La CNIL a été saisie par l'Agence des Systèmes d'Information Partagés de Santé (ASIP Santé) d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre du service national de « Messagerie Sécurisée de Santé » (MMS). Le déploiement de ce service permet, entre professionnels de santé participant à la prise en charge d'un patient, l'échange sécurisé des données de santé le concernant nécessaire à la continuité des soins ou à la détermination de la meilleure prise en charge sanitaire possible. La CNIL précise dans sa délibération que « cette messagerie est une priorité pour les pouvoirs publics et les ordres professionnels qui souhaitent voir les professionnels de santé disposer d'un outil garantissant la sécurité et la confidentialité lors d'échanges de données de santé à caractère personnel. » Seuls peuvent être destinataires de ces messages les professionnels enregistrés au RPPS ou dans le système d'information qui gère les cartes de professionnels de santé et les certificats (SI CPS). L'habilitation à consulter des données de santé ne peut être attribuée qu'à des personnes soumises au secret professionnel, et dans la stricte limite de leurs missions. Conformément aux dispositions de l’article L.1110-4 du Code de la santé publique, la CNIL précise que le« patient doit être dûment averti de l'échange d'informations le concernant dans le cadre de sa prise en charge par plusieurs professionnels de santé. Elle estime nécessaire, dans ces conditions, que les spécificités de la MSS (modalités de conservation des données échangées, modalités particulières d'exercice des droits des personnes) lui soient clairement précisées, afin de lui permettre d'exercer pleinement ses droits. » S’agissant de la durée de conservation des données, la CNIL demande qu'une limite de durée de conservation des données de santé soit définie par le responsable de traitement, et qu'un mécanisme d'effacement automatique soit mis en œuvre. Sur la sécurité des données et la traçabilité des actions, il est précisé que « les professionnels de santé, utilisateurs finaux, accéderont à la MSS à l'aide de leur carte de professionnel de santé (CPS) ou par un identifiant et un mot de passe personnel, couplé à un mot de passe à usage unique (OTP) dont les caractéristiques devront être conformes aux recommandations de la CNIL en la matière. Les transmissions de données entre les serveurs de l'hébergeur et le poste de travail du professionnel de santé seront chiffrées au moyen du protocole HTTPS, qui permet de garantir la confidentialité des données échangées »

La CNIL autorise la mise en œuvre à titre expérimental de la première et de la deuxième version  du service MSS par l'ASIP Santé pendant une durée de deux ans