises en charge relève de la seule responsabilité de la Structure Utilisatrice.

Les nouvelles obligations concernant les violations de données sont prévues par les articles 33 et 34 du RGPD. Elles précisent l’obligation générale de sécurité que doivent respecter les organismes qui traitent des données à caractère personnel (article 32 RGPD).

Au titre de ce principe essentiel, la Structure Utilisatrice en tant que Responsable de traitement est tenue de notifier les violations de données personnelles à la CNIL.

Dans la mesure du possible, le sous-traitant ultérieur Xxxxx doit aider le GRADeS e-santé Occitanie, à s’acquitter de son obligation d’assistance auprès des Structures Utilisatrices et Utilisateur en tant que Sous-Traitant de premiers degrés.

Le sous-traitant ultérieur Xxxxx informe son Responsable de Traitement le GRADeS e-santé Occitanie de toute demande d’exercice de droits qui lui est adressée. A moins que le Responsable de Traitement GRADeS e-santé Occitanie ne l’y ait expressément demandé assistance, le sous-traitant ultérieur Xxxxx s’interdit de répondre aux demandes d’exercice de droit concernant les traitements dont il n’est pas Responsable de Traitement.

Dans la limite de ses compétences et de ses moyens, le Mipih est tenu d’assister le Responsable de Traitement le GRADeS e-santé Occitanie dans l’exécution de ses obligations au sens du Règlement Européen sur la Protection des Données. C’est le cas notamment pour la réponse aux demandes d’exercice de droit, la réalisation d’analyse d’impact sur les données à caractère personnel, la notification d’une violation de données auprès de l’autorité compétente et la consultation préalable de l’autorité de contrôle si nécessaire.

En tant que Sous-Traitant de la Structure Utilisatrice, le GRADeS e-santé Occitanie est tenu aux mêmes obligations auprès de son Responsable de Traitement, la Structure Utilisatrice.

En tant que Sous-Traitant ultérieur, le Mipih est tenu à un devoir d’assistance auprès du GRADeS e-santé Occitanie et agit selon les seules instructions de ce dernier.

Aussi, la Structure Utilisatrice met en place des mesures visant à :

- prévenir toute violation de données ;

- réagir de manière appropriée en cas de violation, c'est-à-dire mettre fin à la violation et minimiser ses effets.


A ce titre, le Responsable de Traitement est tenu de tenir un registre de ses traitements et un registre des violations de données, notifiées ou non à la CNIL et/ou aux personnes concernées.

Les modalités de traitement des données à caractère personnel par le GRADeS e-santé Occitanie, le Mipih, Responsable des Traitements liés à la gestion de la MSSanté, les Structures, Responsable de Traitement des données et l’ANS pour les traitements à des fins statistiques sont précisés dans la politique de confidentialité annexée.

  1. Propriété intellectuelle

La création d'une BAL et/ou l’acceptation de cette Convention ne vaut pas cession de quelconque droit de propriété intellectuelle détenu par l'une ou l'autre des Parties. Le Mipih concède à l'Utilisateur et à la Structure Utilisatrice, selon les modalités et les conditions définies par la présente, un seul droit d'utilisation de Medimail, non exclusif, non cessible et non transférable. Ce droit d'utilisation n'est valable que durant la validité effective de la BAL. Pour la Structure Utilisatrice, ce droit d’utilisation n’est valable que pour la durée de la mise à disposition de Medimail auprès des Structures Utilisatrices.


Le Mipih déclare avoir sur les matériels et les logiciels utilisés dans le cadre de sa mission, les droits nécessaires pour réaliser la mise en œuvre de Medimail.


Le Mipih est titulaire de l'ensemble des droits de propriété intellectuelle afférents à la Messagerie Medimail et à la documentation qui l'accompagne, dans toutes leurs versions, notamment, et sans que cette liste ne soit exhaustive :

- Sur la plateforme : arborescence, organisation et titrage de ses rubriques, identité visuelle et graphique, design, ergonomie, fonctionnalités, logiciels, images animées ou fixes, sons, savoir-faire, dessins, graphismes et tout autre élément la composant ;

- La messagerie en tant que programme informatique ;

- Sur les bases de données techniques et sur leurs structures gérées par Mipih pour les besoins de l’édition de la plateforme ;

- Sur tous les éléments de conception de la plateforme, qu’ils soient graphiques ou techniques ;

- Sur la marque, les noms, sigles, logos, couleurs, graphismes ou autres signes du Mipih.


