© peopleimages.com – stock.adobe.com

Le cabinet médical digitalisé

La sécurité des données médicales à la lumière des nouvelles dispositions légales

Le système de santé suisse subit d’importants bouleversements provoqués par l’évolution constante du numérique. Les cabinets médicaux n’y échappent pas. Cette transformation promet la mise en réseau de manière efficace et efficiente des acteurs du système de santé sur la base de données de qualité et l’optimisation des processus de diagnostic et de traitement des patients. La question de la protection des données médicales est l’une des problématiques majeurs du noyau dur de cette mue digitale. Le présent article analyse les principaux enjeux et autres défis auxquels tout cabinet médical digitalisé est confronté en rapport avec la révision de la réglementation en matière de protection des données entrant en vigueur le 1erseptembre 2023.

Keypoints

  • La réglementation en matière de protection des données fera l’objet d’une révision importante dès le 1er septembre 2023.

  • Le cabinet médical digitalisé doit impérativement adapter sa structure, ses procédures et processus à la nouvelle réglementation.

  • Un outillage interne et des partenariats informatiques clairement délimités et coordonnés sont essentiels pour la prévention des risques liés aux supports et technologies de l’information et de la communication (TIC).

  • Une compréhension des risques et une formation régulière renforce la prévention des cyber-risques.

Au vu de la numérisation croissante et rapide du secteur de la santé suisse et de l’évolution de la législation en matière de protection des données, les professionnels de la santé exerçant au sein d’un cabinet médical doivent avoir une connaissance claire et précise de la législation applicable dans ce domaine.

Le 25 septembre 2020, le Parlement fédéral a adopté une révision conséquente de la législation régissant la protection des données. Cette révision a principalement pour objectif d’assurer une meilleure compatibilité de la législation fédérale avec le droit européen mais surtout d’assurer une protection des données adaptée aux avancées technologiques.

La présente contribution vise précisément à décrire aux professionnels de la santé les obligations législatives actuelles et à venir en rapport avec l’élaboration de la stratégie en matière de cybersécurité au sein du cabinet médical.

Des principes juridiques applicablesa

Généralités

Sur le plan juridique fédéral, la protection des données médicales repose essentiellement sur les réglementations suivantes:

  • Constitution fédérale du 18 avril 1999 de la Confédération suisse (Cst.; RS 101);

  • Loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1);

  • Ordonnance du Conseil fédéral du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD; RS 235.11);

  • Articles 28 à 28l du Code civil suisse du 10 décembre 1907 (CC; RS 210).

Cet arsenal législatif a pour premier objectif la protection de la personnalité et des droits fondamentauxb des individus dont les données personnelles sont traitées par un tiers.

Pour les professionnels de la santé, la législation en matière de protection des données décrit les principes juridiques ainsi que les obligations applicables à leurs cabinets médicaux en matière de protection des données.

À des fins de simplification, les obligations légales des professionnels de la santé exerçant au sein d’un cabinet médical peuvent être groupées en trois catégories:

  • Devoirs de prise de mesures organisationnelles et techniques;

  • Devoirs d’information et de communiquer de manière transparente;

  • Devoirs de diligence et de prévention.

Dans sa pratique, le professionnel de la santé traitec des données médicales considérées par la LPD comme des données personnelles et sensibles.

Par données personnelles, il est entendu toutes les informations qui se rapportent à une personne identifiée ou identifiable.d

Le traitement des données personnelles doit respecter certains principes légaux.e Ce traitement doit ainsi être licite et ne doit pas être contraire au principe de la bonne foi ou de la personnalité.f

Les données personnelles traitées par le professionnel de la santé doivent par ailleurs être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées.g

Le caractère sensible des données se rapporte à la nature de celles-ci. Les données portant sur la santé ou la sphère intime d’une personne entrent dans cette catégorie.h

Les données sensibles bénéficient d’une protection accrue en raison de leur nature. Sauf motif justificatif, lesdites données ne peuvent pas, par exemple, être communiquées à des tiers.i Toute collecte de données doit par ailleurs être communiquée à la personne concernée.j

Comme décrit précédemment, la protection des données contre tout traitement indu par des mesures organisationnelles et techniques appropriées, est une condition à la licéité du traitement de données sensibles, telles que les données médicales.

La protection des données de patients doit donc inexorablement se trouver au centre des préoccupations des cabinets médicaux.

