Charte GP v1.2.
La création de votre Carnet de Vaccination Électronique est soumise à la lecture et à l’acceptation de cette charte.
Est considéré comme Utilisateur tout titulaire du carnet de vaccination électronique (CVE), que ce soit pour son propre compte ou pour celui d’une personne dont il est le responsable légal.
Le CVE est édité par le Groupe d’Études en Préventologie (GEP), association à but non lucratif indépendante des firmes pharmaceutiques. Diffusé sur le site Internet MesVaccins.net, il permet d’enregistrer les vaccins administrés et les données utiles pour déterminer si le patient est à jour ou non de ses vaccinations. Le CVE est partagé entre l'Utilisateur et un ou plusieurs professionnels de santé de son choix. Il est hébergé sur les serveurs de la société Informatique de Sécurité (IDS1), titulaire d'un agrément d'hébergeur de données de santé à caractère personnel délivré par le Ministère de la Santé.
Le système expert de MesVaccins.net prend en compte dans les meilleurs délais (le plus souvent dans les 48 heures et au plus tard dans un délai de deux mois pour les modifications mineures) les modifications ou nouveautés concernant les dispositions légales et réglementaires ainsi que les données scientifiques et épidémiologiques ayant (ou susceptibles d’avoir) un impact significatif sur l’utilisation des vaccins. Il s’agit par exemple des résumés des caractéristiques des produits, des avis du Haut Conseil de la santé publique (HCSP) et de la Haute autorité de santé (HAS), des informations de l’Agence nationale de sécurité du médicament (Ansm) et de l’Agence européenne des médicaments (European Medicines Agency, EMA) ou encore des données épidémiologiques de l’Institut de veille sanitaire (InVS) ou de l’European Centre for Disease Prevention and Control (ECDC).
Cette charte a pour objet de préciser les modalités d’utilisation du CVE, les droits et devoirs de l'Utilisateur, des professionnels de santé et du GEP.
L’acceptation des conditions d’utilisation du CVE décrites dans cette charte entraîne le consentement exprès de l'Utilisateur.
L’Utilisateur commence par créer un compte permettant de gérer les CVE d’une famille. Lors de la procédure de création d’un compte, un login est créé automatiquement par MesVaccins.net. Ce login est composé d’une suite de caractères (deux lettres, trois chiffres et à nouveau deux lettres, comme pour la plaque d’immatriculation d’un véhicule en France).
Une fois le compte créé, l’Utilisateur peut ajouter un ou plusieurs CVE. Pour chaque CVE, l’Utilisateur définit un pseudo. Il est conseillé de ne pas indiquer le nom de famille comme pseudo, afin de préserver l’anonymat du CVE. Puis l’Utilisateur entre le genre et la date de naissance du titulaire du CVE. Une fois enregistrée, la date de naissance n’est plus visible dès lors qu’au moins un vaccin a été enregistré (seul l’âge en années est alors visible).
Le CVE est anonyme côté Utilisateur : un accès non autorisé à un compte Utilisateur ne permet pas de connaître l’identité du titulaire du compte.
Les vaccins ajoutés à un CVE créé par l'Utilisateur sont automatiquement placés en attente de validation par un professionnel de santé.
L’Utilisateur peut décider de partager un ou plusieurs des CVE rattachés à son compte avec un ou plusieurs professionnels de santé (il est donc libre de ne pas partager son CVE avec un professionnel de santé).
Pour partager un CVE avec un professionnel de santé, l’Utilisateur doit lui fournir le code de partage qui est automatiquement créé par MesVaccins.net pour chaque compte famille. Ce code de partage comporte huit caractères alphanumériques. L’Utilisateur devra également fournir au professionnel de santé la date de naissance du titulaire du CVE à partager.
L’accès « professionnel de santé » à un CVE nécessite :
1) L’autorisation de l’Utilisateur titulaire du compte famille ;
2) L’inscription du professionnel de santé au service MesVaccins.net, qui lui fournit un identifiant et un mot de passe ;
3) Une authentification forte par une carte à puce de Professionnel de Santé (CPS) ou un dispositif équivalent. Ce procédé permet au professionnel de santé habilité par l'Utilisateur et dûment authentifié de vérifier, éventuellementde compléter ou de modifier, puis de valider les actes de vaccination pré-saisis dans le CVE en toute sécurité avec l’identité et les caractéristiques de l'Utilisateur (nom, prénom, date de naissance, code postal du domicile et lieu de naissance).
Seuls les vaccins validés sur preuve documentaire peuvent être modifiés par un autre professionnel de santé que celui qui a réalisé la validation (un vaccin réalisé et validé par un professionnel de santé donné ne peut être modifié que par ce professionnel).
