Article de fond
Interview
Protection des données: tout savoir sur la révision de la loi
Législation La révision totale de la loi sur la protection des données est en vigueur depuis le 1er septembre. Elle concerne tout particulièrement les médecins, qui traitent régulièrement des données personnelles. Le département Numérisation / eHealth et le service juridique de la FMH ont compilé les réponses aux principales questions.
Quelles sont les principales nouveautés de la révision totale de la loi sur la protection des données (LPD)?
Le devoir d’information a été étendu: désormais, le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, même si les données ne sont pas collectées auprès d’elle (art. 19 LPD).
Le droit d’accès de la personne concernée a été étendu: la personne concernée doit recevoir toutes les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la loi sur la protection des données et pour que la transparence du traitement soit garantie (art. 25 LPD).
Une analyse d’impact relative à la protection des données personnelles (AIPD) doit être réalisée lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 22 LPD).
Les responsables du traitement et les sous-traitants ont l’obligation de tenir un registre de leurs activités de traitement lorsque certaines conditions sont remplies (art. 12 LPD).
Le traitement par des sous-traitants a été concrétisé (art. 9 LPD).
Un conseiller à la protection des données peut être nommé (art. 10 LPD).
Les violations de la sécurité des données doivent être annoncées au Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 24 LPD).
fullscreen
© Everythingpossible / Dreamstime
Quelles sont les nouvelles obligations des médecins qui exercent dans leur propre cabinet?
Elles varient selon la structure du cabinet. Une AIPD ne doit par exemple être réalisée que si les traitements de données ont changé après le 1er septembre 2023, notamment à la suite de l’ouverture d’un nouveau cabinet. Il existe des prescriptions concernant la tenue d’un registre des activités de traitement par les responsables et les sous-traitants, mais le Conseil fédéral a prévu des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.
Y a-t-il des différences selon la taille du cabinet?
Oui, parce que l’un des principes directeurs de la nouvelle loi sur la protection des données est l’approche basée sur les risques: plus le traitement de données présente un risque élevé au regard des droits de la personnalité, plus les obligations des responsables de traitement sont interprétées de manière stricte. Par conséquent, les mesures techniques et organisationnelles à prendre pour réduire le risque d’atteinte aux droits de la personnalité évoluent avec l’ampleur du traitement de données.
À qui les médecins peuvent-ils s’adresser pour obtenir des conseils?
Nous recommandons l’utilisation des aides de la FMH. Les grands cabinets de groupe ou collectifs ont en outre tout intérêt à recourir à des prestations de conseil correspondantes ou à faire appel à un conseiller à la protection des données pour la mise en œuvre des exigences en question.
Quels outils et modèles la FMH met-elle à disposition?
Fiche d’information sur les modifications apportées par la loi sur la protection des données révisée
Déclaration de protection des données qui peut être utilisée si le cabinet dispose de son propre site web
Modèles et guide concernant les conventions de confidentialité et de traitement des données en sous-traitance
Modèle et guide pour le registre des activités de traitement
Guide pour la conservation et l’archivage des données des patients et instructions relatives aux demandes de renseignements et de remise de données personnelles
Liste de contrôle et déroulement de la procédure en cas de violation de la protection des données au regard de l’obligation d’annoncer
Modèle de déclaration de consentement
Quand faut-il utiliser les aides?
Elles constituent un kit de base à utiliser selon les besoins, par exemple lorsque des patientes et patients demandent la remise de leurs données personnelles ou en cas de violation de la protection des données. Comme ces événements ne se produisent pas tous les jours, il est important de disposer d’aides et d’une réglementation claire des responsabilités pour les gérer.
Est-il nécessaire d’adapter les modèles à la situation du cabinet?
Oui, les modèles, en particulier la déclaration de protection des données et la déclaration de consentement, doivent être adaptés en fonction des besoins des cabinets médicaux.
Quand la patientèle doit-elle signer le formulaire de consentement?
Les patientes et patients pris en charge doivent le signer une seule fois. En cas de modifications ultérieures ou de remise de données personnelles importantes concernant la santé, il faut les en informer à nouveau et consigner cette étape.
Peut-on toujours conserver et envoyer les données des patients sous forme numérique?
Comme avant sa révision, la LPD exige, lors de la conservation et de la transmission de données numériques, la prise de mesures techniques et organisationnelles, telles que contrôles physiques des accès, utilisation de mots de passe sûrs, transmission cryptée des données, par exemple par e-mail chiffré avec HIN, etc. La FMH met des recommandations sur la sécurité informatique dans ce domaine à la disposition de ses membres.
Désormais, les données génétiques et biométriques font également partie des données de santé sensibles. Quelles données cela recouvre-t-il?
Les données génétiques sont des informations sur le patrimoine génétique d’une personne, y compris son profil ADN, obtenues par analyse génétique. Les données biométriques sont les empreintes digitales, les images du visage, les images de l’iris ou les enregistrements de la voix. Elles permettent la reconnaissance d’une personne physique, autrement dit, le système technique qui recueille ces caractéristiques doit également contenir l’identification de la personne en question. Cela ne concerne pas les photographies ordinaires.
L’accès aux données de la patientèle change-t-il pour les assistantes et assistants médicaux?
Sur le fond, rien ne change pour eux. Ce sont toujours des «auxiliaires» qui agissent sous l’autorité et sur les instructions du responsable du traitement des données afin que celui-ci puisse accomplir ses tâches. Malheureusement, on a tendance à oublier que la LPD exige que l’accès aux données dans un cabinet médical soit traçable. Il est donc judicieux que chaque assistant médical dispose d’un compte utilisateur personnel de sorte que l’on puisse déterminer qui a accédé aux données personnelles et quand.
