etat des lieux des messageries de santé sécurisées en région

Etat des lieux des messageries de santé sécurisées en région

Livrable final

Février 2014

Version finale – 2ème édition

Bilan de l’état des lieux des messageries sécurisées de santé en région

P a g e | 2

Février 2014

Sommaire

1. Rappel du contexte et des objectifs de l’état des lieux ....................................................... 3

1.1. Rappel du contexte des messageries sécurisées de santé .......................................................... 3

1.2. Rappel des objectifs de l’état des lieux des messageries sécurisées en région .......................... 4

1.3. Rappel de la méthodologie ......................................................................................................... 4

2. Résultats .......................................................................................................................... 6

2.1. Panorama des solutions de messagerie de santé en région ....................................................... 6

2.1.1. Les solutions de messageries régionales ....................................................................... 7

2.1.2. Les autres solutions de messagerie déployées régionalement ................................... 11

2.2. Les usages de messageries sécurisées en région ..................................................................... 12

2.3. La couverture fonctionnelle et technique des solutions régionales ......................................... 18

2.4. Les acteurs projets des solutions régionales : une répartition des rôles assez homogène ...... 21

2.5. Le cadre de confiance ............................................................................................................... 22

2.6. Aspects financiers et modèle économique des solutions régionales ....................................... 25

3. Conclusion & perspectives .............................................................................................. 27

3.1. Freins au développement d’échanges sécurisés ....................................................................... 28

3.2. Leviers pour le développement d’échanges sécurisés .............................................................. 29

4. ANNEXES ........................................................................................................................ 30

4.1. Glossaire.................................................................................................................................... 30

4.2. Liste des personnes interviewées ............................................................................................. 32


P a g e | 3

Février 2014

1. Rappel du contexte et des objectifs de l’état des lieux

1.1. Rappel du contexte des messageries sécurisées de santé

Au cours des dernières années, la loi a défini de nouveaux modes d’exercice médical et ouvert la voie au développement de la e-santé pour l’ensemble des professions de santé. Elle a également confirmé la place centrale du patient, qui est au cœur de dispositifs de soins, en confirmant ses droits et en lui proposant de nouveaux services. Dans ce cadre, le rôle de l’ASIP Santé est de structurer les systèmes d’information qui pourront répondre aux besoins des professionnels de santé, au bénéfice du patient. L’enjeu est donc d’être à la fois à l’écoute des professionnels de santé et des patients, afin de concevoir des SI qui leur soient adaptés. En d’autres termes, il s’agit de familiariser les premiers à la logique de l’échange et du partage des donnés de santé tout en garantissant aux seconds la confidentialité et la qualité de la relation soignant/patient.

Dès les années 2000, pour répondre aux besoins des professionnels de santé, des projets de messageries régionales se sont développés. Ce mouvement s’est accéléré depuis l’année 2008 mais force a été de constater le faible taux d’adhésion et d’utilisation des professionnels de santé pour diverses raisons, notamment le manque d’interopérabilité et d’intégration dans les outils métier.

Ainsi, les professionnels de santé échangent des données de santé principalement via des services de messagerie non sécurisée.

Dès 2010 le Conseil National de l’Ordre des Médecins (CNOM), partageant ce constat, propose de créer des adresses de messagerie sécurisée de santé pour chaque médecin qui le souhaite. Ces adresses seront disponibles courant 2013 grâce au travail conjoint du CNOM, rejoint par les autres Ordres, et de l’ASIP Santé.

En 2012, les pouvoirs publics ont décidé de mettre au point un système de messagerie sécurisée de santé en :

mettant en place le cadre pour le développement de services de messagerie sécurisée et interopérables,

proposant, en lien avec les Ordres, un service générique permettant à tous les porteurs de CPS de créer une BAL,

permettant aux messageries existantes de rejoindre l’espace de confiance.

L’ASIP Santé est chargée de la maîtrise d’ouvrage de ce projet et prévoit un lancement du déploiement en 2014, après une phase de mise au point et de bêtatest avec les utilisateurs libéraux et hospitaliers dès mi 2013.


P a g e | 4

Février 2014

1.2. Rappel des objectifs de l’état des lieux des messageries sécurisées en région

C’est dans ce contexte que s’inscrit cet état des lieux. Il constitue une étape importante de la démarche de déploiement du système MSSanté. Il doit permettre :

d’orienter la démarche de déploiement à partir d’une vision globale de l’existant et des attentes de l’ensemble des acteurs ;

à chaque région de disposer d’une vision localisée des enjeux ;

aux régions ayant investi dans des services de messagerie sécurisée de disposer des éléments d’analyse indispensables pour préparer leur stratégie de transition.

Pour ce faire, l’état des lieux,

a été réalisé auprès de l’ensemble des 26 régions, qu’elles disposent ou non d’une solution régionale ;

donne lieu à une restitution à chaque région d’une fiche descriptive de sa situation ainsi qu’à la présente synthèse nationale consolidée;

permet d’analyser les écarts entre les solutions de messageries présentes sur le terrain et le cadre national MSSanté, et d’envisager des scenarii de transition de la solution existante dans l’espace de confiance.

1.3. Rappel de la méthodologie

En concertation avec l’ASIP Santé, un questionnaire a été conçu et diffusé à l’ensemble des 26 régions, qu’elles opèrent ou non une messagerie sécurisée de santé régionale.

Ce questionnaire comprend 2 parties :

une première partie consacrée au contexte et à la stratégie régionale,

une deuxième partie centrée sur la/les solutions de messagerie sécurisée déployées (acteurs, financement, cadre de confiance).

