PLATEFORME eSanté
CONDITIONS GENERALES D’UTILISATION
Téléchargeables en PDF en cliquant ici
I.Préambule
La loi du 17 décembre 2010 relative à la réforme du système des soins de santé a créé l’Agence eSanté aux fins de d’améliorer l’utilisation des nouvelles technologies de l’information et de la communication dans le secteur de la santé et de l’aide et des soins de manière sécurisée.
L’article 60ter du Code de la Sécurité Sociale (ci-après CSS) a ainsi donné pour mission à l’Agence eSanté d’exploiter et de gérer la Plateforme eSanté qui a pour fonction et objectif de faciliter l’échange, le partage ou une meilleure utilisation des données de santé au niveau national et européen entre les différents acteurs du secteur de la santé et de l’aide et des soins au niveau national et européen.
Les mentions ci-dessous ont pour objectif de préciser et encadrer l’utilisation de la Plateforme eSanté exploitée et gérée par l’Agence eSanté en application de sa mission légale.
II.Définitions
Agence eSanté : le GIE Agence nationale des informations partagées dans le domaine de la santé créé en application de l’article 60ter du CSS (plus d’information sur ses membres, son fonctionnement et organisation www.esante.lu rubrique Agence eSanté) ;
Portail eSanté : site web de l’Agence eSanté accessible en ligne par toute personne où sont publiées toutes communications et informations relatives à l’Agence eSanté, les Services eSanté et de manière générale au domaine de la Santé et l’utilisation des nouvelles technologies dans ce dernier ;
Plateforme eSanté : la plateforme nationale d’échange et partage de données de santé développée et exploitée par l’Agence eSanté en application de l’article 60ter du CSS ;
Service(s) eSanté : tout service électronique, quelle que soit sa nature et la technologie utilisée, mis à disposition, ou qui sera mis à disposition des Utilisateurs au sein de la Plateforme eSanté ayant pour objet de favoriser l’échange et le partage de données de santé conformément aux articles 60ter et 60quater du CSS. Il est précisé qu’un Service eSanté pourra être développé et/ou exploité sous la responsabilité d’un organisme tiers qui sera identifié ;
Utilisateur(s) : toute personne physique autorisée à accéder et à utiliser les Services eSanté, ou qui sont bénéficiaires de ces derniers, mis à disposition sur la Plateforme eSanté en application des présentes Conditions Générales et Conditions Particulières applicables, soit toute personne physique répondant à au moins une des définitions ci-après de Patient, Professionnel de santé, et Agent de Santé ;
Patient(s) : toute personne physique affiliée à l’assurance maladie luxembourgeoise, et toute personne physique non affiliée à l’assurance maladie luxembourgeoise bénéficiant de prestations de soins de santé au Grand-Duché du Luxembourg ou en relation avec tout organisme du secteur de la santé, de l’aide et des soins autorisé à utiliser la plateforme ;
Professionnel(s) de santé : toute personne physique dument agrémentée pour exercer légalement au Luxembourg une profession de santé strictement définie au sein de la loi modifiée du 29 avril 1983 concernant l’exercice des professions de médecin, de médecin-dentiste et de médecin-vétérinaire, au sein de la loi modifiée du 26 mars 1992 sur l’exercice et la revalorisation de certaines professions de santé, ainsi qu’au sein de la loi modifiée du 31 juillet 1991 déterminant les conditions d'autorisation d'exercer la profession de pharmacien ;
Agent(s) de santé : toute personne physique non identifiée comme Professionnel de santé exerçant toutefois une activité professionnelle dans le secteur médico-social, notamment au sein de toute organisation privée ou publique ou administration publique de la sécurité sociale, et qui est légitime à détenir un compte Plateforme eSanté selon les critères de l’Agence eSanté venant en application de l'article 60ter du CSS. Sont également inclus les Professionnels de santé n’exerçant plus leur activité et ayant précédemment bénéficié d’un compte Plateforme eSanté ;
Etablissement(s) de santé : tout établissement hospitalier tel que défini par la loi du 8 mars 2018 relative aux établissements hospitaliers et à la planification hospitalière, tout laboratoire d’analyses médicales tel que défini par la loi modifiée du 16 juillet 1984, tout autre établissement de soins agréé en application de la loi modifiée du 8 septembre 1998 réglant les relations entre l’Etat et les organismes œuvrant dans les domaines social, familial et thérapeutique, ainsi que toute pharmacie autorisée à s’établir en application des dispositions de la loi du 4 juillet 1973 ;
Conditions Générales : les présentes conditions générales d’utilisation ;
Condition(s) Particulière(s) : toute condition d’utilisation, ou charte d’utilisation, spécifique à un ou plusieurs Services eSanté mis à disposition des Utilisateurs sur la Plateforme eSanté, s’additionnant aux présentes Conditions Générales ;
Règles d’Utilisation : ensemble des Conditions Générales et Conditions Particulières en vigueur ainsi que généralement toute instruction et guide de bon usage de la Plateforme eSanté et Services eSanté accessibles par les Utilisateurs au sein de ces derniers.
III.Objet
Les présentes Conditions Générales ont pour objet de définir, en accord avec la législation applicable, les règles d’accès et d’utilisation des Utilisateurs relatives à la Plateforme eSanté et aux Services eSanté.
Les Conditions Générales sont par conséquent applicables à l’ensemble des Utilisateurs et leur sont pleinement opposables dès activation de leur compte (cf. art. IV c.), indifféremment des Services eSanté qu’ils utilisent ou auxquels ils peuvent accéder quel que soit le mode de connexion. Les Conditions Particulières ne peuvent exclure l’application des Conditions Générales au Service eSanté concerné.
Par l’accès à et l’utilisation de la Plateforme eSanté et des Services eSanté chaque Utilisateur est réputé avoir lu et accepté sans réserve les présentes Conditions Générales et toutes Conditions Particulières du Service eSanté auquel il accède et qu’il utilise. En conséquence, toute action, comportement et usage de l’Utilisateur sur la Plateforme eSanté se doit d’être conforme à ces Règles d’Utilisation sans exception, et notamment concernant la protection des données à caractère personnel.
Les Règles d’Utilisation peuvent être modifiées en tout ou partie à tout moment sur décision seule de l’Agence eSanté. Les versions modifiées entreront en vigueur au jour de leur publication sur la Plateforme eSanté, sauf mention contraire. Chaque Utilisateur sera notifié par message sur le portail lors de sa connexion. Il est de ce fait de la responsabilité de l’Utilisateur de prendre connaissance des modifications réalisées et de s’y conformer.
La navigation et l’utilisation sur le Portail eSanté sont régies exclusivement par les mentions légales propres à ce dernier et accessible ici. En conséquence tout Utilisateur naviguant sur le Portail eSanté se devra de respecter lesdites mentions légales outre les Règles d’Utilisation.
IV.Plateforme eSanté et Services eSanté
- Description
La Plateforme eSanté peut être décrite comme un espace technique dédié aux différents acteurs de la santé et médico-social ainsi qu’aux Patients. Elle apporte les dispositifs, outils et fonctionnalités requis pour permettre le bon fonctionnement de tous Services eSanté hébergés sur la Plateforme eSanté aux fins de l’échange et le partage sécurisé de données de santé de manière dématérialisée via les réseaux de télécommunications (ex : internet, mobile), dans le respect des lois, règlements, règles déontologiques et techniques applicables.
La Plateforme eSanté offre dans ce cadre la possibilité :
- De donner aux seuls Utilisateurs autorisés un accès à la Plateforme et aux Services eSanté les concernant spécifiquement (cf. liste en annexe 1) par un point de connexion unique,
- D’assurer l’authentification et l’identification des Utilisateurs des Services eSanté, incluant l’identification entre Utilisateurs de manière certaine au travers des annuaires référentiels, d’identification et de sécurité (cf. art IV b.) ;
- De mettre à disposition de tout Service eSanté, y inclus le DSP, un socle technique de haute disponibilité et avec un niveau de sécurité élevé pour permettre son utilisation par tout Utilisateur concerné sur tout environnement technique compatible (dernières versions connues de navigateurs internet et système d’exploitation) ;
- De définir des normes de transmission, communication, transport, échange et partage de données de santé suivant des standards reconnus, assurant la lecture des données par tout Utilisateur de manière sécurisée ;
- D’assurer le cloisonnement des échanges et partages de données de santé par Service eSanté, dans un souci de sécurité et d’intégrité des données, ainsi que de la protection des données à caractère personnel.
