NOUVELLE LOI SUR LA PROTECTION DES DONNÉES (LPD) – CE QU’IL FAUT RETENIR !

La nouvelle loi suisse sur la protection des données (LPD) totalement révisée est entrée en vigueur le 1er septembre 2023. Voici les points importants pour sa mise en application :

1. Objectif de la révision : La révision vise à garantir les droits fondamentaux et la protection de la vie privée des citoyens. Elle vise également à accroître la transparence dans le traitement des données personnelles et à renforcer la protection des données grâce à une technologie adaptée. Elle ne concerne pas des données anonymisées ou des données à usage strictement personnel (p.ex. les notes personnelles, mais dont la limite reste floue, donc à bien séparer des données médicales, voire à ne plus utiliser ?)
2. Définitions (art. 5) : La nouvelle loi remplace le terme « maître du fichier » par « responsable du traitement » [… des données ! pas du traitement médical]. Les responsables du traitement doivent respecter de nouvelles dispositions légales. Le responsable est par définition la personne qui décide les finalités et moyens de traitement des données, en général (mais pas forcément !) le propriétaire du cabinet ou du centre médical (ce qui peut devoir être explicité pour les Sàrl ou les SA). Les experts du webinaire de la FMH ont conseillé aux grands cabinets ou centres de recourir à des experts externes et les plus petits feront au mieux. Nous essayerons de communiquer sur la manière de faire correctement surtout pour les structures simples.
3. Déclaration de protection des données : Les personnes concernées doivent être informées de manière transparente sur le traitement des données, y compris la finalité du traitement et les destinataires potentiels. La déclaration de protection des données doit être plus complète qu’auparavant et peut être affichée dans votre cabinet médical, à disposition en salle d’attente ou visible sur votre site internet. Un modèle de déclaration est mis à disposition sur le site de la FMH ici. Le consentement est requis pour le traitement de données sensibles, il doit être explicite et librement donné après une information adéquate. La formalisation du consentement éclairé n’est pourtant pas explicitement définie  ! Cela peut aller de la signature systématique d’un formulaire tel que conseillé par la FMH à un consentement implicite (!) basé sur la confiance et l’exercice d’une profession soumise au secret comme la notre telle que permis par l’exception de donner l’information dans l’art. 20 al. 1c . Ce sont de futures jurisprudences ou ordonnances qui vont préciser ce point. Les juristes (FMH, SVM) conseillent de suivre le principe de précaution. Libre toutefois à chacun(e) de décider de son niveau de protection légale et du risque associé (p.ex le processus mixte d’Arsanté où on informe les patients déjà suivis et on fait signer les nouveaux patients; ou juste informer, cocher dans le dossier médical informatisé et ne faire signer que les patients qui le souhaitent comme proposé par MEDIWAY). Attention, il ne faut pas confondre la déclaration de protection des données, qui doit simplement figurer sur le site internet ou être obligatoirement au minimum être disponible en salle d’attente à titre informatif, de la déclaration de consentement (ou formulaire patientèle). Toute personne peut demander les données qui la concerne, notamment en vérifier l’exactitude et de demander des corrections. Attention, un patient peut refuser de signer le document et il ne pourrait probablement plus être suivi dans le cabinet. Théoriquement, il sera possible de continuer à prendre en charge ce patient en revenant à un dossier papier. Il s’agit du choix du médecin qui pourra se faire aider dans ce type de situation par la FMH.
4. Convention de Confidentialité : Les médecins et leurs auxiliaires sont soumis au secret professionnel. Lorsqu’un tiers est chargé de traiter des données, une convention de traitement de données en sous-traitance et une convention de confidentialité doivent être conclues. Un modèle de convention est à disposition sur le site de la FMH ici
5. Registre des activités de traitement : L’obligation de tenir un registre des activités de traitement s’applique aux cabinets médicaux car leur données sont sensibles (i.e. l’exception pour les entreprises de moins de 250 collaborateurs qui peuvent être exemptées par le conseil fédéral de tenir un registre des activités n’est pas applicable aux médecins). Un modèle de registre des activités de traitement pour se conformer à cette obligation est disponible sur le site de la FMH ici
6. Conservation et archivage : Des directives sont fournies pour déterminer quand les données personnelles doivent être effacées ou détruites. Le guide est disponible sur le site de la FMH ici. À noter qu’un patient ne peut demander un effacement de son dossier médical, le médecin devant pouvoir justifier ses actes pendant 20 ans (en général, selon disposition cantonale).
7. Demandes de renseignements et de remise de données personnelles : Des instructions précises sont élaborées pour le traitement des demandes d’accès aux données médicales par les patients. Les instructions sont disponibles sur le site de la FMH ici
8. Violation de la protection des données : Les cabinets médicaux doivent notifier les violations de sécurité des données à l’autorité de surveillance si elles entraînent un risque élevé pour la vie privée des personnes concernées. Des procédures sont recommandées pour faire face à de telles situations. En amont, les cabinets doivent avoir développé un processus de gestion de cette situation de piratage ou perte de données, qui survient par définition sans prévenir. Disponible sur le site de la FMH ici
9. Ressources d’aide : La FMH fournit des documents, modèles et guides pour aider les cabinets médicaux à se conformer aux nouvelles dispositions légales. Elle recommande de comparer son formulaire de consentement avec celui fourni par l’éditeur de logiciel (!).   Il est important de noter que la loi ne prévoit aucune période de transition pour la mise en œuvre de ces changements, mais les différents acteurs sont conscients du temps nécessaire à cette implémentation. Retrouvez toutes les informations et documents de référence sur le site de la FMH ici

