Charte grand public - v2.0

Charte GP v2.0a.

La création de votre Carnet de Vaccination Numérique est soumise à la lecture et à l’acceptation de cette charte.

Infos légales de l'éditeur

1 - Définition préalable de l’Utilisateur

Est considéré comme Utilisateur tout titulaire du carnet de vaccination numérique (CVN), que ce soit pour son propre compte ou pour celui d’une personne dont il est le responsable légal.

2 - Objet de la charte

Le CVN est édité par le Groupe d’Études en Préventologie (GEP), association à but non lucratif indépendante des firmes pharmaceutiques. Diffusé sur le site Internet MesVaccins.net, il permet d’enregistrer les vaccins administrés et les données utiles pour déterminer si le patient est à jour ou non de ses vaccinations. Le CVN est partagé entre l'Utilisateur et un ou plusieurs professionnels de santé de son choix. Il est hébergé sur les serveurs de la société GPLExpert ¹, titulaire d'un agrément d'hébergeur de données de santé à caractère personnel délivré par le Ministère de la Santé.

Le système expert de MesVaccins.net prend en compte dans les meilleurs délais (le plus souvent dans les 48 heures et au plus tard dans un délai de deux mois pour les modifications mineures) les modifications ou nouveautés concernant les dispositions légales et réglementaires ainsi que les données scientifiques et épidémiologiques ayant (ou susceptibles d’avoir) un impact significatif sur l’utilisation des vaccins. Il s’agit par exemple des résumés des caractéristiques des produits, des avis du Haut Conseil de la santé publique (HCSP) et de la Haute autorité de santé (HAS), des informations de l’Agence Nationale de Sécurité du Médicament (ANSM) et de l’Agence européenne des médicaments (European Medicines Agency, EMA) ou encore des données épidémiologiques de l’Institut de veille sanitaire (InVS) ou de l’European Centre for Disease Prevention and Control(ECDC).

Cette charte a pour objet de préciser les modalités d’utilisation du CVN, les droits et devoirs de l'Utilisateur, des professionnels de santé et du GEP.

L’acceptation des conditions d’utilisation du CVN décrites dans cette charte entraîne le consentement exprès de l'Utilisateur.

3 - Principe de fonctionnement du Carnet de Vaccination Numérique

L’Utilisateur commence par créer un compte permettant de gérer les CVN d’une famille. Lors de la procédure de création d’un compte, un login et un mot de passe sont exigés, ainsi qu'un numéro de téléphone mobile permettant une double authentification, par envoi d'un OTP.

Une fois le compte créé, l’Utilisateur peut ajouter un ou plusieurs CVN.

Les vaccins ajoutés à un CVN créé par l'Utilisateur sont automatiquement placés en attente de validation par un professionnel de santé.

L’Utilisateur peut décider de partager un ou plusieurs des CVN rattachés à son compte avec un ou plusieurs professionnels de santé (il est donc libre de ne pas partager son CVN avec un professionnel de santé).

Pour partager un CVN avec un professionnel de santé, l’Utilisateur doit sélectionner les professionnels de santé avec lesquels il souhaite partager un carnet.

L’accès « professionnel de santé » à un CVN nécessite :

1. L’autorisation de l’Utilisateur titulaire du compte famille ;

2. L’inscription du professionnel de santé au service MesVaccins.net ;

3. Une authentification forte soit par carte à puce de Professionnel de Santé (CPS) ou par double authentification. Ce procédé permet au professionnel de santé habilité par l'Utilisateur et dûment authentifié de vérifier, éventuellement de compléter, puis de valider les actes de vaccination pré-saisis dans le CVN en toute sécurité avec l’identité et les caractéristiques de l'Utilisateur (nom, prénom, date de naissance, code postal du domicile et lieu de naissance).

Seuls les vaccins validés sur preuve documentaire peuvent être modifiés par un autre professionnel de santé que celui qui a réalisé la validation(un vaccin réalisé et validé par un professionnel de santé donné ne peut être modifié que par ce professionnel).

4 - Droits de l'Utilisateur

4.1Attribution des droits d’habilitation aux professionnels de santé

1. L’Utilisateur peut partager son CVN avec un ou des professionnels de santé de son choix ou avec une équipe de soins ² qui pourra ajouter, modifier, supprimer et valider les dates d’injection vaccinales.
2. L’Utilisateur peut gérer les droits d’accès de chaque professionnel de santé avec lequel il partage son CVN : il peut à tout moment et sans justification révoquer le droit d'accès accordé à un professionnel de santé.