Les Services eSanté sont, conformément à l’article 60ter du CSS, des projets informatiques d’envergure nationale voire européenne, de quelque forme que ce soit, dédiés à tout ou partie des Utilisateurs, qui facilitent et sécurisent l’échange, le partage et/ou permettent une meilleure utilisation des données de santé.
Ils peuvent être développés sur l’initiative de l’Agence eSanté ou de tout autre organisme privé ou public (cf. Article II). Ils sont mis à disposition sur la Plateforme eSanté au fur et à mesure de leur développement et après vérification de leur conformité aux articles 60ter et 60quater du CSS ainsi qu’à toute autre disposition légale ou réglementaire applicable notamment concernant la protection des données personnelles. Une liste en annexe présente de manière non exhaustive les différents Services eSanté mis à disposition au jour de la publication des présentes Conditions Générales.
Chaque Condition Particulière émise régissant l’utilisation d’un ou plusieurs Services eSanté mentionne en conséquence entre autres :
- Sa finalité et les conditions d’accès et d’utilisation en accord avec la législation applicable ;
- Les Utilisateurs concernés, soit comme utilisateurs directs soit comme bénéficiaires, et les données traitées ;
- L’organisme responsable de son développement.
- Droit d’Accès à la Plateforme eSanté et aux Services eSanté
Les Services eSanté sont mis à disposition sur la Plateforme eSanté de manière progressive. En conséquence les droits d’accès seront attribués aux Utilisateurs autorisés à utiliser les Services eSanté effectivement mis à disposition, selon leurs Conditions Particulières, sans préjudice de toute application des droits d’accès au titre de la protection des données personnelles.
L’Agence eSanté procèdera à toute communication et information requise auprès des Utilisateurs concernés et au sein du Portail eSanté.
La Plateforme eSanté est principalement accessible par connexion de l’Utilisateur par l’intermédiaire du Portail eSanté lui permettant de s’authentifier en ligne.
La Plateforme eSanté et/ou tout ou partie des Services eSanté peuvent également être connectés au système d’information de l’utilisateur par la mise en place de connecteurs techniques, ou toute autre technologie, attestées conformes aux référentiels techniques et de sécurité émis par l’Agence eSanté. Ainsi un Etablissement de santé, ne disposant pas de la qualité d’Utilisateur selon l’article II des présentes, pourra connecter son système d’information, attesté conforme, à la Plateforme eSanté, le cas échéant via le gestionnaire de l’infrastructure mutualisée, aux fins de permettre aux Professionnels de santé travaillant pour son compte d’y accéder pour utiliser les Services eSanté après qu’ils se soient authentifiés préalablement au sein du système d’information de l’Etablissement.
Les droits d’accès sont attribués exclusivement aux Utilisateurs répondant aux définitions de l’article 2 ci-dessus et conformément aux dispositions des articles 60ter et 60quater du CSS et des Règlements Grand-Ducaux afférents, à savoir inscrits au sein respectivement des annuaires référentiels d’identification :
- Pour les Professionnels de santé : par leur inscription au sein des registres officiels tenus par le ministre ayant la santé dans ses attributions conformément aux dispositions légales référencées au sein de l’article 2 des présentes ;
- Pour les Patients : toute personne physique répondant à la définition de l’article 2 et enregistrée notamment au sein du registre tenu par le Centre commun de la sécurité sociale en vertu de ses missions légales, auprès de tout Professionnel de santé et Etablissement de santé prestant les services de santé, d’aide et de soins, ou auprès d’organisme autorisé comme bénéficiaire de leurs prestations/services;
- Pour les Agents de Santé : sur demande formelle de l’organisation à laquelle la personne physique appartient auprès de l’Agence eSanté en respectant les critères et procédures émis par cette dernière, et dans des cas particuliers par la personne physique elle-même.
Dans l’hypothèse où une personne répond à plusieurs catégories d’Utilisateurs telles que définies à l’article 2 des présentes, elle se verra attribuer un droit d’accès spécifique attaché à chacune des catégories.
La perte de sa qualité de Professionnel de santé, Patient ou Agent de Santé entraîne pour l’Utilisateur la perte de son droit d’accès respectivement comme Professionnel de santé, Patient ou Agent de Santé. La perte de la qualité est déterminée par les dispositions légales référencées au sein des définitions de l’article II ci-dessus, et des critères de l’Agence eSanté pour les Agents de santé. Dans l’hypothèse où une personne répond à plusieurs catégories d’Utilisateurs, la perte de qualité dans une catégorie ne pourra en aucun cas entraîner automatiquement la perte de qualité dans l’autre catégorie.
L’attribution d’un droit d’accès à la plateforme eSanté pour un Utilisateur dans les conditions précitées entraîne son enregistrement au sein de l’annuaire de sécurité et la création d’un compte personnel sur la Plateforme eSanté auquel sont associés des identifiants de connexion.
Le compte Plateforme eSanté de chaque Utilisateur lui permet d’accéder exclusivement aux données le concernant ainsi qu’aux Services eSanté associés à sa qualité de Patient, Professionnel de santé ou Agent de santé respectivement.
Toute connexion en qualité de Patient ne permettra pas à l’Utilisateur concerné d’accéder aux données relatives à l’exercice de sa fonction de Professionnel de santé ou Agent de santé, il devra pour y accéder se connecter avec les identifiants de connexion associés à cette qualité.
Les Services eSanté sont accessibles exclusivement par l’intermédiaire de la Plateforme eSanté ou la mise en place de connecteurs techniques préalablement approuvés par l’Agence eSanté en vertu de son objet défini par l’article 60ter du CSS.
Le droit d’accès aux Services eSanté est déterminé par les Conditions Particulières respectives selon la finalité du service, et est donc accordé aux Utilisateurs concernés selon les règles et procédures définies par le responsable du Service eSanté concerné.
Il est précisé que l’attribution d’un droit d’accès à un Utilisateur pour un Service eSanté ne supprime en aucun cas l’obligation pour tout Utilisateur d’utiliser le Service eSanté dans le respect des droits des tiers, et notamment de la vie privée de ces derniers.
- Modalités de connexion
L’Utilisateur doit accéder une première fois au Portail eSanté pour activer son compte sur la Plateforme eSanté (ci-après compte Plateforme), selon la procédure communiquée sur le Portail (pour le professionnel de santé, pour le patient). Il est précisé toutefois que l’activation du compte est réalisée par défaut par l’Agence eSanté pour les Agents de santé.
Toutefois les Professionnels de santé travaillant au sein d’un Etablissement de santé pourront accéder aux Services eSanté, dont le DSP, par l’intermédiaire du système d’information interne de l’Etablissement de santé auquel ils se seront connectés et selon les modalités définies par ledit Etablissement.
Les Utilisateurs Patients et Professionnels de santé se connectent à la Plateforme eSanté par des dispositifs d’authentification forte permettant de s’assurer de sa personne ainsi que de sa qualité.
Les modalités d’authentification sur la Plateforme eSanté par l’intermédiaire du Portail eSanté, sont communiquées personnellement à chaque Utilisateur présent au sein des annuaires référentiels par l’Agence eSanté :
- Les Professionnels de santé doivent être détenteur d’une carte Luxtrust active associée à leur qualité et obtenue suivant les procédures de Luxtrust (accessibles ici). Elle sera associée à leur compte Plateforme eSanté lors de l’activation de leur compte Plateforme ;
- Les Patients ont la possibilité de se connecter par différents mécanismes d’authentification forts dont les premiers disponibles sont les suivants (d’autres mécanismes seront rendus disponibles dans le futur) :
- La carte Luxtrust dont ils sont personnellement détenteur suivant les procédures de Luxtrust (accessibles ici). Elle sera associée à leur compte Plateforme eSanté lors de l’activation de leur compte Plateforme
- Le mécanisme d’OTP (One Time Password) proposé par l’Agence eSanté lors de l’activation de leur compte Plateforme s’ajoutant à un couple d’identifiant / mot de passe déterminé au terme de la procédure d’activation.
- Les Agents de santé se verront attribuer personnellement un couple identifiant/mot de passe, aux termes de la procédure d’identification mise en place par l’Agence eSanté, sans préjudice d’imposition d’utilisation d’un réseau de communication hautement sécurisé identifié par l’Agence eSanté pour l’utilisation de Services eSanté.
