«Des soins centrés sur le patient sont impossibles sans protection des données»
La protection des données fait actuellement l’objet de vifs débats en Suisse, que ce soit en rapport avec la supervision des collaborateurs en télétravail ou avec l’application de traçage des chaînes de transmission prévue par la Confédération. Comment la protection des données peut-elle être facilement mise en œuvre dans le système de santé? Nous avons mené une interview avec Christian Peter, l’expert en protection des données de HIN.
M. Peter, la protection des données – surtout à la lumière de la crise actuelle – n’est-elle pas un problème relevant du luxe?
Si vous associez le luxe à quelque chose qui n’est pas absolument nécessaire et qui est réservé à certaines personnes, alors la protection des données n’est pas un luxe. La protection des données, c’est la protection de la personnalité. Tout le monde y a droit et à tout moment. Si, en revanche, vous associez le luxe avant tout à des produits de haute qualité, on pourrait alors répondre à cette question par l’affirmative. Un service médical ne peut être de haute qualité que s’il accorde également l’attention nécessaire à la protection des données.La protection des données comme marque de qualité d’un service médical: pouvez-vous développer?
La recherche de l’excellence est largement répandue dans le système de santé. Cela inclut, en principe, le respect des droits des patients. Malheureusement, on oublie parfois que la protection des données, c’est aussi la protection de la personnalité, et que nous ne pouvons répondre aux attentes du patient qu’en respectant son autodétermination informationnelle. Et la protection des données n’est rien d’autre que la mise en œuvre de l’autodétermination informationnelle.Pourriez-vous décrire brièvement pour les lecteurs ce qu’est l’«autodétermination informationnelle»?
Il est important pour chacun de pouvoir contrôler ses informations personnelles de manière autodéterminée. De nos jours, il est normal de décider soi-même des interventions médicales de manière autodéterminée. Nous sommes informés par les personnes qui nous soignent, mais nous décidons ensuite nous-mêmes si nous voulons ou non l’intervention. Le traitement des données à caractère personnel doit suivre la même procédure: les personnes concernées doivent être informées de ce que l’on compte faire de leurs données. Sur la base de ces informations, elles évaluent la situation et décident si elles souhaitent ou non le traitement de leurs données.Cela semble toutefois relever davantage du «luxe» lorsqu’un patient a besoin d’une aide médicale urgente. L’attention qu’un médecin porte à la protection des données peut-elle avoir une influence concrète sur la qualité du traitement médical?
Absolument! En fonction de la relation que nous avons avec une autre personne, nous divulguons plus ou moins d’informations. De cette manière, nous contrôlons également notre image publique. Dans la relation établie dans le cadre du traitement, les patients s’ouvrent et révèlent des informations personnelles, dont certaines ne sont même pas connues de leur partenaire de vie. Cela entraîne une responsabilité dont il faut être conscient. Si le patient craint un abus de confiance, il ne communiquera pas au médecin certaines informations essentielles (p. ex. sur certains comportements ayant un lien avec sa santé). Ceci a un impact direct sur la qualité et le succès du traitement. Il faut empêcher ce cas de figure.
En tant que patient, ne puis-je pas attendre de mon médecin de famille qu’il respecte le secret professionnel?
En principe, en tant que patient, vous devez pouvoir être certain que les données relatives à votre santé ne quitteront le cabinet de votre médecin de famille qu’à votre connaissance et avec votre consentement, par exemple s’il vous oriente vers un spécialiste. Avec la numérisation, toutefois, nous faisons face ici à de nouvelles réalités. Si, par exemple, votre médecin de famille conserve les dossiers de ses patients dans le cloud ou s’il fait appel à un prestataire de services externes pour l’informatique de son cabinet, il lui sera difficile, en tant que profane en informatique, d’accepter la responsabilité liée au secret professionnel et à la protection des données.Comment garantir cette autodétermination informationnelle et maintenir un niveau de confiance élevé des patients en tenant compte de la frénésie quotidienne au cabinet et de la perspective d’une numérisation croissante?
C’est beaucoup plus facile qu’on ne le pense. Deux domaines doivent être abordés: les infrastructures et le comportement individuel. En ce qui concerne l’infrastructure, il faut s’assurer que le système informatique est protégé. Le programme en 11 points de la FMH fournit ici de bonnes indications. Par exemple, l’ensemble de l’environnement TIC doit être protégé par un pare-feu, et chaque terminal doit être protégé contre les logiciels malveillants. Les données doivent être sauvegardées régulièrement afin de pouvoir être restaurées en cas d’effacement accidentel ou de destruction délibérée par un pirate.