Dans tous les cas, ce professionnel de santé ne pourra pas accéder au CVN de l’Utilisateur sans s’être authentifié grâce à sa CPS ou à un procédé de double authentification. L’Utilisateur attribue seul le droit d’accès aux données de santé qu’il dépose, et est seul responsable en cas d’une indisponibilité, d’une perte de confidentialité ou d’une corruption liées à des erreurs d’attribution de ce droit.

4.2 Rectification des données personnelles

Conformément à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, l’Utilisateur dispose d’un accès aux informations nominatives le concernant (données administratives et profil santé). Si nécessaire, il peut les modifier par l’intermédiaire du portail MesVaccins.net.

L'Utilisateur peut modifier son profil santé même s’il a été validé par un professionnel de santé. Toutefois, en cas de modification par l’utilisateur, le profil santé n’est plus validé (une nouvelle validation par un médecin est donc nécessaire).

4.3 Communication des données du CVN

L'Utilisateur peut demander au GEP (en suivant le lien « Nous contacter ») de lui communiquer :

1. les données personnelles de santé détenues ;
2. les droits d’accès accordés sur ces données ;
3. l’historique des accès aux données.

4.4 Évolutions techniques

Dans le cas où une évolution technique présenterait un risque d’impact sur le service rendu, le GEP est tenu d'informer l'Utilisateur au moins deux mois avant la date prévue de cette évolution. En cas de désaccord, il appartient à l'Utilisateur de résilier son compte durant ces deux mois.

4.5 Durée d’hébergement du CVN sur le site MesVaccins.net

La durée d’hébergement du CVN est de 20 ans à partir de la date de la dernière connexion au compte de l'Utilisateur, qu'elle ait été effectuée par l'Utilisateur lui-même ou par un professionnel de santé, et ce, quelle que soit l'action réalisée dans le CVN (lecture ou écriture).

4.6 Résiliation du service

L'Utilisateur peut supprimer son compte. Pour exercer ce droit, l'Utilisateur doit supprimer tous ces carnets de son espace puis demander la suppression de son compte en adressant un ticket au support (https://support-cvn.mesvaccins.net). La suppression du CVN est immédiate.

Le GEP conseille à l'Utilisateur d’effectuer une impression préalable de l’ensemble de ses CVN (format « .pdf ») ou une sauvegarde des CVN avant la suppression du compte.

4.7 Modification de cette charte

En cas de modification de la charte, une notification est adressée à tous les Utilisateurs sur la messagerie interne du CVN.

5 - Modalités de fonctionnement

5.1 Identification - Confidentialité

L'accès au compte de l'Utilisateur repose sur un système de double authentification. L'identifiant (login) est l'adresse email de l'Utilisateur. Il doit être validé par un lien reçu lors de l'inscription. Le numéro de mobile doit également être validé après réception d'un SMS.

1. L!identifiant (adresse email), le mot de passe et le numéro de téléphone mobile, librement choisis par l’Utilisateur, peuvent être modifiés à tout moment après connexion préalable au compte de l’Utilisateur.
2. Le GEP n’est pas responsable de pertes de confidentialité ou d’intégrité dues à la divulgation de ces éléments. Il appartient à l'Utilisateur d’empêcher leur divulgation via l’écran, des impressions, des logiciels espions, ou toute autre méthode de consultation.

5.2 Validation du compte

L’adresse de courriel fournie lors de l’inscription de l’Utilisateur doit être validée en cliquant sur le lien contenu dans le courriel émis lors de la création du compte. En l’absence de validation, l'accès au compte est impossible.

Le numéro de téléphone mobile fourni lors de l’inscription de l’Utilisateur doit être validée en reportant le code émis par SMS lors de la création du compte. En l’absence de validation, l'accès au compte est impossible.

5.3 Renseignement du profil santé

Le diagnostic vaccinal se fait après recueil d’informations concernant l'Utilisateur (ou concernant la personne dont l'Utilisateur est responsable, notamment un enfant mineur) via un formulaire contextuel lié à l’âge et au sexe de chaque personne.

L'Utilisateur a la responsabilité de renseigner correctement le formulaire de recueil des éléments du profil santé. Si l'Utilisateur ne dispose pas des informations médicales ou n’est pas sûr de leur véracité, le GEP conseille à l'Utilisateur de se faire aider par son médecin traitant.