Lorsqu’un Professionnel de santé et/ou un Agent de santé se connecte par l’intermédiaire du système d’information de l’Etablissement de santé au sein duquel il travaille, son authentification est réalisée par les mesures mises en place au sein de ce dernier. Les Etablissements de santé prendront les dispositions nécessaires à leur niveau pour assurer un niveau d’authentification adéquat au regard des critères de sécurité de l’Agence eSanté, sous réserve de suspension de l’autorisation de connexion accordée par l’Agence eSanté.
A titre d’information, il pourra être possible pour les Utilisateurs d’accéder à la Plateforme eSanté par d’autres moyens de connexion offrant toutefois un niveau de sécurité moindre. Aussi les services eSanté requérant un haut niveau de sécurité ne seront pas rendus accessibles (ex : DSP, Messagerie sécurisée), et de manière générale l’Agence eSanté se réserve le droit de donner accès aux autres Services eSanté uniquement en mode dégradé (soit ne proposant pas l’intégralité des fonctionnalités).
A tout moment l’Agence eSanté se réserve le droit de modifier les modalités de connexion des Utilisateurs, quelles qu’elles soient, et le cas échéant seulement pour une catégorie, en raison notamment des contraintes de sécurité et de l’évolution technologique.
Dans ce cas, il appartiendra à chaque Utilisateur de modifier ses modalités de connexion dès réception de la notification transmise par l’Agence, à défaut le compte pourra être temporairement bloqué.
En ce qui concerne la connexion d’un système d’information d‘un Etablissement de santé, toute modification envisagée sera convenue entre l’Agence eSanté et l’Etablissement de santé concerné qui gèrera le cas échéant toute modification de connexion au sein de son système d’information.
La Plateforme eSanté permet l’administration et la gestion des Utilisateurs de manière centralisée, notamment par l’utilisation de la technologie « Single Sign On » via l’annuaire de sécurité.
L’authentification de l’Utilisateur sur la Plateforme eSanté par les moyens mis en place lui permet d’accéder à tous les Services eSanté auxquels il est autorisé selon sa qualité et les modalités définies pour chacun des Services eSanté au sein de leurs Conditions particulières respectives.
Il est précisé que l’authentification et l’accès par l’intermédiaire d’un système d’information autre que le Portail eSanté, ne permettra l’accès qu’au seul Service eSanté pour lequel le système d’information concerné et l’Utilisateur sont tous deux autorisés.
Il appartient dans ce cadre aux Utilisateurs de s’informer des Services eSanté auxquels ils peuvent accéder en dehors de la Plateforme eSanté, le cas échéant auprès du gestionnaire du système d’information concerné.
V.Engagements des Utilisateurs
La Plateforme eSanté et les Services eSanté sont des outils mis à disposition des Professionnels de santé et Agents de santé dans le cadre de la prise en charge des Patients dans le système de soins de santé et gestion des services de santé, et des Patients pour leur permettre l’utilisation des nouvelles technologies de communication.
Leur utilisation est par conséquent gouvernée par les articles 60ter et 60quater du CSS et par les Règlements Grand-Ducaux afférents, venant en exécution de ces derniers, sans préjudice du respect par les utilisateurs de toutes dispositions légales, réglementaires et déontologiques qui leurs seraient applicables en raison de leur qualité de Patients, Professionnels de santé et/ou Agents de santé relatives aux relations entre les acteurs du secteur du domaine de la santé et des aides et des soins.
Egalement leur utilisation est soumise au respect de toute disposition légale et réglementaire relative à la protection des données à caractère personnel, au respect de la vie privée et de la sécurité des systèmes d’information qui serait applicable.
Il est précisé que les présentes conditions générales ne peuvent présumer des modalités d’application du DSP qui sont définies au sein des Conditions Particulières concernées et du Règlement Grand-Ducal du 6 décembre 2019 précisant les modalités et conditions de mise en place du dossier de soins partagé.
- Conditions d’usage
Chaque Utilisateur s’engage, dès son premier accès à la Plateforme eSanté, et par voie d’incident sa première utilisation de Service eSanté à avoir un comportement respectant de manière inconditionnelle toutes règles et dispositions légales, réglementaires et déontologiques qui lui seraient applicables en sa qualité de Patient, Professionnel de santé ou Agent de santé.
Ainsi toute action d’un Utilisateur Professionnel de santé au sein de la Plateforme eSanté et des services eSanté est présumée intervenir dans l’exercice de sa profession de santé dans le respect de toutes dispositions légales, réglementaires et déontologiques applicables.
De même, toute action d’un Utilisateur Agent de santé est présumée intervenir dans l’exercice de sa mission dans le respect de toutes dispositions légales, réglementaires ou conventionnelles qui lui seraient applicables.
Enfin toute action d’un Patient au sein de son DSP, ou concernant l’accès à ce dernier, est présumée intervenir dans le cadre de la coordination de ses soins dans le respect de toutes dispositions légales, réglementaires applicables.
Egalement chaque Utilisateur, dès son premier accès à la Plateforme eSanté, et par voie d’incident lors de sa première utilisation de Service eSanté, s’engage à, sans que cette liste ne soit exhaustive :
- Utiliser la Plateforme eSanté, les Services eSanté et les données accessibles conformément aux finalités définies au sein des Règles d’Utilisation en vigueur, ainsi qu’aux dispositions relatives à la protection des données personnelles ;
- Echanger et partager au sein de la Plateforme eSanté et des Services eSanté exclusivement des données adéquates, pertinentes et de qualité, auprès des seuls Utilisateurs légitimes ;
- Conserver la confidentialité de tous documents, informations, données, quelles qu'en soient la forme et la nature, dont communication a été obtenue au cours de l’utilisation de la Plateforme eSanté et d’un Service eSanté, sans préjudice de toute autorisation de partage auprès d’Utilisateurs habilités au sein du Service eSanté ou par application de dispositions légales, réglementaires ou déontologiques applicables ;
- Respecter la vie privée des Utilisateurs et la protection de leurs données à caractère personnel dont il pourrait avoir connaissance lors de l’Utilisation de Service eSanté ;
- Conserver de manière sécurisée les éléments de connexion personnels à la Plateforme eSanté et empêcher leur utilisation par toute autre personne quel que soit son statut, et alerter l’Agence eSanté dans les plus brefs délais de la perte ou du vol de ces éléments pour lui permettre de prendre toute action appropriée.
Chaque Utilisateur a pleinement conscience dans ce cadre que :
- Que son droit d’accès à la Plateforme eSanté et aux Services eSanté est strictement personnel et qu’il ne peut en faire bénéficier une tierce personne ;
- Qu’il est responsable de toute donnée et information le concernant qu’il communique ou décide de ne pas communiquer au sein des Services eSanté ;
- Qu’il est responsable de l’intégrité, l’exactitude, la véracité et la pertinence de toute donnée, information et document qu’il communique au sein des Services eSanté.
L’Agence a mis en place différents dispositifs techniques permettant d’identifier voire d’empêcher tout mauvais usage et toute violation des Règles d’utilisation et des autres dispositions applicables aux Utilisateurs, en accord avec ces dernières notamment celles concernant le respect de la vie privée et du secret professionnel.
- Usages prohibés
De manière générale chaque Utilisateur s’interdit formellement de réaliser tout acte, ou d’avoir un comportement qui favoriserait la réalisation de tout acte qui porterait directement ou indirectement atteinte à l’intégrité de la Plateforme eSanté, des Services eSanté et des données y incluses, ainsi qu’à tout autre Utilisateur, à l’Agence eSanté et à un tiers, outre toute violation aux dispositions légales réglementaires, déontologiques en vigueur applicables.
