Charte GP v1.2.

La création de votre Carnet de Vaccination Électronique est soumise à la lecture et à l’acceptation de cette charte.

Infos légales de l'éditeur

1 - Définition préalable de l’Utilisateur

Est considéré comme Utilisateur tout titulaire du carnet de vaccination électronique (CVE), que ce soit pour son propre compte ou pour celui d’une personne dont il est le responsable légal.

2 - Objet de la charte

Le CVE est édité par le Groupe d’Études en Préventologie (GEP), association à but non lucratif indépendante des firmes pharmaceutiques. Diffusé sur le site Internet MesVaccins.net, il permet d’enregistrer les vaccins administrés et les données utiles pour déterminer si le patient est à jour ou non de ses vaccinations. Le CVE est partagé entre l'Utilisateur et un ou plusieurs professionnels de santé de son choix. Il est hébergé sur les serveurs de la société Informatique de Sécurité (IDS¹), titulaire d'un agrément d'hébergeur de données de santé à caractère personnel délivré par le Ministère de la Santé.

Le système expert de MesVaccins.net prend en compte dans les meilleurs délais (le plus souvent dans les 48 heures et au plus tard dans un délai de deux mois pour les modifications mineures) les modifications ou nouveautés concernant les dispositions légales et réglementaires ainsi que les données scientifiques et épidémiologiques ayant (ou susceptibles d’avoir) un impact significatif sur l’utilisation des vaccins. Il s’agit par exemple des résumés des caractéristiques des produits, des avis du Haut Conseil de la santé publique (HCSP) et de la Haute autorité de santé (HAS), des informations de l’Agence nationale de sécurité du médicament (Ansm) et de l’Agence européenne des médicaments (European Medicines Agency, EMA) ou encore des données épidémiologiques de l’Institut de veille sanitaire (InVS) ou de l’European Centre for Disease Prevention and Control (ECDC).

Cette charte a pour objet de préciser les modalités d’utilisation du CVE, les droits et devoirs de l'Utilisateur, des professionnels de santé et du GEP.

L’acceptation des conditions d’utilisation du CVE décrites dans cette charte entraîne le consentement exprès de l'Utilisateur.

3 - Principe de fonctionnement du Carnet de Vaccination Électronique

L’Utilisateur commence par créer un compte permettant de gérer les CVE d’une famille. Lors de la procédure de création d’un compte, un login est créé automatiquement par MesVaccins.net. Ce login est composé d’une suite de caractères (deux lettres, trois chiffres et à nouveau deux lettres, comme pour la plaque d’immatriculation d’un véhicule en France).

Une fois le compte créé, l’Utilisateur peut ajouter un ou plusieurs CVE. Pour chaque CVE, l’Utilisateur définit un pseudo. Il est conseillé de ne pas indiquer le nom de famille comme pseudo, afin de préserver l’anonymat du CVE. Puis l’Utilisateur entre le genre et la date de naissance du titulaire du CVE. Une fois enregistrée, la date de naissance n’est plus visible dès lors qu’au moins un vaccin a été enregistré (seul l’âge en années est alors visible).

Le CVE est anonyme côté Utilisateur : un accès non autorisé à un compte Utilisateur ne permet pas de connaître l’identité du titulaire du compte.

Les vaccins ajoutés à un CVE créé par l'Utilisateur sont automatiquement placés en attente de validation par un professionnel de santé.

L’Utilisateur peut décider de partager un ou plusieurs des CVE rattachés à son compte avec un ou plusieurs professionnels de santé (il est donc libre de ne pas partager son CVE avec un professionnel de santé).

Pour partager un CVE avec un professionnel de santé, l’Utilisateur doit lui fournir le code de partage qui est automatiquement créé par MesVaccins.net pour chaque compte famille. Ce code de partage comporte huit caractères alphanumériques. L’Utilisateur devra également fournir au professionnel de santé la date de naissance du titulaire du CVE à partager.

L’accès « professionnel de santé » à un CVE nécessite :

1) L’autorisation de l’Utilisateur titulaire du compte famille ;

2) L’inscription du professionnel de santé au service MesVaccins.net, qui lui fournit un identifiant et un mot de passe ;

3) Une authentification forte par une carte à puce de Professionnel de Santé (CPS) ou un dispositif équivalent. Ce procédé permet au professionnel de santé habilité par l'Utilisateur et dûment authentifié de vérifier, éventuellementde compléter ou de modifier, puis de valider les actes de vaccination pré-saisis dans le CVE en toute sécurité avec l’identité et les caractéristiques de l'Utilisateur (nom, prénom, date de naissance, code postal du domicile et lieu de naissance).