Du devoir de prendre des mesures organisationnelles et techniques

Les professionnels de la santé se doivent de mettre en place, au sein de leur cabinet médical, des mesures techniques et organisationnelles adéquates permettant d’assurer une protection complète des données traitées, et ce dès la première étape du traitement.k

Les mesures prises doivent être adéquates au vu de la sensibilité des données médicales et du risque que leur traitement peut avoir sur la personnalité et sur les droits fondamentaux du patient.l

Ainsi, tout cabinet médical est tenu de garantir que le traitement des données personnelles soit:m

  • Basé sur le consentement explicite du patient;

  • Limité au strict minimum au vu de l’objectif du traitement;

  • Proportionné aux besoins du suivi médical;

  • Respectueux de la finalité médicale;

  • Organisé de sorte à assurer l’exactitude et la fiabilité des données qui doivent être à jour.

À ces fins, un cabinet médical peut soit internaliser la mise en place des mesures adéquates, soit faire appel à des sous-traitants externes.

Le sous-traitant auquel le cabinet médical recourt doit traiter exclusivement des données que ledit cabinet est lui-même en droit de traiter et à condition qu’aucune obligation de garder le secret ne s’oppose à une telle délégation de tâches.

Les exigences minimales en matière de sécurité des données font état des obligations suivantes:

  • Évaluation et adaptation. Le besoin de protection des données, le risque encouru, ainsi que les mesures techniques et organisationnelles mises en place au sein du cabinet médical ou par un sous-traitant doivent faire l’objet d’une réévaluation régulière.

  • Confidentialité. Les données traitées ne sont accessibles qu’aux personnes autorisées grâce à trois contrôles essentiels: un contrôle de l’accès aux données et un accès limité aux données nécessaires à l’accomplissement des tâches; un contrôle de l’accès aux locaux et aux installations; un contrôle de l’utilisation des systèmes de traitement des données et de transmission.

  • Disponibilité et intégrité. Les données traitées doivent être fiables et disponibles en tout temps. Les mesures clés incluent un contrôle des supports de données, un contrôle de la mémoire de stockage, un contrôle du transport lorsque les données sont déplacées empêchant toute prise de connaissance, copie, altération des données. Les systèmes d’exploitation et logiciels sont maintenus à jour, les failles réparées et les incidents (techniques ou physiques) signalés.

  • Traçabilité. Les données personnelles traitées doivent pouvoir être tracées par un contrôle de saisie indiquant toute saisie ou modification de données personnelles dans le système; un contrôle de la communication traçant le destinataire de toute donnée personnelle transmise à un tiers; la détection de toute violation de sécurité afin d’atténuer ou éliminer toute conséquence.

Du devoir d’information et decommunication de manièretransparente

Le cabinet médical est tenu de communiquer aux patients les informations relatives à la collecte des données de manière précise, transparente, compréhensible et facilement accessible. Ainsi, tout cabinet médical se doit:

  • D’informer le patient lors de la collecte de données personnelles et en cas de décision individuelle automatisée par le système informatique. Le cabinet médical est tenu de communiquer au patient les informations nécessaires pour qu’il/elle puisse faire valoir ses droits. Au minimum, doivent être transmises au patient l’identité et les coordonnées du responsable du traitement des données, la finalité du traitement des données recueillies, les destinataires des données et dans quels contextes les données sont transmises à des tiers. Si le cabinet utilise un système informatique impliquant une prise de décision automatisée ou un traitement des données automatisé à impact significatif sur une décision, le patient doit être informé qu’il a la possibilité d’exiger que la décision individuelle automatisée soit revue par une personne physique.

  • D’annoncer toute violation de la sécurité des données.n L’annonce se fait au Préposé fédéral à la protection des données et à la transparence (ci-après: «PFPDT»)1 et doit inclure les informations suivantes: nature de la violation, le moment et la durée de la violation, les catégories et le nombre approximatif de données personnelles et personnes concernées, les conséquences et les risques éventuels pour les personnes concernées, les mesures prises ou prévues pour remédier à cette violation et en atténuer les risques et conséquences, le nom et les coordonnées d’une personne de contact. Ces informations sont à fournir dans les meilleurs délais et toute violation doit être documentée. Cette documentation doit être conservée pendant deux ans au moins à partir de la date d’annonce.

Des devoirs de diligence et de prévention

Le cabinet médical et les sous-traitants auxquels il délègue des mesures organisationnelles ou techniques doivent assurer une sécurité adéquate des données personnelles traitées.

L’adéquation des mesures est fonction du risque encouru pour les patients et la capacité à prévenir toute violation de la sécurité des données.