Sont en conséquence notamment prohibés, sans que cette liste ne puisse être considérée comme exhaustive :
- L’utilisation de la Plateforme eSanté et des Services eSanté à des fins autres que celles expressément définies au sein des Règles d’Utilisation, des articles 60ter et 60quater du CSS, incluant notamment les usages à des fins commerciales et de publicité ;
- L’accès, l’extraction, l’utilisation, la reproduction, la destruction ou la modification des données accessibles par l’intermédiaire de la Plateforme eSanté et des Services eSanté en dehors de toute autorisation expresse ;
- La publication et la diffusion de tout contenu illicite et/ou portant atteinte aux droits de tiers, quelle que soit leur nature, leur format et leur support, au sein de la Plateforme eSanté et des Services eSanté ;
- Toute action quelle qu’elle soit qui aurait pour impact ou pour intention d’entraîner un dysfonctionnement de la Plateforme eSanté et des Services eSanté, incluant notamment mais non limitativement leur indisponibilité, leur modification et le mauvais fonctionnement des fonctionnalités ;
- Tout contournement, modification ou suppression, incluant leur tentative, de toute mesure de sécurité en place sur la Plateforme eSanté et/ou les Services eSanté, que ce soit réalisé seul ou en groupe avec l’assistance ou non de quelque dispositif que ce soit, excepté lorsqu’il est apporté la preuve que le matériel ait été utilisé comme « Machine zombie » et que les précautions minimales de sécurité avaient été prises par l’Utilisateur.
Chaque Utilisateur s’engage à alerter l’Agence eSanté de tout mauvais usage ou usage prohibé dont il pourrait prendre connaissance.
VI.Engagements de l’Agence eSanté
L’Agence eSanté s’engage à tout mettre en œuvre en vertu des articles 60ter et 60quater du CSS, sans toutefois être tenue à une obligation de résultat, pour :
- Mettre à disposition la Plateforme eSanté et les Services eSanté répondant aux conditions et engagements des dispositions légales et réglementaires en vigueur ;
- Apporter les garanties quant à la mise en place de toute mesure et de tout dispositif assurant un haut niveau de sécurité, d’identification des Utilisateurs, de confidentialité et de protection des données requis pour permettre tout échange et partage de données de santé en accord avec la législation ;
- Offrir aux Utilisateurs un haut niveau de disponibilité de la Plateforme eSanté et des Services eSanté mis à disposition, dans la limite de tout événement échappant à son contrôle raisonnable, entraînant une dégradation importante du niveau de sécurité ou entraînant des coûts de maintien déraisonnables.
Il est précisé dans ce cadre notamment que :
- La Plateforme eSanté et les Services eSanté sont conçus et mis à disposition des Utilisateurs au regard de différents normes et standards applicables et éprouvés au niveau international, tant concernant la sécurité, basée sur les normes de la famille ISO27001 et suivantes, que les échanges de données de santé respectant les standards IHE et HL7 ;
- L’identification et l’authentification des Utilisateurs sont réalisées au travers d’outils et dispositifs sécurisés reconnus, incluant l’application des principes d’Identito-vigilance concernant l’identification des Patients dans le cadre de l’utilisation des Services eSanté ;
- La Plateforme eSanté, incluant tous les Services eSanté et données traitées par ces derniers, est hébergée au Grand-Duché du Luxembourg auprès d’un hébergeur certifié Tier IV et répondant aux normes PCI/DSS ;
- Chaque Service eSanté dans son fonctionnement est strictement cloisonné de manière logique des autres Services eSanté et fonctionnalités de la Plateforme, assurant leur intégrité sans empêcher toute communication autorisée et tracée ;
- Toute connexion à la Plateforme eSanté et à tout ou partie des Services eSanté, mis à disposition, dont le DSP par un système d’information d’un Etablissement de santé ou par l’intermédiaire d’un logiciel métier sera autorisée par l’Agence eSanté par l’émission d’une attestation de conformité garantissant le respect des règles techniques et de sécurité définies par l’Agence eSanté ;
- Tout accès à la Plateforme eSanté et toute utilisation des Services eSanté est tracé par des dispositifs techniques aux fins d’identifier et de traiter tout dysfonctionnement, mauvais usage, action malveillante et attaque externe, excluant toutefois toute surveillance systématique des contenus échangés et des Utilisateurs.
L’Agence eSanté prend les mesures nécessaires pour répondre aux engagements et aux missions qui lui sont attribuées en vertu des articles 60ter et 60quater du CSS.
VII.Protection des données personnelles
La Plateforme eSanté et les Services eSanté ont pour objet commun d’intérêt public, au sens des articles 60ter et 60quater du CSS, de permettre entre les Utilisateurs l’échange et le partage de données de santé de manière dématérialisée et sécurisée pour optimiser la continuité, la coordination et la sécurité des soins apportés aux Patients ainsi qu’une meilleure utilisation de ces données traitées au sein du système de santé.
Il est rappelé que certains Services eSanté sont mis à disposition sur la Plateforme eSanté peuvent être développés et exploités par des organismes tiers légitimes (cf. définition de l’article II) qui ont délégué à l’Agence eSanté, en qualité de sous-traitant, l’administration technique et fonctionnelle.
L’Agence eSanté est chargée d’assurer le respect du Règlement général sur la Protection des Données ((UE) 2016/679) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en vigueur le 25 mai 2018, (ci-après Règlement sur la protection des données), également auprès des organismes tiers responsables de Service eSanté.
Le présent article a pour objet de présenter de manière générale les engagements pris pour respecter, et faire respecter, la vie privée des Utilisateurs et personnes concernées au sens du Règlement sur la protection des données, sans remettre en cause l’objectif de santé publique poursuivi par la Plateforme eSanté et les Services eSanté.
Cet article peut être complété par les Conditions Particulières des Services eSanté précisant les actions prises spécifiquement pour le traitement des données réalisé par l’organisme tiers responsable du Service eSanté concerné, sans préjudice de toute disposition réglementaire applicable.
L’Agence eSanté se réserve également la possibilité d’éditer, avec la collaboration des organismes tiers responsables de Service eSanté, tout document dédié à la protection des données à caractère personnel qui peuvent être traitées au sein de la Plateforme eSanté.
- Engagements généraux
Conformément à sa Politique vie privée, l’Agence eSanté :
- S’assure du respect par la Plateforme eSanté des dispositions du Règlement sur la protection des données au regard des articles 60ter et 60quater du CSS, notamment par les Utilisateurs ;
- S’interdit la mise à disposition de tout Service eSanté qui ne serait pas conforme au Règlement sur la protection des données et, le cas échéant, pour lequel elle n’aurait pas réalisé les actions requises auprès de la CNPD ;
- Impose le respect et l’application des engagements de sa politique vie privée auprès de chaque organisme tiers responsable d’un Service eSanté quel qu’il soit.
La politique vie privée de l’Agence eSanté mentionne notamment que, et cela au regard de toutes dispositions légales applicables relatives notamment à l’apport de soins de santé et aux relations entre acteurs du secteur de la santé :
- La légitimité et finalité des traitements de données à caractère personnel au titre du Règlement sur la protection des données soit garantie ;
- Tout responsable et sous-traitant, selon la définition du Règlement sur la protection des données, soit clairement identifié et contraint au respect des dispositions du Règlement sur la protection des données, ainsi que les destinataires, tels que définis par le Règlement sur la protection des données, qui ne pourront être différents des Utilisateurs définis par les présentes ;
- Les conditions de traitement de données à caractère personnel respectent les principes de qualité des données, la proportionnalité des données traitées et leur durée de conservation et de sécurité, et que le consentement ait été recherché à l’exception de toutes dispositions légales contraires applicables ;
- L’exercice des droits d’accès, de rectification et d’opposition des personnes concernées soit assuré, ainsi que tout dispositif de dépôt de question et de réclamation soit mis en place sans préjudice de tout dispositif légal existant ;
- L’information des personnes concernées soit claire, explicite, accessible et spécifique ;
- Toute action sera prise pour vérifier de manière récurrente le respect des points précédents et, le cas échéant, prendre les mesures appropriées en correction.
Il est précisé également que seront communiquées toutes mentions et références relatives aux actions réalisées auprès de la CNPD en vertu des dispositions règlementaires applicables.
- Conditions de traitement concernant la Plateforme eSanté
L’Agence eSanté est responsable de la Plateforme eSanté telle que décrite à l’article IV.a. des présentes et par conséquent du traitement de données à caractère personnel réalisé pour la gestion et l’administration centralisée de la Plateforme eSanté au travers d’annuaires référentiels d’identification et d’annuaire de sécurité mentionnés à l’article IV b. (Règlement grand-ducal du 6 décembre 2019 précisant les modalités de gestion de l’identification des personnes et les catégories de données contenues dans les annuaires référentiels d’identification des patients et des prestataires).
Les dispositions ci-dessous décrivent les engagements pris par l’Agence eSanté concernant ce traitement réalisé, en application des mentions ci-dessus. Il est rappelé dans ce cadre que toutes les précisions concernant les traitements réalisés par les Services eSanté sont décrites au sein des Conditions Particulières applicables.