Seuls les vaccins validés sur preuve documentaire peuvent être modifiés par un autre professionnel de santé que celui qui a réalisé la validation (un vaccin réalisé et validé par un professionnel de santé donné ne peut être modifié que par ce professionnel).

4 - Droits de l'Utilisateur

4.1 Attribution des droits d’habilitation aux professionnels de santé

1. L’Utilisateur peut partager son CVE avec un ou des professionnels de santé de son choix ou avec une équipe de soins ² qui pourra ajouter, modifier, supprimer et valider les dates d’injection vaccinales.
2. L’Utilisateur gère Gérer les droits d’accès de chaque professionnel de santé avec lequel il partage son CVE : il peut à tout moment et sans justification révoquer le droit d'accès accordé à un professionnel de santé.

Dans tous les cas, ce professionnel de santé ne pourra pas accéder au CVE de l’Utilisateur sans s’être authentifié grâce à sa CPS ou à un dispositif équivalent. L’Utilisateur attribue seul le droit d’accès aux données de santé qu’il dépose, et est seul responsable en cas d’une indisponibilité, d’une perte de confidentialité ou d’une corruption liées à des erreurs d’attribution de ce droit.

Accès en urgence au CVE

Dans certaines situations (plaie avec risque de tétanos, par exemple) le professionnel de santé doit prendre en compte l’historique des vaccinations. Un accès en urgence au CVE est nécessaire lorsque l’Utilisateur ne dispose pas de son code de partage.

Si le CVE a été partagé avec au moins un professionnel de santé, le CVE est accessible en urgence (méthode dite du “bris de glace”) par un professionnel de santé dûment authentifié (cf. ci-dessus) et uniquement avec l’accord de l’Utilisateur. L’accès en urgence au CVE permet exclusivement l’affichage de l’historique des vaccinations de l’Utilisateur. L’accès en urgence ne permet pas de voir le profil santé. De plus, un courriel est automatiquement adressé à l’Utilisateur pour l’informer de tout accès en urgence par un professionnel de santé. La date et l’heure de l’accès, ainsi que l’identité du professionnel de santé ayant accédé en urgence au CVE, sont mentionnées dans ce courriel.

4.2 Rectification des données personnelles

Conformément à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, l’Utilisateur dispose d’un accès aux informations nominatives le concernant (données administratives et profil santé). Si nécessaire, il peut les modifier par l’intermédiaire du portail MesVaccins.net.

L'Utilisateur peut modifier son profil santé même s’il a été validé par un professionnel de santé. Toutefois, en cas de modification par l’utilisateur, le profil santé n’est plus validé (une nouvelle validation par un médecin est donc nécessaire).

4.3 Communication des données du CVE

L'Utilisateur peut demander au GEP (en suivant le lien « Nous contacter ») de lui communiquer :

1. les données personnelles de santé détenues ;
2. les droits d’accès accordés sur ces données ;
3. l’historique des accès aux données.

4.4 Évolutions techniques

Dans le cas où une évolution technique présenterait un risque d’impact sur le service rendu, le GEP est tenu d'informer l'Utilisateur au moins deux mois avant la date prévue de cette évolution. En cas de désaccord, il appartient à l'Utilisateur de résilier son compte durant ces deux mois.

4.5 Durée d’hébergement du CVE sur le site MesVaccins.net

La durée d’hébergement du CVE est de 20 ans à partir de la date de la dernière connexion au compte de l'Utilisateur, qu'elle ait été effectuée par l'Utilisateur lui-même ou par un professionnel de santé, et ce, quelle que soit l'action réalisée dans le CVE (lecture ou écriture).

4.6 Résiliation du service

L'Utilisateur peut supprimer son compte. Sur le site MesVaccins.Net, l'Utilisateur doit pour cela se rendre dans la partie « mon Carnet de Vaccination Électronique » puis se positionner sur l’onglet « Mon compte ». La suppression du CVE est immédiate. Aucune donnée n'est conservée en archive au delà de 30 jours.

