Quelques mises au point au lendemain de l’agrément hébergeur de données de santé (HDS) de Apicrypt V2
La messagerie MSSanté est opérationnelle depuis juin 2014. (Inscription DGOS/PF5/2014/361 du 23 décembre 2014)
La gouvernance est assurée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), l’Agence des Systèmes d’Information Partagés de Santé (ASIP santé), sous l’autorité de la Commission Nationale de l’Informatique et des Libertés (CNIL).
On note actuellement une montée en puissance de MSSanté, notamment sous l’impulsion de la CNAMTS.
Mais Apicrypt est historiquement la première messagerie sécurisée. Elle existe depuis plus de 20 ans. Elle a été créée à l’initiative de médecins libéraux.
Elle est toujours leader à l’ère de la généralisation de ce type de messagerie sous l’autorité des pouvoirs publics.
Fin 2015, Apicrypt occupait le terrain avec 61 millions de messages en un an. Elle est simple à utiliser, elle s’est étendue depuis 20 ans par le bouche à oreille sur le monde associatif, bénéficiant du soutien de nombreuses instances professionnelles. La messagerie est utilisée par 133 spécialités médicales et paramédicales. Apicrypt est déjà présente dans 1200 établissements de soins et 1700 EPHAD.
Alors que toujours en 2005, quelques éditeurs sont compatibles MSSanté, ils sont 300 à avoir intégré Apicrypt.
Selon les derniers chiffres affichés par l’Apicem (l’éditeur d’Apicrypt), la messagerie a maintenant passé la barre des 70.000 utilisateurs et a permis l’échange de 76 millions de messages en un an.
Le système Apicrypt V1 actuellement utilisé, peut montrer des anomalies lors la transmission des données avec à l’arrivée des documents illisibles, cela serait dû d’après l’Apicem à l’éditeur du dossier métier du praticien qui n’aurait pas intégré les dernières versions des composants Apicrypt, ces erreurs n’étant pas dues à Apicrypt elle-même
D’après l’ Apicem on a assisté à une « campagne de désinformation » de la part des délégués des caisses primaires d’assurance maladie indiquant à certains médecins « l’obligation d’utiliser une messagerie sécurisée » et de « l’interdiction d’utiliser APICRYPT » dans sa version V1. Ce qui faisait apparaitre comme obligatoire le choix du système MSSanté, alors que ce qui est obligatoire est d’utiliser une messagerie sécurisée. Nuance !
Certaines informations délivrées par des agents des CPAM précisaient que l’interdiction d’utiliser Apicrypt était liée à la rémunération sur objectifs de santé publique (ROSP) (Note 1). En réalité, l’utilisation d’Apicrypt n’est pas bloquante pour le dispositif ROSP. Si un système de messagerie sécurisée est éclairement obligatoire, la CNIL est restée techniquement neutre en laissant aux professionnels et établissements de santé la liberté de choisir leur système de messagerie sécurisée, les médecins sont donc libre d’utiliser tout type de messagerie médicale sécurisée. En effet la CNIL a délivré une autorisation unique de traitement des données de santé par messagerie sécurisée, promulguée par la délibération n°2014-239 du 12 juin 2014.
Finalement début juin 2017 à Marseille, au congrès de la FMF, le Directeur Général de la CNAMTS, Nicolas Revel, a assuré que les médecins utilisant Apicrypt pourraient bénéficier du forfait structure, même si cette messagerie ne fait pas encore partie de l’espace de confiance de MSSanté. Le directeur faisant taire ainsi et définitivement ce « malentendu ».
Un deuxième « malentendu » concerne le recours à un hébergeur de données agréé, cela est nécessaire lorsque des données sont hébergées durablement, mais concernant Apicrypt V1 les données étaient simplement conservées le temps de leur acheminement vers le destinataire, il n’y avait donc pas besoin d’être agréé hébergeur de données de santé. (Note 2)
Afin de contrôler le format des données échangées au travers du système Apicrypt, la société Apicem a produit le système Apicrypt V2 qui permet d’améliorer l’échange d’informations par la mise en œuvre d’un service de normalisation des données.
Le but de la V2 étant exclusivement lié à l’interopérabilité avec les messageries intégrées dans l’espace de confiance MSSanté. Dans ce contexte, il est alors techniquement nécessaire que V2 soit agréée pour l’hébergement de données de santé.
L’APICEM avait donc engagé toutes les démarches nécessaires à l’intégration de l’espace de confiance MSSanté encadré par la CNAMTS.
Apicrypt a reçu le 16 octobre 2015 le label France Cyber security (note 3) pour Apicrypt V2 décernée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Ce label atteste de l’évolution d’Apicrypt vers la signature systématique et obligatoire de tous les messages et la traçabilité de toutes les étapes de la transmission permettant la mise en place de l’interopérabilité avec MSSanté. Cette étape étant franchie l’Apicem déposait dans la foulée un dossier pour faire agréer ses serveurs comme Hébergeur de Données de Santé (HDS).
Mais cet agrément n’était toujours pas effectif fin Mai 2017.