Description du traitement : identification, gestion et administration des Utilisateurs de la Plateforme eSanté :
L’article 60ter du CSS donne mission à l’Agence eSanté la création de la Plateforme eSanté dans l’objectif de favoriser les échanges et partages de données de santé entre les acteurs du système de santé.
La Plateforme eSanté dans ce cadre traite les données d’identification des Utilisateurs au sein d’annuaires référentiels et de sécurité (voir IV b) permettant une gestion granulaire des droits d’accès par Service eSanté et par Utilisateur aux seules données pertinentes pour assurer le fonctionnement du Service eSanté concerné conformément à sa finalité.
Il est fait dans ce cadre utilisation d’une fonctionnalité de sécurité informatique « Single Sign On » (SSO) qui permet la gestion centralisée par l’Agence eSanté et limite la transmission des données d’identification dans le cadre de l’utilisation des Services eSanté. L’Agence eSanté détermine en conséquence avec les organismes tiers responsables des Services eSanté les règles d’accès aux données des Utilisateurs lors de l’utilisation du Service eSanté.
Elle vérifie les besoins de consultation des données d’identification par les Utilisateurs d’un Service eSanté conformément à sa finalité et à l’obligation d’identifier une personne concernée en réponse aux exigences de santé et de sécurité publique.
Responsable de traitement, sous-traitant et destinataires (selon les définitions du Règlement sur la protection des données) :
L’Agence eSanté est le responsable de traitement réalisé par les annuaires. Elle est à ce titre en charge de la bonne application des mesures de sécurité requises au titre du Règlement sur la protection des données, par ses employés et ses sous-traitants.
L’Agence a fait appel à un Consortium composé des sociétés eBRC et Maincare, intervenue dans les droits de IDO-In, qui ont la qualité de sous-traitant au titre du Règlement sur la protection des données. Ces derniers agissent strictement selon les instructions transmises par l’Agence eSanté.
Les données sont dans ce cadre hébergées et traitées par l’Agence eSanté sur le territoire du Grand-Duché du Luxembourg. Les données ne seront en aucun cas divulguées, transférées et traitées en dehors de l’Union Européenne sans consentement du Patient concerné, disposition réglementaire ou autorisation de la CNPD.
Selon la description du traitement ci-dessus, les données traitées ne sont accessibles qu’aux seules personnes identifiées en charge de la gestion et l’administration des annuaires.
Elles peuvent cependant être consultées par les Utilisateurs comme mentionné précédemment pour identifier une personne concernée dans le cadre de l’utilisation d’un Service eSanté, incluant l’identification d’un Patient pour assurer la sécurité d’une prise en charge, la consultation étant accordée uniquement aux Utilisateurs disposant des droits nécessaires au Service eSanté concerné au regard de sa finalité selon les Conditions Particulières.
Conditions de réalisation du traitement :
En application de l’article 60ter du CSS, les données traitées au sein des annuaires référentiels sont les données d’identification inscrites au sein des registres officiels nationaux tels que précisés à l’article IV.b. des présentes permettant l’identification forte des Patients et Professionnels de santé. (cf : Règlement grand-ducal du 6 décembre 2019 précisant les modalités de gestion de l’identification des personnes et les catégories de données contenues dans les annuaires référentiels d’identification des patients et des prestataires).
Les données des Agents de santé sont collectées auprès de ces derniers par l’intermédiaire des organisations pour lesquels ils travaillent, quel que soit leur statut auprès de ces dernières, aux fins de leur permettre l’exécution de leur mission au travers des Services eSanté concernés.
La centralisation de la gestion et administration des Utilisateurs au travers de l’annuaire de sécurité permet d’assurer l’identification et authentification des Utilisateurs par les Services eSanté sans transfert de données.
En conséquence les données d’identification des Patients et Professionnels de santé sont utilisées et conservées pendant toute la durée requise pour assurer la gestion, administration et identification de ces derniers, correspondant à la durée de leur inscription au sein des registres officiels nationaux, conformément aux exigences de conservation légales et réglementaires requérant identification des Utilisateurs, notamment au regard de la nature et finalité des Services eSanté utilisés.
Les données d’identification des Agents de Santé sont conservées pendant toute la durée où ils répondent à la définition présente à l’article 2 ci-dessus et pendant une durée maximale de 12 mois sans préjudice de conservation plus longue requise par toute disposition légale et réglementaire notamment applicable aux Services eSanté développés par des organismes tiers.
Il est précisé que les traces techniques, de type logs, des Utilisateurs dans leur utilisation de la Plateforme eSanté et des Services eSanté sont conservés pendant une durée maximale de 13 mois.
Les annuaires sont intégrés au sein de la Plateforme eSanté qui est hébergée auprès d’eBRC au Luxembourg, appliquant les normes et spécifications Tier IV assurant la mise en place des mesures de sécurité adéquates et pertinentes.
Seuls les employés de l’Agence eSanté en charge de la gestion et administration des annuaires et administration des Services eSanté peuvent avoir accès aux données des Utilisateurs, après authentification personnelle sur la Plateforme et dans le respect de procédures strictes, étant entendu que seul le pôle Identito-vigilance administre l’annuaire référentiel Patient.
Exercice des droits par les personnes concernées (selon la définition du Règlement sur la protection des données) :
L’Agence eSanté prendra toutes les mesures nécessaires pour assurer l’information relative au traitement des données d’identification auprès des Utilisateurs concernés. L’information sera réalisée par tout moyen et tout support, de manière individuelle et de manière générale.
Chaque Utilisateur pourra exercer son droit d’accès aux données traitées auprès de l’Agence eSanté selon les indications mentionnées ci-après, et le cas échéant au travers de son compte Plateforme lorsque ce dernier est activé.
En application des articles 60ter et 60quater du CSS, ainsi que des dispositions légales référencées au sein des définitions de l’article 2 des présentes, l’Agence est légitime à traiter les données d’identification des Patients et Professionnels de Santé présentes au sein des registres officiels nationaux. Les droits d’opposition et de rectification de ces Utilisateurs doivent en conséquence être réalisés conformément aux dispositions du Règlement grand-ducal du 6 décembre 2019 précisant les modalités de gestion de l’identification des personnes et les catégories de données contenues dans les annuaires référentiels d’identification des patients et des prestataires. Toutefois l’Agence eSanté, sur la demande de ces dernières, pourra mettre à disposition sur la Plateforme eSanté les dispositifs permettant la réalisation de ces actions en ligne. En tout état de cause l’Agence eSanté transmettra auprès du responsable concerné toute demande d’accès/rectification/opposition qu’elle recevrait directement via la Plateforme eSanté.
Les Agents de santé pourront exercer leurs droits auprès de leur organisation ou directement auprès de l’Agence eSanté, selon la procédure qui leur aura été remise lors de leur attribution de droit d’accès à la Plateforme eSanté selon les conditions de l’article 3 des présentes.
Contact « Protection des données »
L’Agence eSanté dispose en son sein d’un contact « Protection des données » qui a notamment pour rôle d’assurer le respect des traitements de données à caractère personnel en conformité avec les dispositions règlementaires applicables.
Ce point de contact est en charge de recevoir toute demande d’exercice de droits par les Utilisateurs et personnes concernées, ainsi que toute question et tout dépôt de réclamation.
Elle peut être contactée par courrier à l’adresse de l’Agence eSanté à l’attention de « Cellule protection des données », ou par email à l’adresse suivante : privacy@esante.lu.
Un accusé de bonne réception de la demande sera émis, et toutes les données échangées dans ce cadre seront protégées au titre de la correspondance privée.
- Conditions de traitement concernant le service Helpdesk
L’Agence eSanté, en application de l’article 60ter du CSS, fournit un service d’assistance Helpdesk auprès des Utilisateurs de la Plateforme eSanté et des Services eSanté, ainsi qu’auprès du grand public.
L’Agence eSanté est à ce titre responsable du traitement de données à caractère personnel réalisé pour la fourniture et la gestion de ce service Helpdesk.
Les dispositions ci-dessous décrivent les engagements pris par l’Agence eSanté concernant ce traitement réalisé, en application des mentions ci-dessus. Il est rappelé dans ce cadre que toutes les précisions concernant les traitements réalisés par les Services eSanté sont décrites au sein des Conditions Particulières applicables.