En complément, retrouvez sur ce site les potentielles conséquences d’un non-respect de la LPD : dispositions pénales admin.ch. Retrouvez sur ce site internet une liste de cas concrets concernés Les dispositions pénales de la LPD – Protection des données – LibGuides at Graduate Institute of International and Development Studies

Effrayant, cependant le risque principal ne vient pas tant des institutions qui n’ont pas les moyens de faire des audits, mais bien plutôt d’un patient quérulent isolé. Il est donc important de continuer à soigner la relation avec ses patients, en veillant à avoir un processus assez formel pour être en conformité ET assez simple pour être applicable. Comme tous prestataire, les médecins ont une obligation de moyens (comme pour les soins ou les processus qualité) mais pas de résultats. La liste de recommandations minimales de 2019 de la FMH est ici. A connaître car ce genre de documents est une base sur laquelle un éventuel tribunal pourrait s’appuyer si besoin !

En résumé pour la plupart des cabinets médicaux il faut rapidement:

• Avoir une déclaration de protection des données et un formulaire de consentement à disposition
• Informer tous leurs patients au fur et à mesure des contacts

Puis:

• Avoir un processus écrit en cas de piratage de leurs données (mais aussi une procédure de rattrapage de leurs données en cas de demande de rançon « ransomware »)
• Avoir un registre des activités de traitement
  • Comment communiquer en fonction du contenu ? (lettre / SMS / courriel / plateforme sécurisée / … )
• Avoir une convention signée avec les sous-traitants:
  • éditeur logiciel dossier médical notamment évaluation régulière (annuelle ?) des risques de piratage / perte des données
  • laboratoire
  • radiologie (du cabinet / centre)
  • facturation
  • etc .. ?
• La nécessité d’avoir une convention signée avec les partenaires est encore floue, nous y reviendrons. Par exemple : à ce jour il n’est pas nécessaire de signer une convention avec les soins à domicile, car il agissent sur le mandat des médecins et leurs infirmiers-ères sont tenus au secret professionnel (art. 321 du code pénal suisse).
• Organiser des réunions de cabinet pour sensibiliser les collaborateurs du cabinet médical à la sécurité des données

• (un audit de conformité n’est nécessaire qu’en cas de changements de gestion des données)

Ces points et recommandations sont susceptibles d’évoluer ces prochains mois, nous vous tiendrons au courant.