La diffusion de ce questionnaire aux maîtrises d’ouvrage régionales a été réalisée en 2 temps :

une première phase de diffusion à 3 régions pilotes (Lorraine, Bretagne et Ile-de-France), afin de tester la pertinence du questionnaire ;

une seconde phase de diffusion à l’ensemble des régions afin de collecter les données.

Des entretiens ont été réalisés (Aquitaine, Midi-Pyrénées, Provence–Alpes–Côte–d’Azur, Poitou-Charentes et Rhône-Alpes) afin de compléter cette étude en y apportant un éclairage qualitatif sur :

les usages ;

les freins/difficultés/opportunités de déploiement ;

les attentes des acteurs en région.

L’ensemble de ces données a été recueilli entre mai et novembre 2013.


P a g e | 5

Février 2014

Les 26 régions interrogées ont renseigné le questionnaire en tout ou partie, en fonction des données disponibles. Le taux de retour élevé des questionnaires souligne l’intérêt des acteurs en région pour le sujet des messageries sécurisées de santé. En revanche l’hétérogénéité de ces retours d’une région à l’autre, permet de penser que :

les pratiques des établissements et des professionnels de santé sont mal connues, en dehors des usages de la solution régionale (lorsque cette dernière existe),

la connaissance des usages, y compris des solutions régionales, reste à un niveau macroscopique.

2. Résultats

La synthèse consolidée qui suit s’articule autour des volets suivants :

Panorama des solutions de messageries sécurisées o Les solutions de messageries régionales o Les autres solutions de messageries déployées régionalement

les usages

la couverture fonctionnelle et technique

les acteurs des projets

le cadre de confiance

les aspects financiers et le modèle économique

2.1. Panorama des solutions de messagerie de santé en région

La sécurisation des échanges de données de santé à caractère personnel entre les professionnels de santé, les établissements de santé et les acteurs médico-sociaux ne fait plus débat et constitue une priorité stratégique dans la quasi-totalité des régions. Les ARS affichent clairement leurs exigences à cet égard ainsi que leur soutien institutionnel et financier aux projets en cours lorsqu’ils existent. Selon la quasi-totalité des responsables de maîtrises d’ouvrages régionales (MOA R) interrogés, les ARS considèrent le déploiement de la messagerie sécurisée comme un axe important de la stratégie régionale de e-santé, visant à faciliter les échanges entre professionnels de santé de la ville et de l’hôpital. Les professionnels et établissements de santé doivent pouvoir disposer d’outils d’échange simples, ergonomiques, interopérables qui leur garantissent sécurité, confidentialité et efficacité dans leurs pratiques. A date, au regard des usages connus, comme le montre l’analyse ci-après, la réalité de l’existant régional ne répond pas uniformément à ce niveau d’exigence.

Il ressort ainsi de l’étude que de nombreux outils de messagerie coexistent aujourd'hui. Certains ont été conçus spécifiquement en vue de répondre aux besoins du monde de la santé, telles les solutions des sociétés Apicem, Enovacom ou encore SQLI. D’autres sont des messageries généralistes classiques, sécurisées ou non (Microsoft, IBM Lotus, …), voire des services d'opérateurs ou de FAI.

A date, l’ensemble de ces solutions régionales ou non ont été confrontées dans leur déploiement à :

un manque de clarté et de décision des pouvoirs publics sur le cadre et les référentiels à adopter,

un intérêt limité des utilisateurs finaux, en raison de difficultés techniques, du caractère non structuré des données échangées (pas d’interopérabilité) et du faible degré d’intégration des messageries dans les logiciels métier des professionnels, autant d’éléments rendant difficile l’appropriation et l’adoption,

des difficultés liées à la gestion des cartes et des lecteurs de cartes CPS ainsi que des certificats permettant d’assurer la confidentialité des données,

une absence de modèle économique face à des investissements financiers et humains conséquents.


P a g e | 7

Février 2014

2.1.1. Les solutions de messageries régionales

Entre 1998 et 2012, 18 projets de messagerie sécurisée régionale ont été initiés en région.

Parmi les 18 régions opérant ou ayant opéré une solution régionale, 5 ne l’ont pas déployée, soit parce que le projet vient d’être lancé, soit parce que le projet est resté très technique et la solution n’a pas rencontré ses utilisateurs et 2 projets ont été abandonnés. Les autres coexistent sur le territoire avec des taux de couverture des professionnels de santé et des taux d’utilisation relativement faibles.

Historique des projets de messageries régionales (juillet 2013)

Sources : Etat des lieux des messageries de santé sécurisées en région – Questionnaires (juillet 2013)

Parmi ces projets de messageries régionales, les situations de déploiement sont variées. La carte suivante indique le statut du déploiement de ces solutions de messageries sécurisées de santé régionales.

0

1

2

3

4

1998 2005 2006 2007 2008 2009 2010 2012

Nombre de projets demessagerie régionale initiés


P a g e | 8

Février 2014


On observe ainsi que 16 régions ont mis en place, ou distribuent, une solution de messagerie régionale. Dans 2 régions, Midi-Pyrénées et Rhône-Alpes, les solutions évoquées ne constituent pas des solutions de messagerie stricto sensu, mais des solutions spécifiquement consacrées à la sécurisation des échanges de données de santé entre professionnels de santé : « coffre-fort » pour l’une, « système de notification de l’arrivée d’un document dans le dossier patient régional » pour l’autre. Pour la suite de l’analyse, ces 2 solutions seront considérées comme des solutions de messagerie sécurisée malgré des couvertures fonctionnelles différentes.

