CNIL et Mon espace santé

AdobeStock_270049168

Le dossier médical partagé (DMP) a été intégré à l’espace numérique de santé (ENS, aussi appelé « Mon espace santé ») en janvier 2022. La CNIL rappelle le fonctionnement ainsi que les droits des personnes concernées pour ces deux dispositifs.

Qu’est-ce que l’espace numérique de santé (ENS) ?

L’espace numérique de santé (ENS), également appelé « Mon espace santé » (MES), est un dispositif qui permet aux utilisateurs de gérer leurs données de santé et de participer à la construction de leur parcours de soin.

Cette plateforme numérique regroupera au même endroit :

  • une messagerie sécurisée de santé ;
  • le dossier médical partagé (DMP) ;
  • un agenda e-santé ;
  • un catalogue (ou magasin) d’applications, regroupant un ensemble de services et outils numériques référencés proposés par des acteurs publics ou privés dans le domaine de la santé et du bien-être.

Au premier semestre 2022, seuls deux services seront disponibles : la messagerie sécurisée de santé et le DMP. À terme, chaque personne mineure ou majeure inscrite à l’un des régimes de l’Assurance maladie disposera automatiquement d’un espace personnel, sauf si elle s’y est opposée.

La CNIL a accompagné et accompagnera le ministère et la CNAM, responsables conjoints de cette plateforme, durant toutes les étapes de sa conception, afin de garantir le respect des droits et libertés des personnes. Elle a d’ailleurs déjà rendu plusieurs avis sur les textes encadrant son fonctionnement et sera appelée à en contrôler la mise en œuvre.


Comment activer son espace numérique de santé ?

Depuis le mois de janvier 2022, l’Assurance maladie envoie des courriels ou courriers d’information contenant un code d’activation qui doit permettre soit :

  • d’activer son espace santé ;
  • de s’opposer à sa création.

À défaut de réponse dans un délai de six semaines après la réception du courrier/courriel d’information, l’ENS est automatiquement créécomme prévu par la loi.

Les utilisateurs peuvent néanmoins changer d’avis à tout moment et demander la clôture de leur ENS.


Les personnes mineures auront-elles un ENS ?

L’Assurance maladie doit envoyer un courrier/courriel d’information à la personne majeure à laquelle le mineur est rattaché pour l’Assurance maladie, également appelé « ouvrant-droit ». Cette personne décide d’activer ou de s’opposer à l’activation de l’ENS du mineur.

L’ouvrant droit doit pouvoir communiquer une invitation à l’autre représentant légal du mineur (s’il existe) pour lui permettre d’accéder et d’exercer ses droits.

Chaque mineur doit pouvoir disposer d’un espace personnel, accessible uniquement par son ou ses représentants légaux (il n’est pas prévu d’accès direct par les mineurs). Il peut néanmoins demander à ce que certaines informations ne soient pas dévoilées, dans les cas prévus par la loi (en matière de santé reproductive notamment, par exemple pour le dépistage d’IST, la prescription de contraceptifs ou pour la réalisation d’une interruption de grossesse).

Lors du passage à la majorité, les accès des représentants légaux doivent être suspendus : seul le titulaire de l’ENS pourra alors y accéder et gérer ses données de santé.

La CNIL a alerté le ministère et la CNAM sur la reconnaissance par le RGPD et la loi Informatique et Libertés de droits numériques aux mineurs. Ces textes prévoient, en particulier, l’exigence d’une information adaptée et une capacité à consentir, sous certaines conditions, au traitement de leurs données (seuls au-delà de 15 ans, ou avec leurs parents avant cet âge). Plusieurs initiatives internationales, européennes et nationales sont en cours afin de renforcer la protection des mineurs.

Pour aller plus loin :

La CNIL a d’ailleurs publié 8 recommandations pour renforcer les droits des mineurs. 


Comment s’opposer à la création de son espace numérique de santé ?

Pour exercer son droit d’opposition, la personne doit disposer de son code d’activation (envoyé par l’Assurance maladie) et de sa carte Vitale.

L’opposition doit pouvoir être réalisée :

  • en ligne grâce au lien indiqué dans le courriel/courrier d’activation ;
  • par téléphone en contactant le support de la CNAM ;
  • directement auprès de sa caisse de rattachement (par exemple CPAM) par courrier ou courriel via son compte Ameli.

La personne devra recevoir une notification d’opposition.


À quoi sert le dossier médical partagé (DMP) ?

Le DMP permet à chaque bénéficiaire de l’Assurance maladie de disposer d’un dossier informatisé consignant les informations médicales qui le concernent.

Pour chaque acte ou consultation, les professionnels de santé sont tenus de reporter dans le DMP les éléments diagnostiques et thérapeutiques nécessaires à la coordination des soins de la personne prise en charge.

Cet outil vise à favoriser la continuité et la coordination des soins en ville et à l’hôpital, en permettant la conservation et l’accès aux informations de santé par les professionnels de santé désignés par le patient et qui participent à sa prise en charge.


Quelles sont les informations contenues dans le DMP ?

Le DMP comprend essentiellement les informations suivantes :

  • les données d’identification du titulaire du dossier ;
  • l’historique de soins de l’Assurance maladie sur les derniers 24 mois (ces données seront automatiquement alimentées par la CNAM) ;
  • les antécédents médicaux (telles que les pathologies, les allergies, etc.) ;
  • les résultats d’examens médicaux (tels que les comptes rendus d’analyses biologiques,  les examens d’imageries médicales, etc.) ;
  • les comptes rendus d’hospitalisation ;
  • les directives anticipées de fin de vie ;
  • les coordonnées des proches à prévenir en cas d’urgence, de la personne de confiance, du médecin traitant et des professionnels de santé autorisés à accéder au dossier.