L’Utilisateur s'interdit de porter atteinte aux intérêts légitimes du Mipih. En conséquence, il s'interdit, notamment, tout type d'utilisation non explicitement prévue par la loi au profit de l'Utilisateur ou non expressément convenu entre les Parties, et notamment :


- D'utiliser la Messagerie en violation des législations en vigueur et des présentes Conditions ;

- D'utiliser la Messagerie ou d'en effectuer une copie de sauvegarde en dehors des conditions prévues par les présentes ;

- De corriger ou faire corriger par un tiers les éventuels défauts de fonctionnement de la Messagerie sans l'accord préalable et écrit Xxxxx ;

- De consentir au prêt ou à la mise à disposition au bénéfice de tiers de la Messagerie ou de sa documentation quel qu'en soit le moyen et ce, y compris via le réseau, pour une durée indéterminée ou non ;

- De traduire, d'adapter, d'arranger, de modifier la Solution.

- Lors de son utilisation ou de son étude, de porter atteinte à l’intégrité de la Messagerie notamment en modifiant ses fonctionnalités, son code source, son interface ou tout élément relatif à la Messagerie.

- D'utiliser la Messagerie à des fins autres que personnels, notamment à des fins de commercialisation, distribution, revente, reproduction, représentation, etc.

- De reproduire ou communiquer au public sous quelque forme que ce soit, de manière directe ou indirecte, les éléments visés précédemment, ainsi que d’altérer les marques, brevets, noms, sigles, logos, couleurs, graphismes ou autres signes figurant sur les éléments mis à disposition au sein de la plateforme, et plus généralement d’utiliser ou exploiter ces éléments autrement que dans le cadre de l’exécution des présentes Conditions Générales d’Utilisation ;

- De stocker, reproduire, représenter, modifier, transmettre, publier, adapter sur quelque support que ce soit, par quelque moyen que ce soit, ou exploiter de quelque manière que ce soit, de manière permanente ou non, les éléments de l’interface Web et /ou des Services sans l’autorisation préalable écrite et expresse du Mipih.


 Le Mipih s’engage à fournir les informations nécessaires pour la réalisation d’une opération d’interopérabilité, lorsque la Structure Utilisatrice ou l’Utilisateur en fait la demande. Les informations ainsi obtenues ne peuvent être partagées à un tiers, sauf si cette divulgation est strictement nécessaire à la réalisation de l’opération d’interopérabilité. Elles ne peuvent non plus être utilisées pour la mise au point, la production ou la commercialisation d’un logiciel similaire ou pour tout acte portant atteinte, directement ou indirectement, aux droits de propriété intellectuelle du Mipih.

Une fois les informations obtenues, la Partie utilisatrice ne peut se prévaloir de l’exception de décompilation au sens de l’article 122-6-1 du Code de la Propriété Intellectuelle

 L'Utilisateur et la Structure Utilisatrice s’interdisent de contourner les mesures techniques de protection mises en œuvre par le Mipih afin de protéger son œuvre contre les actes non autorisés par les présentes dispositions. A défaut, l'Utilisateur engage sa responsabilité dans les conditions de l’article L335-3-1 du Code de la Propriété Intellectuelle.


L'Utilisateur est autorisé à effectuer une copie de sauvegarde unique de la Messagerie pour en préserver l'utilisation, sous réserve de reproduire toutes les mentions de propriété industrielle et intellectuelle dans la copie effectuée, qui reste assujettie aux présentes Conditions. Dès lors, cette copie de sauvegarde ne doit aucunement être reproduite, partagée ou divulguée, avec ou sans contrepartie, par quelque moyen que ce soit et à quelque titre que ce soit à un tiers.


Le Mipih, la Structure Utilisatrice et l’Utilisateur sont et resteront propriétaires, chacun pour ce qui les concerne, de leurs signes distinctifs, à savoir marques, dénominations sociales et autres, noms commerciaux, enseignes et noms de domaine. La reproduction, l’imitation ou l’apposition, partielle ou totale, tout usage des marques et dessins et modèles appartenant à l’Utilisateur ou au Mipih est strictement interdite sans son accord écrit préalable et express.

Tous les droits qui ne vous ont été expressément accordés dans ces Conditions Générales d’Utilisation sont réservés et restent sous la propriété du Mipih.

L’absence de poursuite légale dès la prise de connaissance de la violation ne peut s’interpréter comme une acceptation tacite desdites utilisations et une renonciation aux poursuites.