Description du traitement : fourniture et gestion du service Helpdesk :
L’Agence eSanté apporte auprès des Utilisateurs de la Plateforme eSanté et des Services eSanté l’assistance et le support nécessaire pour leur permettre une bonne utilisation. Elle informe également le grand public sur ses activités et services.
Elle enregistre donc toutes les demandes reçues et les traite pour apporter à chaque personne concernée l’assistance et le support requis. Elle réalise également des analyses, études et statistiques des demandes anonymisées aux fins d’évaluation des demandes et du service Helpdesk.
Responsable de traitement, sous-traitant et destinataires (selon les définitions du Règlement sur la protection des données) :
L’Agence eSanté est le responsable du traitement réalisé par le service Helpdesk. Elle est à ce titre en charge de la bonne application des mesures de sécurité requises au titre du Règlement sur la protection des données, par ses employés et ses sous-traitants.
Les données sont dans ce cadre hébergées et traitées par l’Agence eSanté sur le territoire du Grand-Duché du Luxembourg. Les données ne seront en aucun cas divulguées, transférées et traitée en dehors de l’Union Européenne sans consentement du Patient concerné, disposition réglementaire ou autorisation de la CNPD
Selon la description du traitement ci-dessus, les données traitées ne sont accessibles qu’aux employés de l’Agence eSanté intervenant dans le cadre du service Helpdesk.
Conditions de réalisation du traitement :
Les données des utilisateurs ou des personnes du grand public sont collectées lors de leur saisie du service Helpdesk par téléphone, email (incluant le formulaire de contact du Portail eSanté) ou courrier postal.
Seules les données permettant le bon traitement d’une demande sont recueillies et collectées, à l’exclusion de toutes données de santé. Dans ce cadre, les données d’identification et de contact des personnes concernées sont demandées pour assurer les échanges, ainsi que les données spécifiques à la demande pour traiter cette dernière.
En conséquence les données ainsi collectées sont conservées jusqu’à 3 ans après la clôture de la demande au sein du service Helpdesk.
Seuls les employés de l’Agence eSanté intervenant dans le cadre du service Helpdesk peuvent avoir accès aux données collectées.
Exercice des droits par les personnes concernées (selon la définition du Règlement sur la protection des données) :
L’Agence eSanté prendra toutes les mesures nécessaires pour assurer l’information relative au traitement des données auprès des personnes concernées lors de leur prise de contact auprès du Service Helpdesk. L’information sera réalisée par tout moyen et tout support, de manière individuelle et de manière générale.
Chaque Utilisateur pourra exercer son droit d’accès aux données traitées auprès de l’Agence eSanté selon les indications mentionnées ci-après.
Contact « Protection des données »
L’Agence eSanté dispose en son sein d’un contact « Protection des données » qui a notamment pour rôle d’assurer le respect des traitements de données à caractère personnel en conformité avec les dispositions règlementaires applicables.
Ce point de contact est en charge de recevoir toute demande d’exercice de droits par les Utilisateurs et personnes concernées, ainsi que toute question et tout dépôt de réclamation.
Elle peut être contactée par courrier à l’adresse de l’Agence eSanté à l’attention de « Cellule protection des données », ou par email à l’adresse suivante : privacy@esante.lu.
Un accusé de bonne réception de la demande sera émis, et toutes les données échangées dans ce cadre seront protégées au titre de la correspondance privée.
VIII.Propriété intellectuelle
- Dispositions générales
L’ensemble des éléments et composants de la Plateforme eSanté, y inclus tout code objet ou source, texte, image, son, vidéo, logo, sont protégés au titre de la propriété intellectuelle et à tout le moins comme actifs intellectuels. L’Agence eSanté est seule propriétaire de ces droits, le cas échéant titulaire de tout droit d’utilisation dans l’exercice de son activité, sauf mention contraire au sein des Conditions Particulières des Services eSanté.
Toute décompilation de la Plateforme eSanté et des Services eSanté est strictement prohibée pour quelque raison que ce soit. Tout Utilisateur rencontrant des problèmes se devra d’alerter l’Agence eSanté qui prendra, le cas échéant de concert avec l’Utilisateur et/ou autre organisme tiers responsable de Service eSanté, les actions nécessaires pour résoudre le problème.
Toute reproduction et/ou exploitation même partielle de la Plateforme eSanté et/ou des Services eSanté, quels que soient les éléments concernés, est prohibée également, sauf existence d’une fonctionnalité au sein du Service eSanté concernée valant autorisation préalable, dans la limite de son usage conforme aux Conditions Particulières.
A défaut l’Utilisateur pourra voir sa responsabilité engagée au titre de violation des droits de propriété intellectuelle, et sera passible de toute sanction disposée au sein du code pénal.
Chaque Utilisateur est responsable de tout document et de toute information qu’il publie et diffuse au sein de la Plateforme eSanté et des Services eSanté. Il lui appartient donc de s’assurer que son contenu est licite, pertinent et adéquat au regard des présentes, du droit de la propriété intellectuelle et généralement de toutes dispositions légales applicables à sa qualité.
Chaque Utilisateur est invité à alerter l’Agence eSanté sur tout contenu publié qu’il estimerait ne pas répondre aux exigences de pertinence, d’adéquation et de licéité, notamment en présence de violation de droits d’auteur ou de la vie privée.
A réception, l’Agence eSanté prendra toutes mesures qu’elle juge nécessaires au regard des éléments transmis et dans la limite de ce que la loi lui autorise.
- Les outils eSanté
L’Agence eSanté peut, en application de l’article 60ter CSS, proposer à certains Utilisateurs différents outils logiciels à destination des Professionnels de santé et Etablissements de santé pouvant répondre à certains de leurs besoins dans la gestion de leur activité. Selon le cas ces logiciels peuvent bénéficier de la Plateforme eSanté comme socle d’hébergement ainsi que d’une connexion sécurisée et spécifique avec tout ou partie des Services eSanté.
Ces outils ne sont ni développés ni exploités par l’Agence eSanté, qui cependant peut agir comme partenaire pour supporter leur développement et utilisation, en exécution de sa mission légale de l’article 60ter du CSS, de promotion de l’interopérabilité et sécurité des systèmes d’information de santé.
Les conditions de téléchargement et d’utilisation de ces outils seront spécifiquement disposées au sein d’une convention de licence accessible en ligne ou sur demande auprès de l’Agence eSanté qui identifiera l’éditeur de ces outils et sa responsabilité, ainsi que celle de l’Agence en termes de disponibilité, d’accessibilité, de configuration et de maintenance. En aucun cas la possibilité de télécharger l’un de ces outils n’entraînera transfert au bénéfice de l’Utilisateur de la propriété des droits d’auteurs, ou d’autres droits de propriété intellectuelle.
Les présentes Conditions Générales s’appliqueront toutefois concernant tout accès de l’Utilisateur à la Plateforme eSanté et/ou Services eSanté selon les dispositions mentionnées au sein des présentes.
IX.Responsabilité
L’Agence eSanté ne peut être tenue à des obligations supérieures à celles qui découlent de l’application des articles 60ter et 60quater du CSS, et à celles mentionnées entre autres au sein des présentes.
L’Agence eSanté ne peut dans ce cadre voire sa responsabilité engagée :
- Pour tout dommage direct ou indirect en raison d’une violation ou d’un manquement d’un Utilisateur des Règles d’utilisation et de toute disposition qui lui serait applicable dans l’utilisation de la Plateforme eSanté et du Service eSanté concerné ;
- En cas de dysfonctionnement ou d’indisponibilité de la Plateforme eSanté et des Services eSanté qui trouverait origine dans la réalisation d’événement ou de cas de force majeure ;
- De tout préjudice causé à un Utilisateur ou à un tiers par un autre Utilisateur par la diffusion ou publication de document et d’information pour lesquels il ne disposait pas d’autorisation et/ou portant atteinte aux droits du tiers ou de l’autre Utilisateur notamment en violation de sa vie privée et/ou violation de tout engagement de confidentialité ;
- Pour toute communication de données à caractère personnel à une autorité judiciaire luxembourgeoise sur ordre de cette dernière, après notification préalable à l’Utilisateur, dans la stricte limite de l’ordonnance judiciaire en question, et à condition que la loi l’impose malgré la législation en matière de protection des données personnelles et le secret professionnel dont sont dépositaires les Professionnels de santé.