En termes techniques, ces solutions régionales sont opérées par différents éditeurs :

6 régions opèrent une messagerie easycrypt d’Enovacom

5 régions opèrent une messagerie IdeoSecureMail de SQLI

2 régions opèrent une solution Zimbra sécurisée par Enovacom

1 région opère une messagerie CPSure Enovacom

1 région déploie une solution de sécurisation Medimail de MIPIH

1 région opère et déploie sa propre solution avec la société Sword, ZEPRA


P a g e | 9

Février 2014

Focus sur les 11 régions ayant déployé une solution régionale

11 régions disposent de solutions régionales, déployées et dont la MOAR est l’opérateur et/ou le promoteur

(Aquitaine, Bretagne, Centre, Limousin, Lorraine, Martinique, Midi Pyrénées, Pays de la Loire, PACA, Poitou

Charente, Rhône-Alpes)

Parmi ces régions, lorsque la question est renseignée, on observe que :

5 régions disposent d’une solution utilisée par des personnels administratifs, des secrétariats ou des services informatiques ;

2 régions disposent d’une solution utilisée par des personnels du monde médico-social (psychologue, assistante sociale).

Par ailleurs,

9 régions disposent d’une solution régionale de messagerie sécurisée « classique » ;

2 régions ont fait le choix d’une solution basée sur la notion « d’espace sécurisé de partage » ne mettant pas en œuvre les mêmes fonctionnalités qu’une messagerie classique :

o La région Midi-Pyrénées qui a choisi une solution de type « coffre-fort » ou « d’espace de stockage sécurisé » pour partager les informations de santé.

o La région Rhône-Alpes qui a mis en place une solution dite de « dématérialisation des échanges de données de santé, le ZEPRA (Zéro Papiers en Rhône-Alpes) » permettant de notifier au professionnel de santé la mise à disposition d’un compte-rendu dans le Dossier Patient Partagé Réparti (DPPR).

Focus sur les 5 régions ayant acquis une solution régionale non déployée

Auvergne, Bourgogne, Franche-Comté, La Réunion, Picardie

Dans ces régions le taux de couverture est inférieur à 0,5 % des professionnels de santé (de 2 à 60 boîtes à lettres selon les régions).

Les raisons de la difficulté de déploiement à l’échelle de la région sont diverses :

Pour l’Auvergne, la Franche-Comté et la Picardie, dont les solutions ont été mises en place entre 2006 et 2008, les raisons invoquées par les MOA R sont plurielles :

o manque d’intégration dans les logiciels métier

A retenir :

- 16 régions disposent d’une solution régionale de messagerie sécurisée : o 11 régions déclarent disposer d’une solution régionale déployée dont la MOA R

est l’opérateur et/ou le promoteur. o 5 régions ont acquis une solution mais elle n’est pas déployée

- 10 régions n’ont pas de solution régionale de messagerie sécurisée


P a g e | 10

Février 2014

o absence d’interfaçage avec d’autres annuaires o manque d’intérêt des ES o manque de cadre national (pas d’intérêt à faire) o coût du déploiement des lecteurs dans les établissements pour l’’authentification par

CPS o orientation technique du projet o absence de véritable déploiement organisé.

Dans le cas de la Bourgogne, l’acquisition de la solution est récente (2012) et, en conséquence, le recul sur le déploiement et les usages n’est pas encore suffisant.

Dans le cas de l’Ile de la Réunion, le déploiement de la solution acquise en 2008 est en attente de la mise en place du système MSSanté, de manière à s’inscrire dans une logique cohérente.

Focus sur les 6 régions ne disposant pas de solution régionale de messagerie sécurisée : projet arrêté ou absence de projet

Champagne Ardenne et Nord-Pas-de-Calais (projets arrêtés), Alsace, Basse-Normandie, Haute-Normandie, Ile-

de-France.

2 projets initiés pour l’un en 1998 et l’autre en 2009 ont été arrêtés.

En Nord-Pas-de-Calais, dès 1998, les acteurs de la région avaient déployé une première solution de messagerie sécurisée appelée RITHME. Son déploiement au niveau régional a depuis été arrêté. Un usage local subsiste au sein du CHRU de Lille (3000 utilisateurs actifs).

En Champagne-Ardenne à l’initiative de l’ARH et de l’URML, la région a initié en 2009, un projet pilote de messagerie régionale. Cependant, l’initiative n’a pas rencontré le succès attendu et le projet a été suspendu.

4 régions n’ont pas développé de projet de messagerie régionale.

En Alsace la sécurisation des échanges entre professionnels de santé constitue un axe stratégique. De 2007 à 2012, la solution RVH a fait l’objet d’un travail de déploiement mais les usages sont restés modestes.

En Basse Normandie, la sécurisation des échanges entre professionnels de santé constitue une priorité de la stratégie régionale de santé. Depuis 2007, les médecins de la région, via l’association ADOC BN, ont choisi de promouvoir la solution Apicrypt.

La région Haute-Normandie a intégré la communication interprofessionnelle à l’un des axes stratégiques du schéma directeur du système d’information régional de santé 2013. L’objectif est de choisir rapidement et de déployer une messagerie conforme au cadre règlementaire, et de rendre progressivement les applications régionales compatibles avec l’espace de confiance mis en place par l’ASIP Santé. L’enjeu majeur étant de répondre aux besoins urgents sur le territoire et d’initier les usages.

En Ile de France, la demande des adhérents de la MOA R en messagerie sécurisée est de plus en plus importante. L’ARS, le GCS et l’ARDOC, association de médecins libéraux en Ile-de-France (membre du GCS), assurent la promotion des messageries sécurisées quel qu’en soit l’opérateur.


P a g e | 11

Février 2014

2.1.2. Les autres solutions de messagerie déployées régionalement

Pour compléter le paysage des solutions de messageries sécurisées utilisées sur le terrain, tel que décrit par les maîtrises d’ouvrage régionales, d’autres solutions existent dont le développement est variable.