Faut-il mettre à jour les contrats existants avec des prestataires externes?
Nous partons du principe que les prestataires adapteront leurs contrats à la nouvelle loi sur la protection des données suffisamment tôt, s’ils ne l’ont pas déjà fait. Toutefois, il arrive qu’au cours de leurs activités au cabinet médical, ils entrent accidentellement en contact avec des données personnelles sensibles. Nous recommandons dans ce cas de conclure un accord de confidentialité.
À quoi faut-il veiller lorsque le traitement des données est externalisé?
Lorsque des données sont traitées par un sous-traitant, par exemple quand un cabinet médical utilise des dossiers médicaux électroniques gérés dans le cloud par le fournisseur, il s’agit typiquement d’une externalisation. Le sous-traitant n’est autorisé à traiter ces données que conformément aux autorisations dont dispose le responsable du traitement lui-même. Ce dernier doit en outre s’assurer que le sous-traitant est en mesure d’assurer la protection et la sécurité des données. Concrètement, les accords contractuels et les risques afférents sont difficilement compréhensibles pour les profanes sans expertise technique approfondie. C’est pourquoi la FMH a rédigé un contrat-cadre de services cloud à conclure avec les prestataires concernés. Ce document est en cours d’actualisation.
Que se passe-t-il en cas de non-respect des nouvelles prescriptions?
Les infractions intentionnelles au sens de la LPD sont passibles de lourdes amendes pouvant atteindre 250 000 francs. Les infractions à la loi sur la protection des données peuvent aussi avoir des conséquences civiles, notamment en cas de non-respect par négligence des exigences minimales en matière de sécurité des données.
Que doivent faire les cabinets médicaux qui ne mettent pas encore en œuvre toutes les nouvelles dispositions?
Nous recommandons à tous les cabinets médicaux de se pencher sur la question de la LPD. Il est aussi important qu’ils sachent quelles dispositions les concernent. N’hésitez pas à consulter les aides complètes que la FMH propose sur son site Internet.
«La responsabilité doit être assumée par tous»
Reinhold Sojer, pourquoi cette révision totale de la loi sur la protection des données?
Elle a été rendue nécessaire par l’évolution rapide de la numérisation. Par ailleurs, la Suisse adapte sa législation pour la rapprocher du règlement européen sur la protection des données. Les nouvelles dispositions visent à améliorer la transparence des traitements de données. Les personnes qui font l’objet d’une collecte ou d’un traitement de données doivent être en mesure d’exercer un meilleur contrôle et de disposer de plus de pouvoir décisionnel à cet égard.
fullscreen
© Eve Kohler
Pourquoi ces changements concernent-ils particulièrement le corps médical?
Sur le fond, les réglementations concernent toutes les personnes qui traitent des données personnelles, c’est-à-dire toutes les branches. Si elles impactent davantage les médecins que les autres, c’est parce qu’ils traitent régulièrement des données personnelles sensibles. Mais il convient dans le même temps de souligner que les principes d’un traitement des données conforme à la loi ne changent pas. Les médecins exerçant en cabinet qui appliquent les dispositions de protection des données actuellement en vigueur respectent déjà dans une large mesure les nouvelles dispositions.
La FMH met de multiples aides et modèles à la disposition de ses membres. Qui a participé à leur élaboration?
Le service juridique de la FMH et notre conseiller à la protection des données Bruno Baeriswyl ont étroitement accompagné cette élaboration. Ils ont été épaulés par d’autres spécialistes des domaines de la protection des données et de la sécurité informatique. Nous remercions chaleureusement nos médecins en cliniques, qui ont vérifié l’applicabilité pratique des résultats dans les cabinets médicaux au sein de groupes de travail.
Avez-vous déjà reçu un feed-back de cabinets médicaux qui utilisent les documents?
Oui. Les avis ont pour l’instant été positifs. Bien sûr, il y a aussi des réactions négatives, mais elles se rapportent au surcroît de travail pour le corps médical. Or la FMH n’est pas responsable des dispositions de la nouvelle loi sur la protection des données. Elle s’efforce toutefois d’offrir à ses membres une aide concrète et pragmatique pour la mise en œuvre.
Globalement, il semble que les nouveautés entraînent surtout un surcroît de travail pour le corps médical.
C’est le cas. Le fait que les médecins exerçant en cabinet doivent toujours travailler avec un tarif mis au point avant le passage au numérique est non seulement insatisfaisant, mais intenable. Il est donc important de faire la différence entre les exigences en matière de protection et de sécurité des données, qui sont proportionnées en Suisse, et l’urgence d’une tarification qui tienne correctement compte des surcoûts en termes d’infrastructure et de gestion d’entreprise.
La numérisation serait-elle donc une malédiction plutôt qu’une bénédiction?
Je doute que la Suisse veuille renoncer aux avantages de la transition numérique dans les cabinets médicaux en raison des nouvelles dispositions sur la protection des données. Mais il est certain que la responsabilité que nous venons d’évoquer doit être assumée par tous, elle ne doit pas reposer sur les seules épaules des médecins exerçant en cabinet. Ce devoir concerne aussi les prestataires d’informatique pour les cabinets médicaux et d’autres services tels que le laboratoire ou l’imagerie.
Interview: Rahel Gutmann
Copyright
Published under the copyright license
“Attribution – Non-Commercial – NoDerivatives 4.0”.
No commercial reuse without permission.
See: emh.ch/en/emh/rights-and-licences/