  1. Fin du service

La mise à disposition de Medimail par le Mipih auprès des Structures Utilisatrices est régie par les dispositions de la Convention N°1901913 signée entre le GRADeS e-santé Occitanie et le Mipih pour une durée de quatre ans, reconductible par avenant. Le coût d’utilisation du service est pris en charge par le GRADeS e-santé Occitanie, le service est donc gratuit en utilisation pour les Structures Utilisatrices. Faute de reconduction expresse par avenant par les Parties, le service sera arrêté. Le Mipih se réserve le droit de faire un point avec les Structure Utilisatrices six (6) mois avant la fin du service et propose les modalités d’une éventuelle fin de service.

    1. Archivage et restitution des données

En accord avec les préconisations du Référentiel #1 de l’ANS, les messages transmis par la messagerie Sécurisée de Santé Medimail, sont conservés sur les datacenters du Mipih pour une durée de trois (3) mois, les traces techniques pour une durée d’un (1) an et les traces fonctionnelles sont conservées pour une durée de dix (10) ans.

À la fin du service, les mails de moins de trois (3) mois pourront être restitués à la demande de la Structure Utilisatrice auprès du Mipih dans un délai de quatre (4) jours ouvrés. Si la Structure Utilisatrice ne fait pas la demande de restitution, les mails seront automatiquement supprimés dans un délai de trois (3) mois ou dès la suppression de la Structure Utilisatrice, le cas échéant.

  1. Résiliation

    1. Du fait du Mipih

En cas de non-respect des Conditions de mise à disposition du Service Medimail, Xxxxx enjoint l’utilisateur de se conformer auxdites conditions par envoi d’un recommandé avec accusé de réception. Le refus de l’Utilisateur entrainera la rupture, dans les trois (3) mois suivant la réception du recommandé, de l'accès de l'utilisateur aux annuaires et pourra conduire à son exclusion de l'utilisation de la messagerie Medimail. Ces dispositions sont applicables sans préjudice des suites et sanctions prévues par la loi.

Si le Mipih se rend compte d’un mauvais usage, il informe le GRADeS e-santé Occitanie qui doit contacter dans les meilleurs délais l’Utilisateur concerné. Il en informera le Mipih.

Le GRADeS e-santé Occitanie se réserve le droit de bloquer l’utilisation du service à l’Utilisateur ou à la Structure concernée le temps de la résolution de la problématique.

Le Mipih se réserve le droit d’intervenir en cas de risque majeur pour le service.

    1. Du fait de la Structure Utilisatrice

La Structure Utilisatrice a la possibilité de résilier l’utilisation du service, pour quelques raisons que ce soit. Elle en informe le GRADeS e-santé et le notifie au Mipih par courrier recommandé avec accusé de réception avant le 31 décembre de l’année en cours. En tout état de cause, le délai de préavis sera d’une année civile complète. Les Parties peuvent convenir d’un commun accord de réduire ce préavis.

  1. Non validité partielle

Si une ou plusieurs dispositions de cette convention sont tenues pour non valides par une loi ou un règlement, ou déclarées telles par décision définitive d'une juridiction compétente, elles seront réputées non écrites, dans le respect de la jurisprudence relative à la nullité absolue, les autres dispositions de cette convention gardant toute leur force et leur portée.

  1. Durée

Cette convention définissant les conditions d’utilisation de la Messagerie Medimail s’applique à la Structure Utilisatrice et à l’Utilisateur pendant la durée de la relation contractuelle entre le GRADeS e-santé Occitanie et le Mipih, sauf événement justifiant une résiliation anticipée de la convention. Les droits concédés à la Structure Utilisatrice et à l’Utilisateur au titre de cette Convention sont concédés jusque-là fin de la Convention liant le Mipih au GRADeS e-santé Occitanie, sauf événement justifiant une fin anticipée des droits concédés.

  1. Permanence des clauses

Le fait que l'une des parties n'ait pas exigé l'application d'une disposition quelconque de la présente convention, et ce, que ce soit de façon permanente ou temporaire, ne pourra en aucun cas être considéré comme une renonciation aux droits de cette partie découlant de ladite disposition.

  1. Droit applicable et attribution compétence

La convention est soumise au droit français. Les Parties reconnaissent par la présente que les présentes dispositions remplacent, annulent et prévalent sur tout autre accord écrit ou verbal, antérieur, portant sur le même objet.