Le tableau ci-dessous présente ces autres solutions de messagerie citées par les régions. En dehors de la solution Apicrypt, peu de précisions sont apportées sur leur diffusion et les usages dans les différents territoires.

Solution Editeur Citation par la MOA R

Apicrypt Apicem Toutes régions

Easycrypt Enovacom Aquitaine, Franche-Comté, Haute-Normandie

Cpsure Proxy Enovacom Auvergne, Haute-Normandie, Bretagne

Inetlab Byg Informatique/ Medsys

Bretagne

IdeoSecureMail SQLI PACA, Rhône-Alpes

Bioserveur AGFA Rhône-Alpes

Antares Enovacom Centre, Haute-Normandie, Alsace

MEOPS SWORD PACA

2.2. Les usages de messageries sécurisées en région 1

Les solutions régionales de messageries sécurisées mises en place depuis 1 à 15 ans, rencontrent

toutes des difficultés d’adoption par les professionnels de santé en ville ou en établissement, et de

développement des usages. L’ensemble de ces solutions promues par les régions représentent

environ 25 500 utilisateurs, variant d’une région à l’autre de 2 utilisateurs à plus de 8 000.

1 Sources : Etat des lieux des messageries de santé sécurisées en région – Questionnaires (juillet 2013)

A retenir :

Au total, environ 62 000 professionnels de santé utilisent une messagerie sécurisée pour leurs échanges professionnels, soit environ 5,5% des professionnels de santé en France

- Les usages de solutions régionales (qualifiés sur 16 régions) représentent environ 25 000 professionnels de santé soit 2,2 % des professionnels de santé en France

- Les usages de la solution Apicrypt (qualifiés sur la base de l’annuaire Apicem) : représentent plus de 36 500 utilisateurs, soit 3,2 % des professionnels de santé.

Les utilisateurs sont principalement des médecins.

Le tableau ci-dessous décrit l’équipement et le nombre d’utilisateurs des solutions de messagerie en région tels que déclarés1.

1 Professionnels de santé non médecins (source DREES – 1er janvier 2013) – PS médecins (Source ASIP Santé – extraction RPPS – octobre 2013) – APICEM / Apicrypt (Source Annuaire en ligne – 2013)

Professionnels de santé utilisateurs de messagerie en 2013 (toutes solutions confondues) :

Nonobstant l’hétérogénéité des données collectées en matière d’équipement et de volume utilisateurs, plusieurs constats peuvent être formulés.

Environ 5,5 % des professionnels de santé sont utilisateurs d’une solution de messagerie sécurisée (toutes solutions confondues), soit près de 62 000 utilisateurs (principalement médecins).

La proportion de professionnels utilisateurs d’une solution de messagerie sécurisée est o supérieure à 5% des effectifs de PS dans 12 régions (elle atteint un maximum de 18%

en Lorraine) o inférieure à 3% des effectifs de PS dans 8 régions

En valeur absolue, les volumes utilisateurs les plus o conséquents sont relevés en Rhône-Alpes (10 599 utilisateurs), en Lorraine (7 460),

en Nord-Pas-de-Calais (6 525), en Bretagne (4 784) ainsi qu’en Ile-de-France (4 769) o faibles sont relevés à la Réunion (4 utilisateurs), en Guyane (6) ainsi qu’en Corse (51)

En valeur relative, les proportions d’utilisateurs les plus conséquentes sont relevées en Lorraine (18,8%), en Martinique (13,6%), Nord-Pas-de-Calais (9,3%), Rhône-Alpes (9,1%) ainsi qu’en Bretagne (8,3%).

L’usage des solutions régionales (données disponibles sur 16 régions) se caractérise de la manière suivante :

2,2% des professionnels de santé les utilisent, soit 25 459 utilisateurs,

la proportion de professionnels utilisateurs de la solution est o supérieure à 5% des effectifs de PS dans 3 régions o inférieure à 5% des effectifs de PS dans 13 régions

En valeur absolue et relative, les volumes utilisateurs les plus conséquents sont relevés en Rhône-Alpes (8 762 utilisateurs, 7,5% des PS de la région) et en Lorraine (5 040, soit 12,7% des PS de la région) ainsi qu’en Nord-Pas-de-Calais (3 000 utilisateurs, 4,3% des PS de la région)


P a g e | 15

Février 2014

Parallèlement aux solutions régionales, la solution Apicrypt est la plus déployée indifféremment sur l’ensemble du territoire, comme l’indique la carte ci-dessous :

3,2% des professionnels de santé l’utilisent, soit 36 500 professionnels

la proportion de professionnels utilisateurs de la solution est o supérieure à 5% des effectifs de PS dans 7 régions o inférieure à 3% des effectifs de PS dans 14 régions

En valeur absolue, les volumes utilisateurs les plus conséquents sont relevés en Ile-de-France (4 769 utilisateurs), en Bretagne (3 584) ainsi qu’en Nord-Pas-de-Calais (3 525)

En valeur relative, les proportions d’utilisateurs les plus conséquentes sont relevées en Champagne-Ardenne (7,4%), en Bretagne (6,2%) ainsi qu’en Lorraine (6,1%).

Professionnels de santé utilisateurs d’Apicrypt par région1

(Base = Population régionale des professionnels de santé)

Dans une perspective globale, on peut schématiser l’ensemble des volumes d’usages des solutions de messageries comme suit :

1 Source : Professionnels de santé non médecins (source DREES – 1er janvier 2013) – PS médecins (Source ASIP Santé – extraction RPPS –

octobre 2013) – APICEM / Apicrypt (Source Annuaire en ligne – 2013)


P a g e | 16

Février 2014

La graphique suivant illustre l’estimation par les régions de la répartition des usages des solutions régionales en fonction des flux les plus fréquents entre les acteurs de santé.