La responsabilité de l’Agence ne pourra également être recherchée pour toute indisponibilité de la Plateforme et des Services pour des raisons de maintenance ou en cas d’urgence (par exemple en présence d’un événement qui par sa nature et/ou son impact possible peut porter atteinte à l’intégrité et la sécurité de la Plateforme eSanté, des services eSanté et des données associées), étant entendu que les maintenances seront réalisées principalement à des moments perturbant le moins possible leur utilisation et pour une durée limitée. Une opération de maintenance est toujours notifiée à l'avance et dans un délai raisonnable, permettant à l'établissement utilisateur de supporter et surtout d’anticiper tout désagrément susceptible d'impacter la continuité du service.
Chaque Utilisateur se devra, sous peine de voir sa responsabilité engagée et le cas échéant l’application des sanctions telles que prévues par son ordre professionnel :
- De détenir et mettre à jour tout matériel informatique et système d’information lui appartenant conformément aux règles de bonnes pratiques et de gestionnaire responsable du système, pour assurer son accès et connexion à la Plateforme eSanté et aux Services eSanté ;
- De prendre à son niveau toutes les mesures nécessaires pour assurer la sécurité et la confidentialité de son utilisation de la Plateforme eSanté et des Services eSanté, y inclus les éléments de connexion et d’identification ;
- D’imposer le respect des Règles d’utilisation auprès de toute personne concernée au sein de son organisation, et le cas échéant prévoir des séances d’information et de formation.
De manière générale, toute mauvaise utilisation, intrusion, accès illégitime et tentative de mauvaise utilisation, d’intrusion et d’accès illégitime sont punissables au titre des articles 509-1 et suivants du code pénal. L’Agence se réserve le droit dans ce cadre à porter plainte et se composer partie civile.
En présence de cas de force majeure tel que défini par la loi et la jurisprudence, la responsabilité de l’Agence eSanté et des Utilisateurs ne pourra être recherchée.
Egalement au regard des contraintes et limites propres au réseau internet, l’Agence eSanté ne pourra être tenue responsable de toute transmission de virus, de code malveillant, ou de divulgation de données pour autant qu’elle avait pris les mesures de sécurité appropriées au regard de l’état de l’art.
X.Autres dispositions
Si une partie quelconque des présentes devait s’avérer illégale, invalide ou inapplicable pour quelque raison que ce soit, le terme ou les termes en question seraient déclarés inexistants sans que cela ne puisse impacter l’équilibre des Conditions générales et Règles d’utilisation, et ne remette en cause l’application des termes restants. Toute modification requise serait toutefois faite dans les meilleurs délais.
Toute tolérance relative à une violation des Règles d’Utilisation par l’Agence eSanté et/ou un Utilisateur ne vaut pas renonciation de la Partie lésée, y inclus l’action publique, à se prévaloir ultérieurement de ses droits.
Tout droit d’accès et d’utilisation de la Plateforme eSanté et des Services eSanté est attribué nominativement dans les conditions définies à l’article 4 des présentes. Il ne peut en aucun cas être cédé, transféré ou concédé auprès d’une personne tierce par quelque moyen que ce soit et pour quelque raison que ce soit.
Dans l’hypothèse où un Utilisateur perd son droit en application des présentes, il reste tenu à l’ensemble des obligations dont il est débiteur au titre des présentes et en vertu de toute disposition légale qui lui était applicable selon sa qualité.
Dans l’hypothèse où il existerait une contradiction entre les différentes dispositions composant les Règles d’Utilisation, les Conditions particulières prévaudront sur les Conditions générales.
Toute traduction des présentes Conditions Générales est réalisée pour information auprès des Utilisateurs. En présence de problème d’interprétation et/ou de conflit seules les présentes rédigées en langue française feront foi.
Les présentes Conditions Générales sont régies par la loi luxembourgeoise. En présence de tout conflit le tribunal compétent sera le tribunal de Luxembourg ville.
Conditions générales d’utilisation - Plateforme e-santé - version 4.0.4 du 2 janvier 2019.
Annexe 1 - Services eSanté
Messagerie Sécurisée :
Responsable du Service eSanté : Agence eSanté
Utilisateurs habilités à utiliser ce Service eSanté : Professionnels de santé
Description : Service de messagerie en ligne dédié aux Professionnels de santé aux fins de leur permettre l’échange de courrier électronique répondant aux exigences de confidentialité de leur profession. L’utilisation de ce service nécessite un mécanisme d’authentification forte (ex : carte Luxtrust)
Les Professionnels de santé pourront identifier leurs correspondants Professionnels de santé par l’intermédiaire de l’annuaire référentiel d’identification de la Plateforme eSanté (cf. article IV b.).
Les données d’identification présentes au sein des annuaires Patients et Agents de santé ne sont pas utilisées par les dispositifs du Service eSanté Messagerie Sécurisée.
Conditions particulières du service :
https://www.esante.lu/portal/fr/service_project/doc_manager/download.php?&vars=Vy0XnaPfCgHpGGYriIf3oi23AtUq4P6yBCAg0jJ_pL4
Espace collaboratif :
Responsable du Service eSanté : Agence eSanté
Utilisateurs habilités à utiliser ce Service eSanté : Professionnels de santé et Agents de santé
Description : Service dédié aux Professionnels de santé et Agents de santé pour leur permettre dans l’exercice de leur activité d’accéder à des espaces dématérialisés de travail pour leurs études et projets communs, excluant le partage de données de patient en application des règles déontologiques.
Les Professionnels de santé et Agents de santé pourront identifier leurs homologues aux fins d’échanger au sein des espaces de travail par l’intermédiaire des annuaires de la Plateforme eSanté (cf. article IV b.).
Les données d’identification présentes au sein des annuaires Patients et Agents de santé ne sont pas utilisées par les dispositifs du Service eSanté Espace collaboratif.
Dossier de Soins Partagé – DSP :
Responsable du Service eSanté : Agence eSanté
Utilisateurs habilités à utiliser ce Service eSanté : Professionnels de santé et Patients concernés à savoir les Patients affiliés à l’assurance maladie luxembourgeoise, entrés dans le dispositif Médecin référent et les Patients ayant émis la volonté de bénéficier d’un DSP auprès de l’Agence.
Description : Service mis à disposition des Professionnels de santé et Patients concernés en application de l’article 60quater du CSS et du Règlement Grand-Ducal du 6 décembre 2019 précisant les modalités et conditions de mise en place du dossier de soins partagé, qui dispose expressément de la finalité d’intérêt public du traitement réalisé dans le cadre du Service DSP : l’échange et le partage de données de santé de manière dématérialisée et sécurisée pour optimiser la continuité, la coordination et la sécurité des soins apportés au Patient ainsi qu’une meilleure utilisation des données traitées au sein du système de santé.
Les Professionnels de santé pourront identifier leurs homologues et le(s) Patient(s) concerné(s) qu’ils prennent en charge aux fins d’échanger et partager au sein du DSP toutes données et informations utiles et pertinentes pour le suivi médical du patient.
Les Patients concernés pourront identifier les Professionnels de santé les prenant en charge et accédant à leur DSP conformément aux règles d’habilitations en place. Les Patients concernés pourront également identifier sous conditions les Patients qu’ils souhaitent déclarer comme Accompagnateur DSP.
Les données d’identification présentes respectivement au sein de l’annuaire référentiel Professionnel de santé et de l’annuaire référentiel Patient sont utilisées aux fins d’attribuer les droits d’accès au DSP.
Chaque Patient concerné reçoit personnellement l’ensemble des informations requises concernant la connexion à la Plateforme eSanté et à son DSP.
Les Professionnels de santé sont informés directement par l’Agence eSanté ou par l’intermédiaire de l’Etablissement de santé dans lequel il réalise ses prestations, concernant la connexion à la Plateforme eSanté et à son DSP.
Une description complète et détaillée du Service DSP et du DSP est consultable au sein des Chartes d’utilisation accessibles aux liens suivants :
- À l’attention des Patients concernés :
https://www.esante.lu/portal/fr/service_project/doc_manager/download.php?&vars=f5Pk9pEPizW5-ENDBsSCDcskBJNYkp_1YDGwm3j08t4
- A l’attention des Professionnels de santé
https://www.esante.lu/portal/fr/service_project/doc_manager/download.php?&vars=y97Nq_RTPDRRrPt0N7VvCItqBy2aKXVJnZ-3qDp9Yj4
Une question concernant le contenu médical du DSP ? Contactez le pôle identito-vigilance de l’Agence eSanté à l’adresse suivante : confidentiel.sante@esante.lu
Traitement légal de données à caractère personnel d’intérêt public expressément disposé à l’article 60quater du CSS – Chargé de protection désigné (privacy@esante.lu)
Application IdeoMed :
Etablissements utilisateurs de l’application IdeoMed :
- Tricentenaire a.s.b.l.