Les Parties s’engagent, en cas de différend survenant entre elles relatif à la formation, l'interprétation ou l’exécution de cette convention, préalablement à la saisine du juge compétent, à mettre en œuvre une procédure destinée à faciliter un règlement amiable le plus rapidement possible.

À défaut d’accord amiable, le litige sera porté devant le Tribunal administratif du domicile du Défendeur auquel les Parties attribuent compétence exclusive, nonobstant pluralité de défendeurs ou appel en garantie.

  1. Annexes

Sont annexées aux présentes :

Annexe n° 1 – Référent métier ;

Annexe n° 2 – Engagement de services.

Annexe n°3 – Politique de Confidentialité.

Fait à [___________]

En deux (2) exemplaires originaux

le :



Pour la Structure Utilisatrice : Pour le Mipih :

[_____________________] [__Le Directeur Général_]



Signature : Signature :


ANNEXE 1 - REFERENT METIER

Le Bénéficiaire doit nommer un Référent Métier pour l’utilisation du Service.

Référent Métier

Rôle

Il a pour rôle de s’approprier fonctionnellement le Service mis à disposition par le GRADeS e-santé Occitanie. Son rôle est de promouvoir le Service et ses évolutions, former les Utilisateurs et remonter au GRADeS e-santé Occitanie leurs demandes.

NOM Prénom

[ ]

Fonctions/Qualité

[ ]

Téléphone

[ ]

Email

[ ]




XXXXXX XX – Engagement de service

    1. Définition

GTR : Garantie de temps de rétablissement. Correspond au temps de résolution depuis la prise en charge de l’incident.

SLA : Service Level Agreement. Niveau de service contractuel fourni par le prestataire au client.

Indisponibilité : Le service est déclaré indisponible lorsque son usage est rendu impossible pour la majorité des utilisateurs, suite au fonctionnement défectueux d’un organe, d’un dispositif ou d’un équipement technique et applicatif, et si ce défaut apparait dans l’exécution des fonctions prévues, durant les horaires sur lesquels le Mipih est engagé.

Sont exclus de l’Indisponibilité :

- Les travaux de maintenance préventive

- Les opérations acceptées par les deux parties

- Les défaillances du réseau

- Les éléments relevant de la responsabilité de l’Utilisateur

- Les incidents applicatifs et fonctionnels n’impactant pas le fonctionnement de Medimail

    1. Niveaux de services (SLA)

Le service Medimail est disponible 24h/24 et 7j/7 hors incident ou opération de maintenance planifiée.

La GTR s’applique aux incidents bloquants, c’est-à-dire rendant totalement indisponible le service Medimail sans moyen de contournement.

NIVEAUX DE SERVICE – SUPPORT

Prise en compte des demandes au support

du lundi au vendredi de 8h00 à 18h00

Nombre de demandes d’ouverture incident

Illimité

Suivi des demandes via un portail Web

Oui

Proposition de solution de contournement

Oui

Support en langue française

Oui

Suivi des problèmes par le centre jusqu'à résolution

Oui

Mail en cas d’incident sur le service.

Oui

      1. Délai de prise en compte des incidents

Définition : Délai maximal pour lequel un ticket d’intervention a été enregistré par Xxxxx suite à déclaration d’incident par le client/adhérent.

Délai de prise en compte des incidents : Délai d’intervention des incidents / anomalies

  • Anomalie / incident bloquant : 30 minutes

  • Anomalie / incident majeur : 8 heures

  • Anomalie / incident mineur : 72 heures

      1. Garantie du temps de Rétablissement (GTR)

Définition : Délai dans lequel le Titulaire doit avoir rétabli le service. Le délai du GTR démarre une fois la prise en compte effective des incidents par le service support du Titulaire.

Délai de garantie du temps de rétablissement : Garantie du temps de rétablissement

  • Anomalie / incident bloquant : 4 heures

  • Anomalie / incident majeur : 72 heures

  • Anomalie / incident mineur : 90 jours

      1. Niveau de service sans Astreinte

Respect de la GTR et respect du taux de disponibilité annuel du service Medimail pour une plage de disponibilité de 5j/7 sur un créneau de 8h00 à 18h00. Soit une plage de disponibilité annuelle de 252 jours x 10h

  • Taux annuel de disponibilité : 97,6 %

  • Temps annuel (T) : 151 200 minutes

  • Temps annuel d’indisponibilité maximum toléré : 3 600 minutes soit 60h par an avec un maximum mensuel cumulé de 8 heures

      1. Niveau de service avec Astreinte

Respect de la GTR et respect du taux de disponibilité annuel du service Medimail pour une plage de disponibilité de 7j/7 sur un créneau de 24h/24.