Et si, comme vous l’avez mentionné, les données sont transférées au patient ou à un autre professionnel de santé, ou confiées à un prestataire de services informatiques?
Il faut alors s’assurer que la communication par e-mail avec les collègues ou les patients est sécurisée. Les e-mails contenant des données sur les patients ne doivent être envoyés que sous forme cryptée. C’est là qu’intervient la solution de HIN, qui est largement utilisée au sein du système de santé et qui permet le cryptage. Si – ce qui est judicieux dans de nombreux cas – le système informatique est confié à des prestataires de services spécialisés, il convient de prendre les garanties contractuelles appropriées. Ici aussi, la FMH met à disposition différentes aides, telles qu’un contrat-cadre.
Y a-t-il d’autres points à considérer en matière d’infrastructure?
On peut également veiller à la conformité avec la protection des données lors de l’agencement du cabinet. Les écrans doivent être placés de telle sorte que les patients ne puissent pas les regarder, et les patients qui attendent ne doivent pas pouvoir écouter les conversations téléphoniques. Outre ces mesures qui s’appliquent l’infrastructure, il convient également de prêter attention à son propre comportement ou à la protection des données effective.
Qu’entendez-vous par «protection des données effective»?
A qui est-ce que je transmets des informations sur les patients au téléphone? Est-ce que je verrouille bien l’écran lorsque je quitte mon poste de travail? Est-ce que le volume de ma voix permet à d’autres patients d’écouter la conversation? Et est-ce que je clique sur chaque lien que je vois dans un e-mail? Je dois me demander, dans toutes ces activités, si je ne trahis pas la confiance des patients. Cette prise de conscience me permet alors d’incarner automatiquement des principes tels que l’économie et la proportionnalité: par exemple, je ne transmets à une compagnie d’assurance que les informations qui sont absolument nécessaires.
Est-il possible d’entraîner de tels comportements?
Grâce à une sensibilisation ou à une formation continue, tous les collaborateurs peuvent aiguiser leurs sens. Dans les formations de sensibilisation (Awareness) de HIN par exemple, on utilise des exemples pour montrer où se cachent les dangers et comment les contrer facilement. L’accent n’est pas mis sur les normes et les défis, mais sur les solutions. L’écran peut être verrouillé avec une simple combinaison de touches, la divulgation illicite de données sur les patients au téléphone peut être empêchée avec un meilleur casque et une voix plus basse. On peut aussi montrer comment les criminels obtiennent des mots de passe et les moyens pour s’en protéger. Les collaborateurs peuvent utiliser ces connaissances au quotidien dans leur vie professionnelle et personnelle.
Vous enseignez la protection des données aux professionnels de santé depuis plus de dix ans. Quelles sont les raisons qui mènent à des violations de la protection des données?
C’est souvent une question d’inattention. Personne ne viole la protection des données en toute connaissance de cause et volontairement, les patients sont trop importants aux yeux des professionnels de santé. Le plus souvent, on ne se rend même pas compte que l’action est problématique du point de vue de la protection des données. C’est là que la mentalité de sensibilisation entre en jeu. Les professionnels de santé doivent développer leurs sens pour détecter les éléments susceptibles d’entraîner des violations de la protection des données. C’est également à cela que je souhaite contribuer de par mes formations: montrer que les soins centrés sur le patient ne sont pas possibles sans protection des données, et que si l’on est convaincu de l’utilité de la protection des données, il est alors facile d’identifier les risques liés à cette dernière. J’apporte alors mon aide et montre comment agir en conformité avec la protection des données par des moyens simples.
Quel impact souhaitez-vous avoir par votre engagement en faveur de la protection des données?
Si, par la suite, les professionnels de santé se préoccupent davantage de la protection des données sur leur lieu de travail et donc des droits des patients, et proposent éventuellement des améliorations pour l’ensemble de l’établissement, alors j’ai atteint mon objectif. Tous les cabinets et établissements qui prennent à cœur les directives les plus importantes peuvent également le faire savoir autour d’eux avec le label HIN «Nous protégeons vos données». Les patients peuvent alors voir clairement qu’ils se trouvent dans un établissement où la protection des données est importante et pour lequel elle ne constitue pas une marchandise hors de prix réservée à quelques-uns, mais fait partie intégrante d’un service de haute qualité.
La version originale de cet article est parue sur la plateforme medinside.ch.
Christian Peter
Expert en protection des données
Christian Peter est titulaire d’un doctorat en droit et d’un CAS en sécurité de l’information et gestion des risques. Depuis 2004, il soutient les hôpitaux, les associations, les cabinets et les cliniques non seulement pour toutes les questions relatives au droit hospitalier et au droit de la santé, mais aussi et surtout à la protection des données.