Les données obtenues par ce formulaire sont limitées aux données utiles pour déterminer les recommandations vaccinales : elles comportent des données de santé (par exemple une maladie chronique) et des données administratives (par exemple la profession). Ces données permettent d'établir un profil santé. Seul un médecin auquel l'Utilisateur aura confié le droit d'accès pourra voir, modifier et valider ce profil santé. Les professionnels de santé autres que "médecin" les médecins et ayant un droit d'accès accordé par l'Utilisateur pourront consulter le profil santé mais ne pourront ni le modifier, ni le valider. La validation du profil santé est nécessaire à la validation de l'ensemble du CVN.

5.4 Changement d’adresse de courriel ou de numéro de téléphone mobile

Ces changements sont directement gérés par l’Utilisateur dans l’espace "Mon compte" de "mon Carnet de Vaccination Numérique".

5.5 Gestion des incidents

L’Utilisateur s’engage à notifier au GEP tout incident de sécurité constaté ou toute vulnérabilité supposée.

5.6 Perte du mot de passe

Le mot de passe est défini par l’Utilisateur lors de la création du compte de gestion des CVN. En cas d’oubli de ce mot de passe, l’Utilisateur peut demander son renvoi en cliquant sur le bouton “Mot de passe oublié ?”.

5.7 Utilisation des données

Aucune donnée nominative ne sera utilisée. Les statistiques (couverture vaccinale, fréquence des déterminants de santé...) ne feront l'objet d'aucun usage commercial et seront exclusivement réservées à des organismes gouvernementaux (Institut de veille sanitaire, Agences régionales de santé, Agence nationale de sécurité du médicament et des produits de santé).

5.8. Clause de non responsabilité

Les outils d’aide à la décision développés par le GEP permettent de diffuser pour le grand public et pour les professionnels de santé des informations personnalisées sur les sites mesvaccins.net et medecinedesvoyages.net. Ces informations sont fondées sur les avis ou documents officiels publiés par les autorités sanitaires, dont les sources sont indiquées. En cas de doute ou de difficulté d’interprétation, l’utilisateur est invité à demander l'avis d'un professionnel de santé. Différents processus (étapes de rédaction, validation et contrôle des textes diffusés et des règles de recommandations, envoi par email des règles modifiées aux experts pour vérification et tests, contrôle en double aveugle et automatique des résultats déterminés par les règles) et une démarche d’assurance de la qualité ont été mis en place pour s’assurer de la qualité des informations et recommandations diffusées. Cependant, malgré tous nos efforts, l’absence totale d’erreur ne peut être garantie. L'utilisateur grand public ou professionnel de santé ne pourra se retourner contre le Groupe d'études en préventologie s'il estime avoir subi un préjudice lié à la nature des informations diffusées sur le site mesvaccins.net ou sur le site medecinedesvoyages.net.

Annexe 1 : Que peut faire un Utilisateur ?

L'Utilisateur peut :

1. Créer un compte avec son adresse de courriel et son numéro de téléphone mobile ;
2. Effacer son compte sans laisser de trace sur le serveur ;
3. Modifier son adresse de courriel ;
4. Créer des CVN pour toute sa famille (15 carnets maximum par compte) ;
5. Transférer un CVN vers un autre compte ;
6. Importer un CVN depuis un autre compte ;
7. Partager un CVN avec un ou plusieurs professionnels de santé de son choix ;
8. Gérer les droits d’accès de chaque professionnel de santé avec lequel il partage un CVN ;
9. Importer un CVN créé par un professionnel de santé pour en partager la gestion ;
10. Ajouter des dates d’actes vaccinaux à chaque CVN (celles-ci devront être validées par un professionnel de santé pour être authentifiées) ;
11. Modifier les vaccinations (tant qu’elles n’ont pas été validées par un professionnel de santé) ;
12. Effacer les vaccinations (tant qu’elles n’ont pas encore été validées par un professionnel de santé) ;
13. Ajouter des dates d’actes prévisionnels ³, pouvant déclencher (en option) un courriel / SMS d’alerte Utilisateur à la date définie ;
14. Modifier les dates d’actes prévisionnels ;
15. Effacer les dates d’actes prévisionnels ;
16. Transformer une date d’acte prévisionnel en acte effectué ;
17. Compléter le formulaire personnalisé, permettant d'établir son profil santé. Ce formulaire permet i) de déterminer la liste des maladies contre lesquelles l'Utilisateur devrait être protégé ii) d’adapter individuellement le schéma de vaccination. La confrontation entre ces recommandations et les antécédents vaccinaux de l'Utilisateur permet d’établir un diagnostic vaccinal (Utilisateur à jour ou non pour chaque maladie à prévention vaccinale) et de déterminer les dates des prochaines échéances vaccinales ;
18. Imprimer son CVN.