Soit une plage de disponibilité annuelle de 365 jours x 24h

  • Taux annuel de disponibilité : 99,3 %

  • Temps annuel (T) : 525 600 minutes

  • Temps d’indisponibilité annuel maximum toléré : 3 600 minutes soit 60h par an avec un maximum mensuel cumulé de 8 heures

      1. Engagements de services incidents bloquants :

Sans Astreinte

Avec Astreinte

GTI incident technique critique (système bloqué)

4h

1h

GTR incident technique majeur (système non bloqué

8 heures

4 heures

Taux annuel de disponibilité

97,65%

99,3%

Durée cumulée mensuelle maximum des indisponibilités

8 heures

8 heures


XXXXXX XXX – Politique de Confidentialité

Le Responsable de Traitement, le GRADeS e-santé Occitanie et Xxxxx s’engagent à ne collecter et ne traiter que les données à caractère personnel qui sont strictement nécessaires à la finalité pour laquelle elles sont collectées. Vous serez informé, pour chaque service, de la catégorie de donnée à caractère personnel, pour chaque opération de traitement que nous réalisons sur vos données à caractère personnel.

Certains services nécessitent d’enregistrer vos informations afin d’être en mesure de répondre à votre demande. Conformément au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, la présente politique vous informe de vos droits, sur les données vous concernant.

Cette politique, accessible notamment sur notre site internet xxxxx://xxxxx.xx/, est mise à jour régulièrement afin de prendre en compte les évolutions législatives et règlementaires, et tout changement dans l’organisation du Mipih ou dans les traitements qu’il réalise.

La présente politique diffère de la politique, accessible notamment sur notre site internet xxxxx://xxxxx.xx/xx informe sur la collecte des données personnelles propre à ce service.

Données personnelles – Concerne le service de « Messagerie Sécurisée de Santé Medimail »

Cette politique a été mise à jour le 20/09/2023.

Le Responsable de Traitement est la Structure au sein de laquelle le Professionnel de Santé, avec lequel le Patient dialogue, exerce.

Le Medimail est un traitement de données personnelles géré par la Structure, Responsable de Traitement, mais administré par Xxxxx, Opérateur de la MSSanté sous la responsabilité du GRADeS e-santé Occitanie.

Objet du traitement de données

Finalités

L’utilisation de la Messagerie Sécurisée de Santé Medimail permet au Responsable de Traitement, à savoir la Structure, spécialisée dans le domaine de la santé ou le domaine médico-social de mettre à disposition des professionnels de santé dits Utilisateurs une messagerie permettant d’envoyer, de façon sécurisée, des données de santé et des données à caractère personnel concernant des Usagers, soit la patientèle, à toute personne habilitée à les recevoir.

Le GRADeS e-santé Occitanie en tant que Groupement Régional d’Appui au Développement de la e-Santé est chargée de promouvoir les outils tels que la MSSanté Medimail auprès des Structures de sa région. A ce titre, le GRADeS e-santé Occitanie est l’interlocuteur privilégié des Structures sur l’utilisation et la gestion de la MSSanté Medimail.

En tant que tel, le GRADeS e-santé Occitanie traite des données afin de mettre à disposition le service aux professionnels de la région, de les aider dans l'utilisation de l'outil et de rendre compte de l'utilisation aux structures de tutelle.

Mipih en tant qu’Opérateur de la MSSanté Médimail est Sous-Traitant Ultérieur de la Structure et Sous-Traitant du GRADeS e-santé Occitanie. A ce titre, Xxxxx met à disposition et gère pour le compte de son Responsable de Traitement la MSSanté et héberge les données de santé collectées par le Responsable de Traitement dans ses environnements certifié hébergeur.

La Structure, en tant qu’Etablissement de Santé est Responsable de Traitement des données de santé et des données à caractères personnelles échangées via la MSSanté Medimail. La Structure gère également un Annuaire en interne contenant les données de contact des Patients et des Professionnels de Santé.

Mipih en tant qu’Opérateur de la MSSanté Medimail est seulement Responsable des Traitement suivants :

  • Création du compte.

  • Connexion sur la MSSanté dans le respect des obligations légales (PGSSI-S).

  • Maintenance, support.