P a g e | 17

Février 2014

0

2

4

6

8

10

12

14

Ville/ hôpital Ville/ville Hôpital / hôpital Laboratoire deville/ ville

Médico-social Centre d'imagerieville / ville

Nombre de régions


Enfin, une analyse des motivations des usages met au jour, l’utilisation principale des solutions de messageries à des fins de :

Réduction des délais (envoi des comptes rendus) ;

Coordination des soins ;

Optimisation des coûts d’affranchissement ;

Dématérialisation des processus ;

Sécurisation des échanges de données de santé à caractère personnel.

Dans l’ensemble, on relève une connaissance relative des usages et des attentes des professionnels, établissements de santé en matière de messageries sécurisées, y compris sur les solutions utilisées en région.

2.3. La couverture fonctionnelle et technique des solutions régionales

Fonctionnalités disponibles par solution régionale :

(base de calcul = 16 régions équipées d’une solution)


Dans l’ensemble des régions équipées d’une solution de messagerie, on note une certaine richesse fonctionnelle :

La délégation d’autorisation est disponible dans 11 régions ;

Le partage d’agenda, l’étiquetage des mails importants ainsi que la mise à disposition d’un carnet de contacts en ligne dans 9.

Néanmoins les résultats de l’enquête montrent que si certaines fonctionnalités sont proposées par les solutions régionales, elles ne sont pas pour autant utilisées. Par exemple, la mobilité, présente dans 8 régions équipées d’une solution, est encore peu utilisée.

Au-delà des fonctions traditionnelles de la messagerie (gestion des mails et gestion de l’agenda), une fonction revient de façon très fréquente : la gestion de délégation d’autorisation.

0

2

4

6

8

10

12

A retenir :

Sans présager de leur utilisation, les fonctionnalités des solutions régionales sont relativement

riches. Les plus répandues sont la délégation d‘autorisation, l’usage en mobilité, la gestion des

mails (tags, règles de gestion, dossier, classement, contacts…) et la gestion de l’agenda (partage,

agenda en ligne, disponibilité…).

La gestion des contacts : création, partage


P a g e | 19

Février 2014

0

1

2

3

4

5

6

Nombre de solutions interfacées avec :

Interfaces1 avec les SI de santé

L’interfaçage et même l’intégration des différentes fonctionnalités dans les outils de travail habituels des professionnels de santé constitue une exigence forte, y compris pour un service tel que la messagerie sécurisée. Or, l’analyse des réponses au questionnaire révèle une proportion faible de solutions régionales interfacées avec les systèmes de production. 8 solutions régionales sur 16 disposent d’une solution s’intégrant parfois partiellement avec d’autres SI de santé (Aquitaine, Bretagne, Centre, Lorraine, Martinique, PACA, Poitou-Charentes, Rhône-Alpes).

Parmi celles-ci, 5 solutions sont interfacées avec des SI hospitaliers et/ou d’urgences, 6 avec des réseaux de santé et 2 avec des modules de télémédecine (cf. graphique ci-dessus).

1 Interfaçage : présence d’une interface liant la solution avec un SI de santé.


A retenir :

On relève une faible d’intégration des solutions de messagerie régionale avec les autres SI (établissement, monde libéral).


P a g e | 20

Février 2014

Interfaces avec les annuaires de messagerie :

Par ailleurs, la carte ci-dessous indique les interfaces entre les solutions régionales et les annuaires régionaux ou nationaux.

Le nombre limité de réponses ne permet pas de dresser une cartographie exhaustive de ces interfaçages avec les annuaires. Sur les 15 régions ayant répondu à cette question, on remarque que :

4 régions sont interfacées avec l’annuaire CPS

3 régions sont interfacées avec des annuaires régionaux, l’annuaire régional du GCS

3 régions sont interfacées à la fois avec l’annuaire CPS et avec leur annuaire régional.



P a g e | 21

Février 2014

2.4. Les acteurs projets des solutions régionales : une répartition des rôles assez homogène

D’une manière générale, on note que la gouvernance régionale de ces projets est relativement homogène, quelles que soient les cibles de déploiement privilégiées (établissements, monde libéral). Cette homogénéité repose sur un double pilier :

L’ARS qui a inscrit le principe de la sécurisation des échanges en professionnels de santé dans sa stratégie via son PRS

La maîtrise d’ouvrage régionale qui joue le rôle opérationnel dans la mise en œuvre et/ou le déploiement et/ou la promotion et/ou l’accompagnement des usages.

En outre, l’URPS et les représentants des établissements assurent des rôles complémentaires dans le déploiement des usages, selon l’historique de chaque région.

A retenir :

- Le principe des échanges sécurisés est inscrit dans les orientations stratégiques de la plupart des ARS

- La démarche de mise en œuvre d’adoption et d’accompagnement des usages reste à construire dans de nombreux cas

2.5. Le cadre de confiance

Dans la mesure où un service de messagerie sécurisée de santé assure l’échange de données de santé à caractère personnel, l’opérateur qui offre le service de messagerie doit également organiser la conservation des données de santé échangées par les utilisateurs de son service. Cette conservation doit être réalisée dans le respect des dispositions de l’article L 1111-8 du code de la santé publique et du décret 2006-6 du 4 janvier 2006 relatives à l’hébergement de données de santé à caractère personnel.

Selon les cas, l’hébergement des données de santé échangées via le service de messagerie sécurisée de santé peut être réalisé par l’opérateur lui-même ou par un prestataire tiers choisi par l’opérateur.