Quel lien entre le DMP et l’ENS ?

Comme précisé par un décret, le DMP est automatiquement ouvert et intégré à l’espace numérique de santé pour l’ensemble des personnes affiliées à un régime d’Assurance maladie à compter de fin janvier 2022. 

Toute personne ayant déjà ouvert un DMP avant cette date verra son DMP automatiquement intégré à son espace numérique de santé.  

Une période transitoire d’un an permettra aux personnes qui disposent déjà d’un DMP et souhaitent s’opposer à la création de leur espace santé de conserver leur DMP. Pendant cette période transitoire, les données déjà stockées seront conservées et la CNAM alimentera le DMP de l’historique des remboursements. La personne pourra consulter son dossier sur la version web du DMP.

À l’issue de cette période transitoire, une nouvelle campagne d’information devra être réalisée. L’opposition renouvelée par le titulaire (ou son représentant légal) à l’ouverture de son MES, devra entrainer la clôture du DMP. Les données seront conservées 10 ans suivant la clôture, période durant laquelle les personnes pourront exercer leurs droits d’accès ou à l’effacement.


Comment accéder à son DMP ?

À partir de janvier 2022, il est prévu que le DMP soit accessible via l’espace numérique de santé. Le titulaire du DMP doit ainsi pouvoir, à tout moment :

  • consulter ses informations médicales ;
  • visualiser les actions réalisées sur son dossier ;
  • en gérer les accès ; et
  • l’enrichir d’informations qu’il juge utiles à son suivi médical s’il le souhaite.

Qui peut accéder au DMP ?

L’accès au DMP d’un patient est réservé aux professionnels de santé avec l’autorisation expresse du titulaire du dossier. Le personnel appartenant à l’équipe de soin du patient peut également être « réputé autorisé ».

En particulier :

  • le médecin traitant dispose d’un accès au DMP lui permettant d’accéder à l’ensemble des informations contenues dans le dossier ;
  • les médecins de la protection maternelle et infantile ont accès au DMP pour le consulter ou y déposer des documents.

Les professionnels de santé n’ont accès qu’aux types de documents nécessaires dans le cadre de la prise en charge du patient, en fonction de leur spécialité.

Ainsi, par exemple :

  • un pédicure podologue n’accèdera pas aux comptes rendus d’hospitalisation ;
  • un opticien n’accédera pas aux comptes rendus d’examens biologiques.

L’ensemble des accès et actions sur le DMP est enregistré. Cet historique est consultable à tout moment par le titulaire du DMP. Un système de notification permet également d’avertir le patient à la création du DMP, en cas de première consultation de son DMP par un professionnel de santé ou lors d’un accès au DMP en situation d’urgence (appelé « accès en mode bris de glace »).

Le titulaire du DMP peut également autoriser des services et outils numériques en santé référencés dans l’Espace numérique de santé à accéder à certaines données de son dossier.

Tout accès en dehors des règles précitées est illégitime et peut entraîner une action répressive de la CNIL prévue par le RGPD et la loi Informatique et Libertés.

Des poursuites pénales pourraient également être engagées, sans préjudice des sanctions qui pourraient être prononcées par les juridictions disciplinaires des ordres professionnels.


Quelles sont les modalités d’accès au DMP pour la médecine du travail ?

Le dossier médical en santé au travail, constitué par le médecin du travail, est intégré au DMP.

A partir d’avril 2022, le médecin du travail chargé du suivi de l’état de santé d’une personne pourra accéder à son DMP et l’alimenter. La personne titulaire du DMP devra préalablement en être informée et consentir à cet accès au DMP par le médecin du travail.

Le travailleur peut s’opposer à l’accès du médecin du travail chargé du suivi de son état de santé à son DMP. Ce refus ne constitue pas une faute et n’est pas porté à la connaissance de l’employeur.


Comment les personnes sont-elles informées ?

La délivrance de l’information est prévue par des moyens multiples : sur le site web dédié de l’Assurance maladie,  via des brochures ou encore des campagnes d’information.

Toute personne devrait être informée préalablement à la création de son ENS, via un courriel ou courrier postal adressé par sa CPAM de rattachement.

Le titulaire du DMP devrait être informé de la création de son dossier et de son articulation avec son ENS, notamment des modalités de création, de clôture et de destruction du dossier. Il devrait également être averti des modalités d’accès au dossier par lui-même et par les professionnels de santé appelés à le prendre en charge au sein d’une équipe de soins ou en dehors de celle-ci, ainsi que de ses droits sur les données contenues et des droits particuliers dont bénéficie son médecin traitant.

Les modalités d’information des personnes lors de la création automatique du MES et du DMP sont déterminées par décrets en Conseil d’État, sur lesquels la CNIL a rendu ses avis.


Comment exercer ses droits ?

Tout titulaire d’un espace numérique de santé et d’un DMP peut exercer ses droits de rectification, d’accès, de limitation, d’opposition et de suppression des données soit directement dans son espace, soit via la CPAM auquel il est rattaché.

En cas de demande de clôture de l’ENS, les données sont conservées pendant 10 ans.

Le titulaire peut demander une suppression expresse des données avant l’expiration du délai de 10 ans. Si aucune demande de suppression des données n’a été formulée, le titulaire peut à tout moment demander une nouvelle création de compte.

source : L’espace numérique de santé (ENS) et le dossier médical partagé (DMP) : questions-réponses | CNIL