Dans tous les cas, ce professionnel de santé ne pourra pas accéder au CVE de l’Utilisateur sans s’être authentifié grâce à sa CPS ou à un dispositif équivalent. L’Utilisateur attribue seul le droit d’accès aux données de santé qu’il dépose, et est seul responsable en cas d’une indisponibilité, d’une perte de confidentialité ou d’une corruption liées à des erreurs d’attribution de ce droit.
Accès en urgence au CVE
Dans certaines situations (plaie avec risque de tétanos, par exemple) le professionnel de santé doit prendre en compte l’historique des vaccinations. Un accès en urgence au CVE est nécessaire lorsque l’Utilisateur ne dispose pas de son code de partage.
Si le CVE a été partagé avec au moins un professionnel de santé, le CVE est accessible en urgence (méthode dite du “bris de glace”) par un professionnel de santé dûment authentifié (cf. ci-dessus) et uniquement avec l’accord de l’Utilisateur. L’accès en urgence au CVE permet exclusivement l’affichage de l’historique des vaccinations de l’Utilisateur. L’accès en urgence ne permet pas de voir le profil santé. De plus, un courriel est automatiquement adressé à l’Utilisateur pour l’informer de tout accès en urgence par un professionnel de santé. La date et l’heure de l’accès, ainsi que l’identité du professionnel de santé ayant accédé en urgence au CVE, sont mentionnées dans ce courriel.
Conformément à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, l’Utilisateur dispose d’un accès aux informations nominatives le concernant (données administratives et profil santé). Si nécessaire, il peut les modifier par l’intermédiaire du portail MesVaccins.net.
L'Utilisateur peut modifier son profil santé même s’il a été validé par un professionnel de santé. Toutefois, en cas de modification par l’utilisateur, le profil santé n’est plus validé (une nouvelle validation par un médecin est donc nécessaire).
L'Utilisateur peut demander au GEP (en suivant le lien « Nous contacter ») de lui communiquer :
Dans le cas où une évolution technique présenterait un risque d’impact sur le service rendu, le GEP est tenu d'informer l'Utilisateur au moins deux mois avant la date prévue de cette évolution. En cas de désaccord, il appartient à l'Utilisateur de résilier son compte durant ces deux mois.
La durée d’hébergement du CVE est de 20 ans à partir de la date de la dernière connexion au compte de l'Utilisateur, qu'elle ait été effectuée par l'Utilisateur lui-même ou par un professionnel de santé, et ce, quelle que soit l'action réalisée dans le CVE (lecture ou écriture).
L'Utilisateur peut supprimer son compte. Sur le site MesVaccins.Net, l'Utilisateur doit pour cela se rendre dans la partie « mon Carnet de Vaccination Électronique » puis se positionner sur l’onglet « Mon compte ». La suppression du CVE est immédiate. Aucune donnée n'est conservée en archive au delà de 30 jours.
Le GEP conseille à l'Utilisateur d’effectuer une impression préalable de l’ensemble de ses CVE (format « .pdf ») ou une sauvegarde des CVE avant la suppression du compte 3.
En cas de modification de la charte, une notification est adressée à tous les Utilisateurs sur la messagerie interne du CVE.
Un identifiant (login) est généré automatiquement par le site et sont est adressé à l'Utilisateur par courriel.
La première connexion au compte permet de valider l'existence de celui-ci. Tout compte non validé dans le mois suivant sa création est considéré comme invalide et est supprimé du serveur avec l’intégralité des données qui lui sont rattachées.
L’adresse de courriel fournie lors de l’inscription de l’Utilisateur doit être validée en cliquant sur le lien contenu dans le courriel émis lors de la création du compte. En l’absence de validation, cette adresse ne pourra pas être utilisée pour la réception des alertes rappels à effectuer.
Le diagnostic vaccinal se fait après recueil d’informations concernant l'Utilisateur (ou concernant la personne dont l'Utilisateur est responsable, notamment un enfant mineur) via un formulaire contextuel lié à l’âge et au sexe de chaque personne.
L'Utilisateur a la responsabilité de renseigner correctement le formulaire de recueil des éléments du profil santé. Si l'Utilisateur ne dispose pas des informations médicales ou n’est pas sûr de leur véracité, le GEP conseille à l'Utilisateur de se faire aider par son médecin traitant.
Les données obtenues par ce formulaire sont limitées aux données utiles pour déterminer les recommandations vaccinales : elles comportent des données de santé (par exemple une maladie chronique) et des données administratives (par exemple la profession). Ces données permettent d'établir un profil santé. Seul un médecin auquel l'Utilisateur aura confié le droit d'accès pourra voir, modifier et valider ce profil santé. Les professionnels de santé autres que "médecin" les médecins et ayant un droit d'accès accordé par l'Utilisateur pourront consulter le profil santé mais ne pourront ni le modifier, ni le valider. La validation du profil santé est nécessaire à la validation de l'ensemble du CVE.