En tout état de cause, pour pouvoir héberger un service de messagerie sécurisée de santé, l’hébergeur (opérateur ou prestataire de l’opérateur) doit être titulaire d’un agrément couvrant une telle prestation :

soit l’hébergeur est agréé pour l’hébergement d’applications de types messagerie sécurisées de santé et prévoyant l’obligation pour le professionnel de santé d’utiliser un moyen d’authentification forte par carte CPS ou tout autre dispositif équivalent pour accéder aux données de santé ;

soit l’hébergeur est agréé pour une prestation dite « générique » lui permettant d’héberger des applications contenant des données de santé à caractère personnel et prévoyant l’obligation pour le professionnel de santé d’utiliser un moyen d’authentification forte par carte CPS ou tout autre dispositif équivalent pour accéder aux données de santé.

En outre, en signant le « contrat opérateur », qui encadre l’intégration de l’opérateur au sein de l’espace de confiance MSSanté, ce dernier s’engage à être conforme aux dispositions relatives à l’hébergement de données de santé à caractère personnel.

Le tableau ci-dessous indique, pour chaque région disposant d’une solution de messagerie, sa situation au regard de l’hébergement et de sa conformité à la loi Informatique et Libertés . Ce tableau est constitué sur la base de la consolidation des réponses.


P a g e | 23

Février 2014

CADRE DE CONFIANCE

REGIONS Nom du service

régional Solution régionale/éditeur Hébergeur

Agrément HDS1 de

l’hébergeur Autorisation CNIL

Auvergne Messagerie e-santé

Auvergne Easycrypt d’Enovacom CEGEDIM OUI Mai 2010

Alsace

Aquitaine Messagerie sécurisée

Aquitaine Easycrypt d’Enovacom IDS OUI Juillet 2004

Basse-Normandie

Bourgogne Messagerie e-santé

Bourgogne

Zimbra, intégré par

ENOVACOM IDS OUI

Bretagne

Messagerie intégrée à

la plate-forme

télésanté Bretagne

Zimbra, intégré par

ENOVACOM

GCS e-santé

Bretagne OUI Décembre 2007

Centre Messagerie GCS

Télésanté IdeoSecureMail de SQLI

Champagne-Ardenne

Corse

Franche-Comté fc-santé IdeoSecureMail de SQLI GCS EMOSIST OUI Avril 2011

Guadeloupe

Guyane

Haute-Normandie

Île-de-France

La Réunion Messagerie sécurisée

MSGS IdeoSecureMail de SQLI EXODATA NON

Languedoc-Roussillon

Limousin Messagerie sante-

limousin Easycrypt d’Enovacom SIL OUI 2008

Lorraine Messagerie santé-

lorraine IdeoSecureMail de SQLI

GCS Télésanté

Lorraine OUI Septembre 2011

Martinique IdeoSecureMail IdeoSecureMail de SQLI GCS SIS

Martinique OUI Mars 2011

Midi-Pyrénées Medimail Medimail du MiPih MiPih OUI Février 2009

Nord-Pas-de-Calais

Pays de la Loire Planet Santé Easycrypt d’Enovacom SIB OUI Avril 2009

Picardie messagerie sécurisée Easycrypt d’Enovacom GCS esanté

Picardie OUI Juin 2006

Poitou-Charentes Esanté Poitou-

Charentes Cpsure d’Enovacom NON Septembre 2010

PACA e-santepaca Easycrypt d’Enovacom GIP MiPih OUI

Rhône-Alpes Zepra Zepra, GCS SISRA/Sword HCL OUI Juillet 2004

1 Sources : Etat des lieux des messageries de santé sécurisées en région – Questionnaires (juillet 2013)


P a g e | 24

Février 2014

En matière de respect du cadre légal, sur les 16 régions disposant d’une solution :

14 précisent le nom de l’hébergeur (qui dans 5 cas est la MOA elle-même) ;

13 déclarent disposer d’un « agrément HDS », dont il conviendra de préciser s’il couvre ou non le périmètre de la messagerie sécurisée. En effet, un agrément est généralement délivré pour un périmètre fonctionnel donné ;

12 indiquent la date de leur autorisation CNIL, cette dernière s’échelonnant de 2004 à 2011 ; pour 5 d’entre elles, leur autorisation a été délivrée il y a plus de 5 ans ; il conviendra là aussi de s’assurer de la nécessité ou non de renouveler/mettre à jour cette autorisation ;

2 régions sollicitent / ont sollicité les services d’un hébergeur non agréé.

Par ailleurs, parmi les 19 régions ayant répondu au questionnaire sur cet item, l’authentification des utilisateurs de messageries sécurisées se répartit comme suit :

La CPS constitue un mode d’authentification unique dans 2 régions ;

Le login / mot de passe constitue un mode d’authentification unique dans 2 régions - ce dernier étant moins contraignant à déployer mais insuffisant ;

Les solutions de messageries sécurisées sont adossées à un double système d’authentification CPS et/ou login/mot de passe, dans 15 régions.

A retenir :

Au bilan, toutes les solutions de messagerie sécurisée de santé actuellement déployées (solutions régionales ou solutions d’éditeurs) devront évoluer pour respecter le cadre légal.

2.6. Aspects financiers et modèle économique des solutions régionales Sur le plan économique, les sources de financement des projets régionaux, telles que déclarées, sont diverses : ARS, ASIP Santé, Conseil Général, Crédits hôpital 2012. Le

tableau ci-dessous récapitule les principaux éléments financiers fournis par les régions ayant renseigné cette partie du questionnaire.