L’Utilisateur est informé que Xxxxx, en tant qu’Opérateur de MSSAnté a mis en place une authentification forte sur son Application Medimail fondée sur le traitement de données biométriques (par exemple, gabarit du visage ou empreinte digitale) pour cette seule finalité. Pour autant, Xxxxx ne fait qu’appeler le module de biométrie déjà présent, configuré par l’Utilisateur, sur l’appareil mobile et ne stocke aucune donnée biométrique.


L’ANS en tant que gestionnaire de l’Espace de Confiance MSSanté collecte et traite des données afin d’établir des indicateurs anonymes. Mipih, en tant qu’Opérateur de la Messagerie de Santé agit donc en qualité de Sous-Traitant au sens de l’article 4 du RGPD pour la mise en œuvre de ce traitement.

Conformément aux dispositions prévues par les arrêtés des 11 août 2021 et 2 février 2022 relatifs à aux dispositifs de financement à l’équipement logiciel mis en œuvre par l’ANS dans le cadre du programme Ségur numérique, des données relatives au fonctionnement de la messagerie MSSanté des professionnels ou établissement participant au programme de financement Ségur sont susceptibles d’être communiquées (identifiant de la boite de message et indicateur d’usage) à l’ANS ainsi qu’à son opérateur de paiement, l’Agence des services de paiement (« ASP »), aux seules fins de réaliser les contrôles prévus par la réglementation précitée (usage effectif de la messagerie de santé), lesquels conditionnent l’accès au financement octroyé. Les informations susceptibles d’être communiquées dans ce cadre sont strictement limitées à la réalisation de l’opération de contrôle. Elles sont confidentielles et ne sont accessibles qu’aux agents habilités de l’ANS et de l’ASP.


Le Service de Messagerie de Santé Medimail est compatible avec le Service Apycript. A cet effet, les modalités de traitement de données dans le cadre de l’utilisation de la Messagerie Apycript sont précisées dans leur politique de confidentialité : xxxxx://xxx.xxxxx.xx/xxxxxxxxx-xxxxxxxxxx-xxxxxxx .


Conformément aux référentiels et réglementations applicables au Mipih en tant qu’Opérateur de MSSanté, Medimail met à disposition des éditeurs tiers de Logiciel de Professionnel de Santé (LPS) une API permettant l’interconnexion avec leur service/outil. A cet effet, les modalités de traitement des données à caractère personnel sont précisées dans la politique de confidentialité dudit service/outil. Dans cette hypothèse, le Mipih n’est aucunement Responsable des Traitements mis en œuvre, ni Sous-Traitant de l’éditeur.

Base légale

L’utilisation d’une MSSanté afin d’échanger des données de santé entre les Utilisateurs et avec les Usagers est fondé sur l’article 6 §1 f du Règlement Général à la Protection des Données puisqu’il répond à l’intérêt légitime du Responsable de Traitement de sécuriser les échanges entre Professionnels de Santé.

La constitution de l’Annuaire est fondée sur l’article 6 §1 a) du RGPD, à savoir le consentement, ou l’article 6 §1 b) du RGPD, à savoir l’exécution de mesures contractuelles ou précontractuelles.

Les traitements pour lesquels Xxxxx est Responsable sont fondés sur l’article 6) §1 b) du Règlement Général sur la Protection des Données, puisqu’ils sont nécessaires à l’exécution de dispositions contractuelles entre Mipih et l’Utilisateur.

La mise en œuvre d’une authentification forte dont les modalités sont déterminées par l’Utilisateur est une obligation légale au titre de la PGSSI-S, ce traitement est fondé sur l’article 6 §1 c) du RGPD.

Le traitement pour lequel l’ANS est Responsable de Traitement est mis en œuvre en application de l’article 5, 5e de la loi n°78-17 du 6 janvier 1978.

Les traitements menés par le GRADeS e-santé Occitanie sont fondés sur l’article 6 §1 a) du RGPD, à savoir le consentement.

Données traitées

Catégories de données traitées

Les données suivantes sont collectées par la Structure, Responsable de Traitement, dans le cadre de l’utilisation de la MSSanté Medimail :


  • Données de contact des Usagers (Patients) et autres Utilisateurs.

  • Documents envoyés en pièce jointe par les Usagers et autres Utilisateurs.

  • Données diverses contenues dans le corps et l’objet du message, pouvant être considérées comme des données de santé.