Pourtant en cette fin Mai 2017, Apicrypt continue sa progression en tête, avec près de 70 000 utilisateurs dont 41 150 libéraux et affirme équiper 50% des médecins informatisés de France. Le nombre d’utilisateurs hospitaliers a cru de 22% en un an pour atteindre 19 000. Apicrypt est implantée dans 25 CHR-CHU sur 32 et 2000 EHPAD et équipe 95% des laboratoires de biologie. 75 millions de messages ont été échangés en un an.
L’Apicem estime toutefois avoir été victime de discrimination, le système Apicrypt semble souffrir d’un défaut de considération et reconnaissance de la part des pouvoirs publics qui de fait semble vouloir le marginaliser par rapport au système MSSanté. Cela semble particulièrement injuste lorsque l’on considère que Apicryt est le pionnier et le numéro un de la transmission sécurisée.
Voilà en effet ce que déclare l’Apicem en Mai 2017 :
« Le dossier de demande d’agrément comme hébergeur de santé est toujours en cours d’instruction » depuis 27 mois déjà, au lieu des 8 mois réglementaires et alors même que les experts de l’ASIP et de la CNIL se sont déjà prononcés. Néanmoins, l’instruction se prolonge et il est demandé à l’APICEM SARL de réaliser des formalités supplémentaires, non prévues par les textes, tel qu’un audit de sécurité par un prestataire tiers (audit PASSI) .
Malgré le caractère discriminatoire de ces demandes et le fait qu’aucun autre candidat à l’hébergement ne les ait subies, l’APICEM SARL a répondu favorablement à cette demande afin de faciliter les discussions et tenter de faire avancer ce dossier. Puis, l’APICEM SARL s’est vue indiquer, le 9 mai 2017, qu’une « ultime question » allait lui être adressée. Cette ultime question ne lui est toujours pas parvenue… L’obtention de cet agrément serait la première étape pour entreprendre les travaux d’interopérabilité avec l’espace de confiance MSS encadré par la CNAMTS.
Après plus de deux ans d’attente et un investissement couteux en démarches administratives sans avancement significatif ou décision sur la demande, le dossier est au statu quo alors que l’APICEM SARL a démontré son implication à diverses reprises. Cette rétention du dossier au niveau du comité hébergeur n’est pas conforme au code de la santé publique. Quand l’ASIP Santé communique sur le travail que doit faire l’APICEM, il semble important de rétablir la vérité sur l’implication de chacun dans l’intérêt des praticiens utilisateurs de messageries et surtout dans l’intérêt des patients. Le changement est en marche…
Suite au changement annoncé au sein du Ministère, l’APICEM SARL qui n’a jamais souhaité rester inactive et impuissante a pris l’initiative de transmettre le 21 mai dernier un courrier à la nouvelle Ministre, le Pr Agnès Buzyn, qui semble résolue à rétablir le dialogue avec les professionnels de santé. Dans ce courrier, il est question du détail des différents retards injustifiés pris sur l’instruction du dossier en question.
Comme par miracle ce 28 Juin, peu de temps après ces démarches auprès de la Ministre, Michel Gagneux, Directeur de l’Agence des Systèmes d’Information Partagés de Santé (Asip santé), chargé d’instruire les dossiers, annonce que le comité d’agrément des Hébergeurs de Données de Santé (HDS) a rendu un avis favorable afin que l’éditeur Apicem obtienne l’agrément HDS pour sa messagerie Apicrypt V2.
Dans un communiqué Michel Gagneux tente de démontrer toute la bonne foi des pouvoirs publics ajoutant que l’éditeur « aurait pu passer cette étape depuis longtemps s’il avait fourni tous les éléments nécessaires »…
Maintenant, Apicrypt V2 pour intégrer l’espace de confiance MSSanté, doit être rendue interopérable avec l’ensemble des autres opérateurs de messagerie présents dans MSSanté. Elle doit aussi être déployée auprès des professionnels de santé qui utilisent toujours pour le moment la première version de la messagerie.
Pour faciliter cela, et avec des paroles d’apaisement Michel Gagneux conclu:
« Sur ce terrain-là comme sur d’autres, si l’Apicem a besoin de notre aide, ils l’auront », il considére l’intégration d’Apicrypt V2 dans l’espace de confiance comme « un sujet d’intérêt général ».
Et ajoute:
« Je suis respectueux du patrimoine que représente la clientèle d’Apicrypt, composée de professionnels qui ont été pionniers dans l’utilisation de messageries sécurisées, et je reste attentif à ce qu’ils puissent bénéficier du même niveau de service »
Ainsi est clos (semble-t-il) un conflit ouvert entre l’éditeur et les pouvoirs publics qui durait depuis plusieurs années.
Mais le temps perdu c’est fait au détriment de l’éditeur Apicem, en effet dans l’intervalle, les éditeurs de dossier métiers, encouragés par la CPAM, n’installaient dans les cabinets que la messagerie MSSanté la couplant au fichier patient.
A noter par ailleurs que l’installation de la messagerie MSSanté par des techniciens parfois insuffisamment formés n’était parfois pas toujours suivie de la possibilité de son utilisation effective.
Le bon marqueur de la généralisation de l’usage des messageries cryptées, n’est donc pas le nombre de médecin équipé, mais le nombre de médecin qui l’utilise ! Et les chiffres ne sont pas du tout les mêmes …