REGIONS

INVESTISSEMENT ANNUEL (en €)

TOTAL

FONCTIONNEMENT ANNUEL (en €)

TOTAL Projet

Infrastructure technique

Déploiement Projet Infrastructure

technique Déploiement

Aquitaine 10000 23000 17000 50000 2000 15000 5000 22000

Bourgogne - 60000 - 60000 3000 3000

Bretagne - - 20000 20000 22000 10000 32000

Centre 23920 22485 46405 2600 13156 28875 44631

Franche-Comté - - - - 4694 2702 0 7395

La Réunion 42000 0 42000 9000 10000 0 19000

Lorraine 30000 60000 20000 110000 15000 20000 30000 65000

Midi-Pyrénées1 30% CdP Inclus dans le

forfait annuel

1ETP Chargé de mission - 10%

chargé de communication

1,4 ETP, soit ≈ 175700

20% CdP Inclus dans le

forfait annuel

1 ETP Chargé de mission -10%

chargé de communication

1,4 ETP soit ≈

175700

Pays de la Loire - - - - 7000 48000 3000 58000

PACA 30000 82000 5000 117000 2000 32000 5000 39000

Rhône-Alpes 1460 JH soit ≈

730000 1257000 590JH soit ≈ 295000 2282000 - - - -

TOTAL PARTIEL INVESTISSEMENT = 2 903 105 € TOTAL PARTIEL FONCTIONNEMENT = 465 456 €


1 Pour les besoins de la consolidation, les données renseignées en jours / homme ont été valorisées à hauteur de 500€ TTC / jour ; les données renseignées en ETP ont été valorisées sur la

base de 251 jours ouvrés pour l’année 2013.

Seules 4 régions ont fourni des informations complètes. Il est en conséquence difficile de tirer un

enseignement précis sur les coûts d’un service de messagerie régionale en investissement et en

fonctionnement.

Au global, les investissements par région varient de 20 000€ à 2 282 000€. On peut estimer le total

des investissements régionaux, pour les régions ayant renseigné le volet du questionnaire, à environ

2 903 105€.

Sur la base des données disponibles, on relève un coefficient d’écart supérieur à 6 entre le

financement de l’investissement et le financement du fonctionnement.

Les coûts de fonctionnement annuels déclarés par les régions varient entre 2 000€ et environ

175700€ et sont estimés au global à environ 465 456€.

Dans la plupart des cas, le service est fourni à titre gratuit, les MOA R considèrant en effet que celui-

ci est inclus dans les cotisations des membres ou encore que la messagerie constitue un « produit

d’appel » pour intéresser ou fidéliser les membres à participer aux activités du GCS. Ainsi, en

l’absence de véritable modèle économique, il apparait que la plupart de ces coûts sont assumés par

les ARS et les établissements via leurs cotisations aux GCS.

3. Conclusion & perspectives

On compte actuellement environ 62 000 utilisateurs de solutions de messageries toutes régions confondues pour environ 1,2 million de professionnels de santé.

Force est de constater que les communications des professionnels de santé en ville ou en établissement demeurent majoritairement non sécurisées.

Pour autant, les principales solutions existantes sont mises en œuvre par des opérateurs ayant le souci de respecter les exigences réglementaires. Seules deux régions déclarent ne pas avoir recours au service d’un hébergeur agréé (ce qui est aussi le cas de la solution Apicrypt). Dans tous les cas, toutes ces solutions devront évoluer pour répondre aux précisions du cadre règlementaire.

Les messageries régionales sont le plus souvent centrées sur des sites internet dont l’accès est sécurisé par identifiant/mot de passe (la CPS est le mode d’authentification unique dans 2 régions) et reposant sur des annuaires constitués localement en lien avec l’annuaire CPS (dans 7 cas sur 11). De son côté la solution Apicrypt repose sur un annuaire de clients, dont la qualité professionnelle est vérifiée selon des procédures propres à l’éditeur. Or l’agrément pour l’hébergement des données de santé impose l’usage de la CPS ou d’un moyen équivalent.

Le nombre (18) et la durée des projets de messageries sécurisées développés en régions, permet de constater que ces solutions n’ont en général pas rencontré leurs utilisateurs et que les usages sont restés modestes au regard des besoins. Les raisons d’un tel constat sont multiples et devront être progressivement levées pour permettre à tous les opérateurs régionaux qui le souhaitent de mettre au point leur propre stratégie pour contribuer au développement des échanges sécurisés entre professionnels de santé.

3.1. Freins au développement d’échanges sécurisés

Plusieurs freins au développement des solutions de messageries régionales peuvent être mis en exergue. Ces derniers s’articulent autour de 3 axes qui constituent autant d’éléments d’une analyse systémique :

Les freins institutionnels ou règlementaires o L’absence de cadre référentiel clair n’a pas facilité la mise en place de messageries

sécurisées interopérables et intégrées dans les outils de production des professionnels de santé

o Par ailleurs et de façon plus marginale, l’usage des messageries sécurisées de santé est réservé aux professionnels de santé, excluant les acteurs non professionnels de santé et notamment les secrétariats médicaux en ville ainsi que, pour plusieurs régions, les professionnels du secteur médico-social (en témoigne l’importance accordée a la fonction de délégation)

Les freins techniques o La faible intégration des messageries régionales dans les outils de production (LGC

ou SIH), o Les difficultés techniques liées à la variété des configurations des postes de travail

des professionnels de santé, o Les difficultés techniques liées à l’usage de la CPS sur ce même poste de travail, o L’absence de structuration des en-têtes de messages et de leur contenu pour

permettre une classification automatisée par les clients de messagerie et les logiciels métiers.

Les freins liés aux usages et à l’accompagnement o La faiblesse des investissements régionaux dans l’accompagnement à l’usage des

établissements et professionnels de santé libéraux ; les projets ont davantage été abordés sous l’angle de l’infrastructure, que sous l’angle des usages et de la réponse à des besoins métiers,

o La sensibilisation des professionnels de santé à la protection des données de santé à caractère personnel et au cadre qui préside à leur échange (respect du cadre réglementaire),

o Le déploiement des usages de la carte CPS (perte carte, oubli code PIN, etc.).