Annexe 2 : Conditions d'hébergement

1 - Cadre législatif

Le CVN respecte les textes réglementaires suivants concernant les données informatisées de santé à caractère personnel :

1. CNIL : Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004. Le CVN a fait l’objet d’une demande d’autorisation auprès de la CNIL enregistrée sous le numéro 1485378.
2. Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé. Un professionnel de santé dûment habilité par le patient n’a accès à son CVN qu’après authentification forte grâce à sa carte de professionnel de santé.
3. Décret n° 2006-6 du 4 janvier 2006 : conditions d’hébergement « des données de santé à caractère personnel ». Le CVN est hébergé sur les serveurs de la société GPLExpert, qui possède l'agrément délivré par le Ministère de la Santé pour l’hébergement de données de santé.

2 - Conditions d’hébergement

2.1 Avant-propos

Le GEP recourt, pour la fourniture du CVN, à un hébergement agréé de données de santé à caractère personnel auprès de la société GPLExpert.

2.2 Prestation

2.2.1 Description des prestations

GPLExpert met à la disposition du GEP un environnement d’exécution de ses logiciels assurant la fourniture du service CVN pour l’Utilisateur. GPLExpert assure pour le compte du GEP :

1. La résolution dynamique des noms de domaines associés au service CVN en fonction de la disponibilité des accès Internet vers l’infrastructure de GPLExpert ;
2. Le cryptage des communications entre les terminaux des Utilisateurs ou des professionnels de santé et ses serveurs ;
3. L’authentification des professionnels de santé, grâce notamment aux cartes de la famille CPS ;
4. La sauvegarde quotidienne des données déposées ;
5. La constitution et l’archivage de journaux des événements du système et de l’application ;
6. La publication d’un tableau de bord de qualité de service ;
7. La restitution au GEP des données déposées en fin de contrat d'hébergement.

2.2.2 Description des moyens

GPLExpert réalise ses prestations au moyen de plusieurs centres de communication, de traitement et de stockage de données. Certains de ces centres peuvent être hébergés dans les locaux de prestataires externes, mais ils sont opérés exclusivement par des personnels de GPLExpert sous les conditions décrites dans le présent document.

2.2.3 Indicateurs de qualité de service

GPLExpert rend accessible aux Utilisateurs de l’application un tableau de bord, permettant au GEP de consulter pour le mois précédent :

Le taux de disponibilité de l’application, mesuré par une tentative de connexion automatique toutes les 5 minutes ;

Les fiches de description des incidents de confidentialité répertoriés, ventilées par rubriques :

1. Analyse en cours ;
2. Incidents imputables aux Utilisateurs ou aux professionnels de santé ;
3. Incidents imputables au GEP ;
4. Incidents imputables à GPLExpert.

Les fiches de description des incidents d’intégrité ou de disponibilité répertoriés, ventilés par rubriques :

1. Analyse en cours ;
2. Incidents imputables aux Utilisateurs ou aux professionnels de santé ;
3. Incidents imputables au GEP ;
4. Incidents imputables à GPLExpert.

2.3 Suspension du service

GPLExpert se réserve le droit de suspendre en dernier recours l’accès à l’application lorsque son maintien ne lui permettrait pas de respecter ses obligations légales présentes ou futures, notamment en termes de confidentialité et de méthodes d’authentification.

2.4 Journalisation des accès

GPLExpert constitue un historique des accès à l’application et aux données personnelles de santé. L’Utilisateur peut en demander une copie au GEP via l’adresse de contact du site MesVaccins.net. L'Utilisateur accepte cet historique comme preuve en cas de contestation sur la confidentialité ou l’intégrité des données.

¹ En cas de changement d"hébergeur, GPLExpert s'engage à restituer au GEP l'intégralité des données qu'il lui ont été confiées afin qu'elles soient déposées chez le nouvel hébergeur.

² Au sens de l'Article L1110-4 du code de la santé publique.

³ Cette fonctionnalité est en cours de remplacement par la détermination automatique du calendrier vaccinal personnalisé des prochaines échéances vaccinales.