Le GEP conseille à l'Utilisateur d’effectuer une impression préalable de l’ensemble de ses CVE (format « .pdf ») ou une sauvegarde des CVE avant la suppression du compte ³.

4.7 Modification de cette charte

En cas de modification de la charte, une notification est adressée à tous les Utilisateurs sur la messagerie interne du CVE.

5 - Modalités de fonctionnement

5.1 Identification - Confidentialité

Un identifiant (login) est généré automatiquement par le site et sont est adressé à l'Utilisateur par courriel.

1. L’identifiant n’est pas modifiable. Le mot de passe, librement choisi par l’Utilisateur, peut être modifié à tout moment après connexion préalable au compte de l’Utilisateur.
2. Le GEP n’est pas responsable de pertes de confidentialité ou d’intégrité dues à la divulgation de ces éléments. Il appartient à l'Utilisateur d’empêcher leur divulgation via l’écran, des impressions, des logiciels espions, ou toute autre méthode de consultation.

5.2 Validation du compte

La première connexion au compte permet de valider l'existence de celui-ci. Tout compte non validé dans le mois suivant sa création est considéré comme invalide et est supprimé du serveur avec l’intégralité des données qui lui sont rattachées.

L’adresse de courriel fournie lors de l’inscription de l’Utilisateur doit être validée en cliquant sur le lien contenu dans le courriel émis lors de la création du compte. En l’absence de validation, cette adresse ne pourra pas être utilisée pour la réception des alertes rappels à effectuer.

5.3 Renseignement du profil santé

Le diagnostic vaccinal se fait après recueil d’informations concernant l'Utilisateur (ou concernant la personne dont l'Utilisateur est responsable, notamment un enfant mineur) via un formulaire contextuel lié à l’âge et au sexe de chaque personne.

L'Utilisateur a la responsabilité de renseigner correctement le formulaire de recueil des éléments du profil santé. Si l'Utilisateur ne dispose pas des informations médicales ou n’est pas sûr de leur véracité, le GEP conseille à l'Utilisateur de se faire aider par son médecin traitant.

Les données obtenues par ce formulaire sont limitées aux données utiles pour déterminer les recommandations vaccinales : elles comportent des données de santé (par exemple une maladie chronique) et des données administratives (par exemple la profession). Ces données permettent d'établir un profil santé. Seul un médecin auquel l'Utilisateur aura confié le droit d'accès pourra voir, modifier et valider ce profil santé. Les professionnels de santé autres que "médecin" les médecins et ayant un droit d'accès accordé par l'Utilisateur pourront consulter le profil santé mais ne pourront ni le modifier, ni le valider. La validation du profil santé est nécessaire à la validation de l'ensemble du CVE.

5.4 Changement d’adresse de courriel ou de numéro de téléphone

Il est géré directement par l’Utilisateur dans l’espace "Mon compte" dans la partie "mon Carnet de Vaccination Électronique".  

5.5 Gestion des incidents

L’Utilisateur s’engage à notifier au GEP tout incident de sécurité constaté ou toute vulnérabilité supposée.

5.6 Perte du login

Le login d’accès au compte permettant de gérer les CVE est composé d’une suite de caractères déterminée par le serveur lors de la création du compte (deux lettres, trois chiffres et à nouveau deux lettres, comme pour la plaque d’immatriculation d’un véhicule en France). En cas d’oubli de ce login, l’Utilisateur peut demander son renvoi par courriel en cliquant sur le bouton “J’ai oublié mes identifiants”.

5.7 Perte du mot de passe

Le mot de passe est défini par l’Utilisateur lors de la création du compte de gestion des CVE. En cas d’oubli de ce mot de passe, l’Utilisateur peut demander son renvoi en cliquant sur le bouton “J’ai oublié mes identifiants”.

1. Si aucune donnée autre que la date de naissance, le sexe et le pseudo n’a été ajoutée à un moins un CVE géré par le compte, il est possible de demander le renvoi du mot de passe par courriel ;
2. Si des données autres que la date de naissance, le sexe et le pseudo ont été ajoutées (vaccination, élément du profil santé) à au moins un CVE, alors le mot de passe ne peut pas être adressé par courriel pour des raisons de sécurité. Dans ce cas, le mot de passe ne peut être renvoyé que par SMS. L’Utilisateur est donc fortement incité à indiquer dans la gestion de son compte son numéro de téléphone mobile. Le GEP s’engage à réserver l’usage de ce numéro de téléphone aux renvois de mot de passe et aux rappels d’échéances vaccinales, c’est-à-dire uniquement dans des situations où l’Utilisateur demande expressément l’envoi d’un SMS sur son numéro de téléphone mobile.