3.2. Leviers pour le développement d’échanges sécurisés

Les leviers perçus par les acteurs et leurs attentes pour favoriser le déploiement du service de MSSanté sont les suivants :

Les leviers politiques, institutionnels ou règlementaires o Le portage institutionnel (Ministère, Ordres, Assurance Maladie) o La garantie de confidentialité médicale des échanges (et de leur sécurisation) o L’inscription de la MSSanté dans la politique régionale de l’ARS o La valeur juridique d’un message ou courrier transmis par messagerie sécurisée

(dématérialisation) o La responsabilité des directeurs d’établissements de santé en cas de manquement

ou de non-utilisation d’une messagerie sécurisée interprofessionnelle pour les professionnels de santé

o Et enfin la possibilité de déléguer l’autorisation d’usage de BAL aux secrétariats médicaux, fonction présente dans de nombreuses messageries régionales

Les leviers techniques o La facilité d’installation et d’usage des solutions o L’intégration des fonctionnalités de messagerie dans les LGC et SIH, en particulier au

travers des gains attendus de la transmission des CR d’hospitalisation, CR opératoires, CR de Passage aux Urgences, CR Anatomopathologie et les résultats des LABM)

o L’amélioration de l’ergonomie des solutions (IHM, intuitivité et facilité d’utilisation)

Les leviers liés aux usages et à l’accompagnement o Le soutien financier au travers d’actions d’accompagnement de proximité à la

conduite du changement (communication, formation, assistance) o L’organisation d’une communication ciblée en fonction des catégories de

professionnels futurs utilisateurs de la MSS, o La recherche de synergie avec les projets de télémédecine puisque la messagerie est

un complément naturel aux outils et solutions mis en place o L’implication des acteurs régionaux (ARS et MOA régionales notamment) dans le

déploiement de la MSSanté


P a g e | 30

Février 2014

4. ANNEXES

4.1. Glossaire

ARH : Agence Régionale de l’Hospitalisation

ARS : Agence Régionale de Santé

ASIP Santé : Agence des Systèmes d’Information Partagés de Santé

BAL : Boîte A Lettres

CH(R)U : Centre Hospitalier (Régional) Universitaire

CMSI : Chargé de Mission Système d'Information

CNOM : Conseil National de l’Ordre des Médecins

CPS : Carte de Professionnel de Santé

CPOM : Contrat Pluriannuel d’Objectifs et de Moyens

CR : Compte rendu

CSP : Code de la Santé Publique

DCC-DMP : Dossier Communicant de Cancérologie - Dossier Médical Personnel

DGOS : Direction Générale de l’Offre de Soins

DMP : Dossier Médical Personnel

DSI : Direction des Systèmes d’Information

ENRS : Espace Numérique Régional de Santé

ES : Etablissement de Santé

FAI : Fournisseur d’Accès Internet

GCS : Groupement de Coopération Sanitaire

HDS : Hébergeur de Données de Santé

HPST : Hôpital, Patients, Santé, Territoire

LGC : Logiciel de Gestion de Cabinet

MIGAC : Mission Intérêt Général et d’Aide à la Contractualisation

MOAR : Maitrise d’Ouvrage Régionale

MOE : Maîtrise d’Œuvre

MSS / MSSanté : Messageries Sécurisées de Santé

PRS : Projet Régional de Santé

PRT : Programme Régional de Télémédecine

RASS : Référentiel des Acteurs Santé Sociaux

ROR : Répertoire Opérationnel des Ressources

RPPS : Référentiel Partagé des Professionnels de Santé


P a g e | 31

Février 2014

RSSI : Responsable de la Sécurité du Système d’Information

SI : Système d’Information

SIH : Système d’Information Hospitalier

SIS : Système d’information de Santé

SROS : Schéma Régional de l’Organisation des Soins

SSII : Société de Services en Ingénierie Informatique

TIC : Technologie de l’Information et de la Communication

URPS/ML : Union Régionale des Professionnels de Santé / Médecins Libéraux


P a g e | 32

Février 2014

4.2. Liste des personnes interviewées

En préalable à l’enquête

GCS

Bretagne

Olivier VANTORRE (GCS – Directeur)

Francois GRANGERE (GCS – Chef de projet)

Anne-Briac BILI (ARS – CMSI)

Lucien DESERT (URPS pharmaciens)

Cédric BIARD (URPS médecins)

GCS D-SISIF

Ile-De-France

Bruno XUAL (ARS – fonctionnel)

Pierre BOIRON (Directeur du GCS)

Pierre MARTINEZ (URPS Médecin)

GCS

Lorraine

Christian BADINIER (GCS – Directeur)

Jean-Louis FUCHS (ARS – CMSI)

Alex DIFABIO (GCS – Chef de Projet MSS)

Vianney NOEL (GCS – Directeur de projet)

Olivier CROISSANT (GCS – RSSI)

Dans le cadre des entretiens qualitatifs

GCS Télésanté

Aquitaine

Régis ROSE – Directeur Adjoint

Christophe MAURY – Responsable Support et Déploiement

GCS Télésanté

Midi-Pyrénées Laurent DUGUE – Chef de projet sur les solutions de partage

GCS e-Santé

PACA

Laurent SIMON – Directeur du GCS

Anne DAVIS – Chef de projet

Maxime SORRIANO – Ingénieur d'exploitation

GCS eSanté

Poitou-Charentes

Nicolas BARBOT – chef de projets SI

Vincent PASCASSIO-COMTE – coordinateur de projets

GCS SISRA

Rhône-Alpes Thierry DURAND – Directeur du GCS

etat des lieux des messageries de santé sécurisées en région

Documents