Les données suivantes sont collectées et traitées par les Utilisateurs pour la constitution et l’utilisation de son Annuaire, sauf si les autres Utilisateurs sont marqués en liste rouge :

  • Nom

  • Prénom

  • Profession

  • Adresse professionnelle (mail et adresse postale)

  • Numéro de téléphone

  • RPPS ou ADELI

  • Lieu d’exercice


Les données collectées par Xxxxx afin de mener à bien les différents traitements susmentionnés, sont les suivantes :

  • Adresse IP

  • Logs

  • Identifiants de connexion

  • Information d’horodatage

  • Adresse de messagerie sécurisée créées.


Les Utilisateurs et Xxxxxxx sont également informés que les données suivantes :

  • Adresse mail ;

  • Horodatage des échanges ;

  • Taille des e-mails ;

  • Présence d’un INS qualifié ;

  • Présence/type de document structuré,

  • Données d’identification,

  • Identifiant du logiciel métier utilisé ;

  • Données relatives à la vie professionnelle.

sont collectées, transmises et traitées par l’ANS, en tant que gestionnaire de l’Espace de Confiance MSSanté, afin d’établir des indicateurs anonymes.


Les données suivantes sont traitées par le GRADeS e-santé Occitanie afin de mener à bien les Traitements dont il est Responsable :

  • Informations relatives aux comptes (adresse mail, adresse mail MSSanté, adresse professionnelle, liste rouge MSS, profession, spécialité, etc.)

  • Dates relatives à l’activité des comptes (date d’inscription, date de dernière activité, etc.)

  • Informations relatives à la structure (nom, identifiant)

  • Informations relatives aux échanges de mail sans accès au contenu (horodatage, présence d’un INS qualifié, état d’un message, Présence/type de document structuré, mail émetteur, mail récepteur, etc.)


Source des données

  • Personnels du Mipih en charge de l’administration de Medimail.

  • Utilisateurs de Medimail, tel que défini à l’article 3 des Conditions Générales d’Utilisation.

  • Usagers, tel que défini à l’article 3 des Conditions Générales d’Utilisation.

Caractère obligatoire du recueil des données

  • Les données collectées pour la création et la connexion du compte sont recueillies de façon obligatoire, sauf – dans le cas d’une collecte directe - mention contraire dans le formulaire concerné ou sur la plateforme numérique concernée.

    1. Prise de décision automatisée

Le traitement des données à caractère personnel ne prévoit pas de prise de décision automatisée.

Personnes concernées

Le traitement de données concerne :

  • Les personnels du Mipih en charge de l’administration de Medimail ;

  • Les Utilisateurs tels que définis à l’article 3 des Conditions Générales d’Utilisation de Medimail ;

  • Les Usagers tels que définis à l’article 3 des Conditions Générales d’Utilisation de Medimail.

Destinataire des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

  • Les Professionnels de santé et Médico-sociaux autorisés par le Patient pour lui délivrer un Service ;

  • Les personnels du Mipih chargés de l’administration de la MSSanté. Aux administrateurs strictement habilités de l’hébergeur certifié de données de santé, au sens de l’article L. 1111-8 du Code de la santé publique, dans la limite de leurs attributions respectives ;

  • Les personnes habilitées au titre des tiers autorisés (les juridictions concernées, les arbitres, les médiateurs, les ministères concernés...).

  • Le GRADeS e-santé Occitanie.

Transfert des données hors UE

Aucun transfert de données à caractère personnel n'est réalisé hors de l'Union européenne.

Durée de conservation des données

  • Les données d’identification et de contact collectées dans le cadre de la création du compte sont conservées par Xxxxx tout au long de l’activation du compte et supprimées après la désactivation, pour quelque raison que ce soit, du compte. Ils sont supprimés automatiquement au bout d’un an d’inactivité.

  • Les traces techniques sont conservées un an glissant à compter de leur collecte et sont par la suite supprimées. Le Mipih conserve les traces fonctionnelles pour une durée de 10 ans.

  • Conformément aux dispositions des Conditions Générales d’Utilisation, le Mipih passe en liste rouge les comptes inactifs depuis plus d’un an.

  • Les messages et leurs pièces jointes sont supprimés par Xxxxx au bout de 3 mois, le contenu et les pièces jointes sont susceptibles d’être conservées en interne par les Utilisateurs, Responsable de Traitement.

  • En ce qui concerne l’authentification forte, Xxxxx ne faisant appel qu’au système de biométrie déjà présent sur l’appareil, il ne stocke aucune donnée biométrique concernant l’Utilisateur.