5.8 Utilisation des données

Aucune donnée nominative ne sera utilisée. Les statistiques (couverture vaccinale, fréquence des déterminants de santé...) ne feront l'objet d'aucun usage commercial et seront exclusivement réservées à des organismes gouvernementaux (Institut de veille sanitaire, Agences régionales de santé, Agence nationale de sécurité du médicament et des produits de santé).

5.9. Clause de non responsabilité

Les outils d’aide à la décision développés par le GEP permettent de diffuser pour le grand public et pour les professionnels de santé des informations personnalisées sur les sites mesvaccins.net et medecinedesvoyages.net. Ces informations sont fondées sur les avis ou documents officiels publiés par les autorités sanitaires, dont les sources sont indiquées. En cas de doute ou de difficulté d’interprétation, l’utilisateur est invité à demander l'avis d'un professionnel de santé. Différents processus (étapes de rédaction, validation et contrôle des textes diffusés et des règles de recommandations, envoi par email des règles modifiées aux experts pour vérification et tests, contrôle en double aveugle et automatique des résultats déterminés par les règles) et une démarche d’assurance de la qualité ont été mis en place pour s’assurer de la qualité des informations et recommandations diffusées. Cependant, malgré tous nos efforts, l’absence totale d’erreur ne peut être garantie. L'utilisateur grand public ou professionnel de santé ne pourra se retourner contre le Groupe d'études en préventologie s'il estime avoir subi un préjudice lié à la nature des informations diffusées sur le site mesvaccins.net ou sur le site medecinedesvoyages.net.

Annexe 1 : Que peut faire un Utilisateur ?

L'Utilisateur peut :

1. Créer un compte avec sa seule adresse de courriel ;
2. Effacer son compte sans laisser de trace sur le serveur ;
3. Modifier son adresse de courriel ;
4. Créer des CVE pour toute sa famille (15 carnets maximum par compte) ;
5. Transférer un CVE vers un autre compte ;
6. Importer un CVE depuis un autre compte ;
7. Partager un CVE avec un ou plusieurs professionnels de santé de son choix ;
8. Gérer les droits d’accès de chaque professionnel de santé avec lequel il partage un CVE ;
9. Importer un CVE créé par un professionnel de santé pour en partager la gestion ;
10. Ajouter des dates d’actes vaccinaux à chaque CVE (celles-ci devront être validées par un professionnel de santé pour être authentifiées) ;
11. Modifier les vaccinations (tant qu’elles n’ont pas été validées par un professionnel de santé) ;
12. Effacer les vaccinations (tant qu’elles n’ont pas encore été validées par un professionnel de santé) ;
13. Ajouter des dates d’actes prévisionnels ⁴, pouvant déclencher (en option) un courriel / SMS d’alerte Utilisateur à la date définie ;
14. Modifier les dates d’actes prévisionnels ;
15. Effacer les dates d’actes prévisionnels ;
16. Transformer une date d’acte prévisionnel en acte effectué ;
17. Compléter le formulaire personnalisé, permettant d'établir son profil santé. Ce formulaire permet i) de déterminer la liste des maladies contre lesquelles l'Utilisateur devrait être protégé ii) d’adapter individuellement le schéma de vaccination. La confrontation entre ces recommandations et les antécédents vaccinaux de l'Utilisateur permet d’établir un diagnostic vaccinal (Utilisateur à jour ou non pour chaque maladie à prévention vaccinale) et de déterminer les dates des prochaines échéances vaccinales ;
18. Imprimer son CVE : une procédure permettant de sauvegarder l’anonymat de l’espace "Carnet de Vaccination Électronique" tout en permettant d’imprimer un carnet a été mise en place. Elle repose sur le principe qu’il n’est pas possible d’imprimer un carnet directement à partir de l’espace CVE (espace totalement anonyme) mais à partir d’un lien à usage unique dont la validité est limitée à 24 heures, envoyé par courriel au titulaire du compte. Au delà de 24 heures ou après utilisation, le lien est détruit. L’accès au lien doit être de plus validé par la saisie du mot de passe du compte. Ce lien permet d’imprimer le CVE mais ne permet en aucun cas d’accéder au profil santé ou à l’espace CVE. Seuls les vaccins validés par un professionnel de santé seront imprimés.