- Croix-Rouge luxembourgeoise – Centre de convalescence Colpach
- HIS - Hôpital Intercommunal de Steinfort
Utilisateurs habilités à utiliser ce Service eSanté : Personnels des établissements, tant Professionnels de santé qu’Agents de santé, pour l’exercice de leurs fonctions au sein des établissements selon les règles d’habilitations émises par ces derniers.
Description de l’application IdeoMed :
Gestion des dossiers patients pris en charge au sein de l'établissement sous forme électronique, incluant la saisie et la gestion des données administratives, de la documentation de soins et des prestations réalisées.
La solution est hébergée au sein de la Plateforme eSanté et utilise les dispositifs d’authentification et d’identification mis en place au sein de cette dernière par l’Agence eSanté en application de l’article 60ter du Code de la Sécurité Sociale.
Les données d’identification des professionnels de santé présentes au sein de l’annuaire référentiel Professionnels de santé sont utilisées aux fins d’attribuer les droits d’accès à l’application IdeoMed de l’établissement concerné.
Les données d’identification des Patients présentes au sein de l’annuaire référentiel Patient, sont utilisées aux fins d’assurer l’identification selon les principes d’identito-vigilance par les établissements concernés après conclusion du contrat de prise en charge avec le patient concerné.
Lors de la conclusion du contrat de prise en charge avec l’établissement concerné, le Patient reçoit l’ensemble des informations requises concernant le traitement réalisé de ses données par l’établissement.
Le Patient est invité à contacter l’établissement concerné pour obtenir toute précision et transmettre toute demande en leur qualité de responsable du traitement dans la limite de leur périmètre d’intervention.
Application IdeoRCP :
Etablissement utilisateur de l’application IdeoRCP :
- Les Hôpitaux Robert Schuman / Clinique Bohler - Chargé de protection désigné
Utilisateurs habilités à utiliser ce Service eSanté : Personnels des établissements, tant Professionnels de santé qu’Agents de santé, pour l’exercice de leurs fonctions au sein des établissements selon les règles d’habilitations émises par ces derniers.
Description de l’application IdeoRCP :
Gestion administrative sous forme électronique des Réunions de Concertation Pluridisciplinaires (RCP) et gestion du dossier RCP des patients cancérologiques présentés aux RCP organisées par les Hôpitaux Robert Schuman en application du Règlement Grand-Ducal du 18.08.2011, ainsi que la convention entre la CNS et l’AMMD (cf. annexe P du cahier des charges venant en application de l’article 18 de la convention).
Le dossier RCP des patients comportent l’ensemble des informations et données médicales utiles et pertinentes aux fin de diagnostics, de détermination du traitement de la pathologie et de suivi médical du patient dans le temps.
La solution est hébergée au sein de la Plateforme eSanté et utilise les dispositifs d’authentification et d’identification mis en place au sein de cette dernière par l’Agence eSanté en application de l’article 60ter du Code de la Sécurité Sociale.
Les données d’identification des professionnels de santé présentes au sein de l’annuaire référentiel Professionnels de santé sont utilisées aux fins d’attribuer les droits d’accès à l’application IdeoRCP aux Professionnels de santé habilités à intervenir au sein des RCP organisés par l’établissement.
Les données d’identification des Patients présentes au sein de l’annuaire référentiel Patient, sont utilisées aux fins d’assurer l’identification selon les principes d’identito-vigilance par l’établissement après acceptation par le patient de voir son dossier présenté en RCP organisé par l’établissement.
Le patient est informé par le professionnel de santé le prenant en charge des objectifs de la RCP, ainsi que de son déroulement, de sa composition et de sa date, incluant l’utilisation de la solution électronique IdeoRCP. Le patient peut exprimer son opposition à la présentation de son dossier en RCP par utilisation du formulaire mis en place à cet effet par les Hôpitaux Robert Schuman.
Le Patient est invité à contacter l’établissement et son Chargé de protection des données pour obtenir toute précision et transmettre toute demande : privacy@hopitauxrobertschuman.lu
Dispositif Médecin Référent tel que décrit au sein de l’annexe V de la convention AMMD-CNS dans la version publiée en date du 21 Octobre 2015[1] et venant en application de :
- l’article 19bis du Code de la Sécurité Sociale,
- règlement grand-ducal modifié du 15 novembre 2011 déterminant les modalités de désignation, de reconduction, de changement et de remplacement en cas d’absence du médecin référent.
Co-Responsables du traitement réalisé dans le cadre du dispositif Médecin Référent :
- la Caisse Nationale de Santé
- l’Agence eSanté
Utilisateurs concernés : Médecins généralistes et pédiatres ayant été déclarés comme Médecin Référent par leur Patient conformément à l’article 1 de la convention, et le patient lui-même titulaire d’un DSP actif.
Plus de précision sur le dispositif Médecin Référent :
Description du traitement :
Mise en application des processus du dispositif Médecin Référent tel qu'il est défini au sein de la convention, incluant :
- la validation et gestion des déclarations médecin référent et de leur révocation, la mise en compte des prestations réalisées dans le cadre du dispositif ;
- la création et activation du DSP du patient concerné, et l’accès par le médecin référent via le portail eSanté ou son propre outil de gestion, au DSP de son patient pour l’exercice de sa mission au titre de l’article 19 bis du code de la sécurité sociale ;
- la mise en œuvre des processus dématérialisés permettant notamment, l’émission du résumé patient par le médecin référent et son envoi dans le DSP, l’envoi par la CNS du résumé des prestations dans le DSP, et la réalisation et l’envoi du relevé biennal par le médecin référent auprès de la CNS ;
- par la commission de suivi et d’accompagnement, évaluation du dispositif médecin référent, réalisation d’études épidémiologiques après anonymisation des données.
Les données d’identification présentes respectivement au sein de l’annuaire référentiel Professionnel de santé et de l’annuaire référentiel Patient sont utilisées aux fins d’attribuer les droits d’accès au DSP, ainsi que pour le médecin référent aux fonctionnalités lui permettant la réalisation des actions lui incombant au titre de la convention.
Le Patient et le médecin peuvent prendre contact auprès de la CNS et de l’Agence eSanté comme suit :
Annexe 2 - Informations
- Références
Information Agence eSanté : https://www.esante.lu/portal/fr/agence-esante/a-propos-de-l-agence,420,462.html
Articles 60ter et 60quater du Code de la Sécurité Sociale :
http://www.secu.lu/assurance-maladie/livre-i/chapitre-v-relations-avec-les-prestataires-de-soins/
Règlement grand-ducal du 6 décembre 2019 précisant les modalités et conditions de mise en place du dossier de soins partagé :
http://legilux.public.lu/eli/etat/leg/rgd/2019/12/06/a909/jo
Règlement grand-ducal du 6 décembre 2019 précisant les modalités de gestion de l’identification des personnes et les catégories de données contenues dans les annuaires référentiels d’identification des patients et des prestataires :
http://legilux.public.lu/eli/etat/leg/rgd/2019/12/06/a910/jo
Loi du 19 juin 2013 relative à l’identification des personnes physiques : http://legilux.public.lu/eli/etat/leg/loi/2013/06/19/n3/jo
- Liens utiles
Portail eSanté : www.esante.lu- rubrique « Médiathèque », où vous trouverez plaquette d’information, vidéos explicatives, liste de questions-réponses les plus fréquentes, manuels d’utilisation…
Portail santé.lu : https://sante.public.lu/fr
Site de la CNPD : https://cnpd.public.lu/fr/legislation/droit-lux.html
Site LuxTrust : https://www.luxtrust.lu/
III. Les contacts utiles
Helpdesk multilingue :
confidentiel.sante@esante.lu pour toute demande relative au contenu médical du Service DSP, et à l’utilisation des données dans la prise en charge.
privacy@esante.lu pour toute demande concernant la protection des données à caractère personnel.
Assistance LuxTrust : helpdesk@luxtrust.lu / +352 24 550 550 pour toute question concernant votre SmartCard ou token Luxtrust.