Il est géré directement par l’Utilisateur dans l’espace "Mon compte" dans la partie "mon Carnet de Vaccination Électronique".
L’Utilisateur s’engage à notifier au GEP tout incident de sécurité constaté ou toute vulnérabilité supposée.
Le login d’accès au compte permettant de gérer les CVE est composé d’une suite de caractères déterminée par le serveur lors de la création du compte (deux lettres, trois chiffres et à nouveau deux lettres, comme pour la plaque d’immatriculation d’un véhicule en France). En cas d’oubli de ce login, l’Utilisateur peut demander son renvoi par courriel en cliquant sur le bouton “J’ai oublié mes identifiants”.
Le mot de passe est défini par l’Utilisateur lors de la création du compte de gestion des CVE. En cas d’oubli de ce mot de passe, l’Utilisateur peut demander son renvoi en cliquant sur le bouton “J’ai oublié mes identifiants”.
Aucune donnée nominative ne sera utilisée. Les statistiques (couverture vaccinale, fréquence des déterminants de santé...) ne feront l'objet d'aucun usage commercial et seront exclusivement réservées à des organismes gouvernementaux (Institut de veille sanitaire, Agences régionales de santé, Agence nationale de sécurité du médicament et des produits de santé).
Les outils d’aide à la décision développés par le GEP permettent de diffuser pour le grand public et pour les professionnels de santé des informations personnalisées sur les sites mesvaccins.net et medecinedesvoyages.net. Ces informations sont fondées sur les avis ou documents officiels publiés par les autorités sanitaires, dont les sources sont indiquées. En cas de doute ou de difficulté d’interprétation, l’utilisateur est invité à demander l'avis d'un professionnel de santé. Différents processus (étapes de rédaction, validation et contrôle des textes diffusés et des règles de recommandations, envoi par email des règles modifiées aux experts pour vérification et tests, contrôle en double aveugle et automatique des résultats déterminés par les règles) et une démarche d’assurance de la qualité ont été mis en place pour s’assurer de la qualité des informations et recommandations diffusées. Cependant, malgré tous nos efforts, l’absence totale d’erreur ne peut être garantie. L'utilisateur grand public ou professionnel de santé ne pourra se retourner contre le Groupe d'études en préventologie s'il estime avoir subi un préjudice lié à la nature des informations diffusées sur le site mesvaccins.net ou sur le site medecinedesvoyages.net.
L'Utilisateur peut :
Le CVE respecte les textes réglementaires suivants concernant les données informatisées de santé à caractère personnel :
Le GEP recourt, pour la fourniture du CVE, à un hébergement agréé de données de santé à caractère personnel auprès de la société IDS ("Informatique de Sécurité").
IDS met à la disposition du GEP un environnement d’exécution de ses logiciels assurant la fourniture du service CVE pour l’Utilisateur. IDS assure pour le compte du GEP :
IDS réalise ses prestations au moyen de plusieurs centres de communication, de traitement et de stockage de données. Certains de ces centres peuvent être hébergés dans les locaux de prestataires externes, mais ils sont opérés exclusivement par des personnels d’IDS sous les conditions décrites dans le présent document.
IDS rend accessible aux Utilisateurs de l’application un tableau de bord, permettant au GEP de consulter pour le mois précédent :
Le taux de disponibilité de l’application, mesuré par une tentative de connexion automatique toutes les 5 minutes ;
Les fiches de description des incidents de confidentialité répertoriés, ventilées par rubriques :
Les fiches de description des incidents d’intégrité ou de disponibilité répertoriés, ventilés par rubriques :
IDS se réserve le droit de suspendre en dernier recours l’accès à l’application lorsque son maintien ne lui permettrait pas de respecter ses obligations légales présentes ou futures, notamment en termes de confidentialité et de méthodes d’authentification.
IDS constitue un historique des accès à l’application et aux données personnelles de santé. L’Utilisateur peut en demander une copie au GEP via l’adresse de contact du site MesVaccins.net. L'Utilisateur accepte cet historique comme preuve en cas de contestation sur la confidentialité ou l’intégrité des données.
1 En cas de changement d"hébergeur, IDS s'engage à restituer au GEP l'intégralité des données qu'il lui ont été confiées afin qu'elles soient déposées chez le nouvel hébergeur.
2 Au sens de l'Article L1110-4 du code de la santé publique.
3 Pour l'impression du CVE, un lien à usage unique dont la validité est limitée à 24 heures est envoyé par courriel au titulaire du compte.
4 Cette fonctionnalité est en cours de remplacement par la détermination automatique du calendrier vaccinal personnalisé des prochaines échéances vaccinales.