L’obligation de diligence implique donc:

  • Une démarche proactive de la part du cabinet médical à la réflexion, évaluation, prise de décisions et mise en place de solutions démontrant la prise en considération les obligations légales en vigueur et la prévention des risques encourus;

  • Une délimitation des mesures et activités de protection des données internalisées et celles sous-traitées;

  • Une organisation et coordination active de la prévention en interne et en conjonction avec les sous-traitants;

  • Une information et communication ponctuelle et transparente selon les principes décrits ci-dessus.

Le manquement à ces obligations est susceptible d’entrainer des conséquences civiles, pénales, administratives et réputationnelles pour le professionnel de la santé concerné et le sous-traitant.

La violation du devoir d’informer, de renseigner ou de collaborer est passible, sur plainte, d’une amende de CHF 250000.– au plus lorsqu’un cabinet médical ou un sous-traitant fournit intentionnellement des renseignements inexacts ou incomplets, omet intentionnellement d’informer le patient de la collecte et traitement des données ou de lui fournir les informations auxquelles il a droit.o

Une amende de CHF 250000.– au plus peut également être prononcée lorsque des renseignements inexacts sont fournis au PFPDT lors d’une enquête ou en cas de refus intentionnel de collaborer.p

De manière similaire, une violation du devoir de diligence est punissable, sur plainte, d’une amende de CHF 250000.– lorsque les données personnelles et leur traitement sont confiés à un sous-traitant sans que les conditions idoines soient remplies ou que le cabinet médical ne respecte pas intentionnellement les exigences minimales en matière de sécurité des données.q

Le prononcé de ces peines peut s’accompagner de sanctions disciplinaires prononcées sur la base d’une réglementation spécifique à la profession concernée. Ces sanctions prennent généralement la forme d’un avertissement, un blâme, une amende ou, dans les cas les plus graves, à une interdiction temporaire ou définitive de pratiquer.

Le patient dont la personnalité aurait été atteinte par le traitement illicite de données peut par ailleurs agir par la voie civile dans le but d’obtenir une réparation du dommage subi.

Enfin, il est inutile de préciser qu’une atteinte à la personnalité causée à un patient entraine naturellement une perte de confiance de la part de la patientèle.

De la perspective managériale en matière de protection des données au sein du cabinet médical

La complexité et le niveau d’exigence élevé des mesures à adopter décrit ci-dessus soulève la question suivante: Comment un cabinet médical doit-il s’organiser pour mettre en place les mesures requises par la loi?

L’analyse de la perspective managériale et organisationnelle est nécessaire pour contextualiser les exigences légales à la réalité opérationnelle de tout cabinet médical.

À cette fin, le framework (Fig. 1) intègre les perspectives managériales et organisationnelles pour fournir une base d’orientation à l’organisation du cabinet médical en vue de se conformer à ses obligations en matière de protection des données.

Fig. 1: Framework intégratif de la cybersécurité du cabinet médical digitalisé

Tout cabinet médical est organisé essentiellement autour de trois processus fondamentaux:

  • La gestion du traitement des patients (diagnostic, soins et suivi thérapeutique);

  • La gestion du dossier médical des patients (traitement des données);

  • La gestion du volet administratif et financier de l’activité médicale.

Ces trois processus reposent sur quatre ressources essentielles:

  • Des ressources administratives, soit une organisation précise des activités (p.ex. protocoles médicaux, procédures administratives, priorités spécifiques);

  • Des ressources humaines spécialisées (p.ex. personnel médical et administratif);

  • Des ressources techniques (p.ex. appareils médicaux, matériel informatique et de communication);

  • Des partenariats de compétence (p.ex.sous-traitants).

Une gestion réussie des processus fondamentaux sur la base des ressources précitées est fonction d’une considération adéquate des obligations (A), des besoins (B), des risques (C), et des priorités (D) qu’impose le cadre juridique et l’environnement technologique et organisationnel du cabinet médical.

Le Tableau 1 donne un aperçu synoptique de la manière dont un cabinet médical peut évaluer les risques, les besoins et les priorités sur la base de ses obligations.

Tab. 1: Évaluation des risques, des besoins et des priorités de cybersécurité

De manière synthétique, les nouvelles dispositions et la digitalisation du secteur médical exposent les ressources de tout cabinet à une potentielle inadéquation et obsolescence de ses ressources et des compétences de son personnel. L’acquisition des ressources manquantes, l’adaptation des ressources existantes, et la prévention des risques inhérents aux technologies utilisées sont des mesures nécessaires à la prévention de ces risques.