  • Les données collectées par l’ANS en tant que gestionnaire de l’Espace de Confiance MSSanté pour la réalisation de statistiques sont conservées 3 mois puis anonymisées.

Utilisation de cookies nécessaires au site pour fonctionner

Ces cookies permettent aux services principaux du site de fonctionner de manière optimale. Vous pouvez techniquement les bloquer en utilisant les paramètres de votre navigateur mais votre expérience sur le site risque d’être dégradée.

Aucun autre cookie n’est nécessaire au webmail Medimail ainsi qu’à l’application mobile.

Sécurité

Le site xxxxx.xx est hébergé, en France, par Xxxxx lui-même. Conformément à notre certification ISO 27001 et la Politique de Sécurité des Systèmes d’Information (PSSI), Mipih attache une grande importance à la protection de vos données à caractère personnel.

Afin d’assurer la confidentialité et l’intégrité de vos données, nous mettons en œuvre les mesures organisationnelles et techniques adéquates pour les protéger contre toute altération, modification, consultation, destruction et diffusion non autorisée.

Nous nous engageons à vous informer, dans les meilleurs délais, de tout incident pouvant compromettre significativement la confidentialité et l’intégrité de vos données. Nous nous engageons également à prendre toutes les mesures, techniques et organisationnelles, adéquates pour minimiser les conséquences d’un tel incident.

En tant que Professionnel de Santé, les Utilisateurs sont soumis à une obligation de confidentialité concernant les données sensibles de sa patientèle, les Usagers.

En tant qu’Opérateur de Messagerie et Hébergeur des données sensibles échangées par la MSSanté, Mipih est soumis à une obligation de confidentialité concernant le contenu des messages.

Vos droits sur les données vous concernant

Selon les opérations de traitement dont vos données font l’objet, vous pouvez disposer des droits suivants :

  • le droit d’obtenir confirmation de notre part que des données à caractère personnel vous concernant sont, ou non, traitées (droit d’accès). Si tel est le cas, vous pouvez accéder à vos données à caractère personnel et obtenir copie des informations et données vous concernant ;

  • le droit d'obtenir de notre part la rectification des données personnelles inexactes vous concernant (droit de rectification) ;

  • le droit d'obtenir l'effacement de vos données personnelles, pour autant que l'un des motifs justifiant l’exercice de ce droit s'applique (droit d'effacement) ;

  • le droit d'obtenir la limitation du traitement, lorsque l'un des motifs justifiant l’exercice ce droit s'applique (droit à la limitation du traitement) ;

  • le droit de recevoir vos données personnelles, dans un format structuré, couramment utilisé et lisible par une machine, et le droit de transmettre ces données à un autre responsable du traitement sans entrave de notre part (droit à la portabilité des données) ;

  • le droit de retirer votre consentement, qui implique pour la plupart des services la suppression de votre compte.

> Comprendre vos droits informatique et libertés

Exercer ses droits

Le délégué à la protection des données (DPO) de votre Structure est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement :

Contacter le Professionnel de Santé avec lequel vous avez échangé les données concernées par la demande d’exercice de droit.

Si vous ne parvenez pas à obtenir de réponse de la part du Responsable de Traitement ou de son DPO, vous pouvez contacter le DPO du GRADeS e-santé Occitanie qui fera suivre votre demande :

  • Contacter le DPO par voie électronique à l’adresse :xxx@xxxxxx-xxxxxxxxx.xx

  • Contacter le DPO par xxxxxxxx postal à l’adresse suivante :

00 xxx xxx xxxxxx-xxx xxxxx, 00000 Xxxxxxxx


Pour toute demande d’exercice de droit concernant un traitement dont Xxxxx est Responsable, vous pouvez nous contacter !

  • Par voie électronique à l’adresse dpo(a)xxxxx.xx

  • Par voie postale :

Délégué à la protection des données (DPO)

Mipih

00 Xxx Xxxxxx Xxxxxxxxx – 00000 Xxxxxxxx.


Dans le cadre d’une demande d’exercice de droit adressée au Mipih, pour un Traitement dont il est Responsable, si nous le jugeons nécessaire, il est de notre droit de vous demander de justifier votre identité avant toute réponse à votre requête.


Nous nous engageons à répondre dans un délai de 1 mois, à compter de l’envoie de la requête au complet. Pour autant, des circonstances particulières peuvent justifier un délai plus long. Dans cette hypothèse, la réponse se fera dans un délai maximum de 3 mois.


Réclamation (plainte) auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.




Document Metadata

Filed: September 1st, 2024