Annexe 2 : Conditions d'hébergement

1 - Cadre législatif

Le CVE respecte les textes réglementaires suivants concernant les données informatisées de santé à caractère personnel :  

1. CNIL : Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004. Le CVE a fait l’objet d’une demande d’autorisation auprès de la CNIL enregistrée sous le numéro 1485378.
2. Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé. Un professionnel de santé dûment habilité par le patient n’a accès à son CVE qu’après authentification forte grâce à sa carte de professionnel de santé.
3. Décret n° 2006-6 du 4 janvier 2006 : conditions d’hébergement « des données de santé à caractère personnel ». Le CVE est hébergé sur les serveurs de la société IDS, qui possède l'agrément délivré par le Ministère de la Santé pour l’hébergement de données de santé.

2 - Conditions d’hébergement

2.1 Avant-propos

Le GEP recourt, pour la fourniture du CVE, à un hébergement agréé de données de santé à caractère personnel auprès de la société IDS ("Informatique de Sécurité").

2.2 Prestation

2.2.1 Description des prestations

IDS met à la disposition du GEP un environnement d’exécution de ses logiciels assurant la fourniture du service CVE pour l’Utilisateur. IDS assure pour le compte du GEP :

1. La résolution dynamique des noms de domaines associés au service CVE en fonction de la disponibilité des accès Internet vers l’infrastructure d’IDS ;
2. Le cryptage des communications entre les terminaux des Utilisateurs ou des professionnels de santé et ses serveurs ;
3. L’authentification des professionnels de santé, grâce notamment aux cartes de la famille CPS ;
4. La sauvegarde quotidienne des données déposées ;
5. La constitution et l’archivage de journaux des événements du système et de l’application ;
6. La publication d’un tableau de bord de qualité de service ;
7. La restitution au GEP des données déposées en fin de contrat d'hébergement.

2.2.2 Description des moyens

IDS réalise ses prestations au moyen de plusieurs centres de communication, de traitement et de stockage de données. Certains de ces centres peuvent être hébergés dans les locaux de prestataires externes, mais ils sont opérés exclusivement par des personnels d’IDS sous les conditions décrites dans le présent document.

2.2.3 Indicateurs de qualité de service

IDS rend accessible aux Utilisateurs de l’application un tableau de bord, permettant au GEP de consulter pour le mois précédent :

Le taux de disponibilité de l’application, mesuré par une tentative de connexion automatique toutes les 5 minutes ;

Les fiches de description des incidents de confidentialité répertoriés, ventilées par rubriques :

1. Analyse en cours ;
2. Incidents imputables aux Utilisateurs ou aux professionnels de santé ;
3. Incidents imputables au GEP ;
4. Incidents imputables à IDS.

Les fiches de description des incidents d’intégrité ou de disponibilité répertoriés, ventilés par rubriques :

1. Analyse en cours ;
2. Incidents imputables aux Utilisateurs ou aux professionnels de santé ;
3. Incidents imputables au GEP ;
4. Incidents imputables à IDS.

2.3 Suspension du service

IDS se réserve le droit de suspendre en dernier recours l’accès à l’application lorsque son maintien ne lui permettrait pas de respecter ses obligations légales présentes ou futures, notamment en termes de confidentialité et de méthodes d’authentification.

2.4 Journalisation des accès

IDS constitue un historique des accès à l’application et aux données personnelles de santé. L’Utilisateur peut en demander une copie au GEP via l’adresse de contact du site MesVaccins.net. L'Utilisateur accepte cet historique comme preuve en cas de contestation sur la confidentialité ou l’intégrité des données.

---

¹ En cas de changement d"hébergeur, IDS s'engage à restituer au GEP l'intégralité des données qu'il lui ont été confiées afin qu'elles soient déposées chez le nouvel hébergeur.

² Au sens de l'Article L1110-4 du code de la santé publique.

³ Pour l'impression du CVE, un lien à usage unique dont la validité est limitée à 24 heures est envoyé par courriel au titulaire du compte.

⁴ Cette fonctionnalité est en cours de remplacement par la détermination automatique du calendrier vaccinal personnalisé des prochaines échéances vaccinales.