Parmi les facteurs clés de succès de l’adaptation de toute structure existante à un important changement technologique et environnemental, une efficacité particulière est reconnue aux organisations capables d’adopter un leadership interne ou externe qui va mener le changement.2 Ce leadership doit s’accompagner d’une culture d’adaptation et de changement pour le personnel3, de la mise à disposition l’infrastructure appropriée et doit s’appuyer sur les partenariats nécessaires à tout nouveau besoin stratégique.4

Dans le contexte des cabinets médicaux, ces facteurs sont applicables et leur adoption encouragée dans plusieurs directives et guides de transition. Le PFPDT1 et la FMH5 recommandent ainsi la nomination d’un(e) responsable de la protection des données; l’adoption des mesures techniques et organisationnelles nécessaires; l’adoption d’une approche proactive et continue à l’adaptation des ressources et procédures de manière à tenir compte des évolutions présentes et futures.

Ces recommandations et l’analyse ci-dessus nous amènent à conclure que les facteurs essentiels permettant à tout cabinet médical de protéger de manière adéquate les données médicales des patients incluent:

  • La nécessité d’adapter la structure, les procédures et processus du cabinet médical à la nouvelle réglementation.

  • L’adoption d’un outillage interne et des partenariats informatiques clairement délimités et coordonnés sont essentiels pour la prévention des risques liés aux supports et TIC.

  • Une compréhension des risques et une formation régulière du personnel.

Conclusion

La nouvelle loi sur la protection des données médicales entre en vigueur le 1erseptembre 2023. La conformité de tout cabinet médical digitalisé aux nouvelles dispositions repose sur une diligence, une prévention et anticipation adéquate des nouveaux besoins, risques et priorités.

Pour assurer une sécurité des données de ses patients, le cabinet médical doit se doter des outils organisationnels et techniques nécessaires. En cas de dysfonctionnement ou de violation de la protection des données, il faudra informer, démontrer et communiquer les mesures de prévention, d’action et de remédiation nécessaires qui ont été prises afin de faire face aux risques encourus sur les plans juridique, économique, et réputationnel.

a D’autres dispositions légales s’appliquent en matière de protection des données. Il peut s’agir de dispositions cantonales ou relevant du droit international. À des fins de simplification, dans la présente étude seules les dispositions fédérales décrites ci-avant seront traitées et prises en compte.

b Art. 7 ss Cst

c Le traitement au sens de l’art. 3 litt. e LPD désigne toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données.

d Art. 3 litt. a LPD

e Art. 12 LPD

f Art. 4 al. 1 et 2 LPD

g Art. 7 al. 1 LPD

h Art. 3 litt. c LPD

i Art. 12 al. 2 litt. c LPD

j Art. 14 al. 1 LPD

k Art. 7 al.1 LPD

l Art. 7 al. 2 LPD

m Art. 6 LPD

n Les informations à communiquer au PFPDT sont décrites à l’art. 24 al. 2 nLPD, ainsi qu’à l’art. 15 nOPDo.

o Art. 60 al. 1 LPD

p Art. 60 al. 2 LPD

q Art. 61 litt. b LPD

1 PFPDT – La protection des données au cabinet médical: https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/gesundheit/la-protection-des-donnees-au-cabinet-medical.html (dernière consultation: 20 janvier 2023) 2 Kane GC et al.: Strategy, not technology, drives digital transformation. MIT Sloan Management Review. Deloitte University Press, 2015 3 Kraus S et al.: Digital transformation in healthcare: Analyzing the current state-of-research. J Business Research 2021; 123: 557-67 4 Glauner P et al. (eds.) Digitalization in healthcare. Springer International Publishing, 2021 5 FMH: Exigences minimales pour la sécurité informatique des cabinets médicaux: https://www.fmh.ch/files/pdf24/exigences-minimales-securite-informatique-cabinets-medicaux-d2.pdf (dernière consultation: 20 décembre 2022)

Centre national pour la cybersécurité NCSC: Cyberattaques, que faire? Informations et aide-mémoire. 2022 . https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-behoerden/vorfall-was-nun.html (dernière consultation: 10 décembre 2022) Centre national pour la cybersécurité NCSC: Cybersécurité dans le secteur de la santé: recommandations. 2022. https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2022/empfehlungen-gesundheitssektor.htm l (dernière consultation: 10 décembre 2022)

Back to top