Nouvelle loi sur la protection des données: ce que les acteurs du système de santé doivent savoir (partie 1)
La nouvelle loi sur la protection des données (nLPD) et la nouvelle ordonnance sur la protection des données (OPDo) ainsi que la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD) entreront en vigueur le 1er septembre 2023. Nos clientes et clients doivent également tenir compte de certaines nouveautés qui peuvent nécessiter une adaptation ou une extension des directives et des processus de traitement des données personnelles en vigueur jusqu’à présent.
Les données concernées
Dans les cabinets médicaux et autres institutions du système de santé, de nombreuses données personnelles sont traitées et sont concernées par la nLPD et l’OPDo. Par exemple:
- Données de base et de contact des patients, des collaborateurs, des interlocuteurs des prestataires de services ou d’autres établissements de santé (p. ex. nom, numéro de téléphone, adresse, adresse e-mail ou encore date de naissance)
- Enregistrements sur le déroulement d’un traitement, descriptions des symptômes, diagnostics, prescriptions, réactions, résultats de laboratoire, radiographies, médications
- Statut de sécurité sociale
- Données relatives à la sphère intime, telles que l’état de santé, la vie sexuelle ou la vie affective
- Données relatives aux collaborateurs et à la relation d’emploi, y compris les évaluations de performance et les décomptes de salaire
Aperçu des principaux changements
Les changements qui concernent en première ligne les cabinets médicaux et les institutions du système de santé sont les suivants:
- Le champ des données personnelles sensibles sera étendu aux données génétiques et biométriques, dans la mesure où elles identifient clairement une personne physique. Les conditions plus strictes imposées au traitement des données personnelles sensibles s’appliqueront désormais aussi à ces types de données.
- Le registre des recueils de données actuellement en vigueur sera remplacé par un registre des activités de traitement. Ainsi, l’accent ne sera plus mis sur les recueils de données, mais sur la méthode et la finalité d’un traitement de données personnelles. Pour plus de détails, voir les documents «Guide pour le registre des activités de traitement» ainsi que «Modèle de registre des activités de traitement» sur la page d’information de la FMH.
- La loi prévoit désormais la réalisation d’une analyse d’impact sur la protection des données (AIPD) lorsqu’un traitement est prévu et qu’il est susceptible d’engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Un tel risque peut par exemple exister lorsque des données personnelles sensibles, telles que des données relatives à la santé, sont traitées ou lorsque de nouvelles technologies (p. ex. produits de cloud, intelligence artificielle) sont utilisées dans le traitement des données personnelles. Il est possible de renoncer à une analyse d’impact sur la protection des données lorsque le traitement est effectué sur la base d’une prescription légale, lorsque les systèmes, produits ou services utilisés sont certifiés pour le traitement prévu ou lorsqu’un code de conduite soumis au Préposé fédéral à la protection des données et à la transparence (PFPDT) est respecté.
- La loi révisée sur la protection des données prévoit un devoir d’annonce en cas de violation de la sécurité des données. Pour plus de détails, voir le document «Liste de contrôle et déroulement de la procédure en cas de violation de la protection des données» sur la page d’information de la FMH.
- Les dispositions pénales sont renforcées.
Vous trouverez tous les outils et modèles de documents pour les cabinets médicaux et les institutions du système de santé sur la page d’information de la FMH. Dans cet article, nous abordons le thème du traitement des données. Nous examinerons les thèmes de l’archivage et de l’effacement dans un prochain article qui paraîtra prochainement.
Traitement des données: ce que les acteurs du système de santé doivent prendre en compte
Le traitement des données au sens de la LPD comprend toute manipulation de données personnelles, comme la collecte, la conservation, l’utilisation, le traitement, la divulgation, l’archivage et la destruction de données, indépendamment des moyens et des procédures utilisés. Les principes suivants s’appliquent au traitement des données personnelles:
- Le traitement de données personnelles est en principe légal si l’ordre juridique en vigueur et les directives de protection des données sont respectés.
- Dans le cadre du traitement de données personnelles, les acteurs du système de santé ont un devoir d’information et d’explication envers les personnes concernées (entre autres les patients). Ils doivent informer les patients de manière compréhensible sur les finalités pour lesquelles leurs données personnelles sont collectées et traitées et sur les catégories de destinataires auxquels les données sont transmises.
- Les acteurs du système de santé utilisent des formulaires d’information appropriés pour assurer une information suffisante des patients. Ces formulaires sont signés par le patient après l’entretien informatif et confirment ainsi, entre autres, qu’ils sont d’accord avec le traitement des données. La FMH fournit un modèle à cet effet, voir le document «Déclaration de consentement / Formulaire patientèle» sur la page d’information de la FMH.
- La collecte ainsi que la finalité du traitement doivent se faire de manière transparente et en toute bonne foi. Si la collecte des données et la finalité du traitement ne sont pas évidentes pour la personne concernée, elle doit en être informée. La bonne foi signifie également que les données ne sont traitées que de la manière à laquelle la personne concernée peut s’attendre.
- Le traitement des données personnelles doit être effectué de manière proportionnée. La proportionnalité est respectée lorsque le traitement est limité aux données appropriées et nécessaires à l’exécution de la tâche ou à la réalisation de la finalité indiquée. En outre, la proportionnalité signifie que les données personnelles ne doivent être conservées qu’aussi longtemps qu’elles sont effectivement nécessaires à l’accomplissement des tâches ou qu’une obligation légale de conservation l’exige. Si les données personnelles ne sont plus nécessaires et qu’aucune obligation légale de conservation ne s’oppose à leur effacement, elles doivent être effacées de manière irrévocable.
- Le traitement doit être adéquat. L’adéquation est respectée lorsque le traitement de données personnelles n’a lieu que pour la finalité qui a été définie et indiquée lors de la collecte des données.
- Si les données personnelles sont incorrectes, elles doivent être rectifiées ou effacées.
Vous trouverez tous les outils et modèles de documents pour les cabinets médicaux et les institutions du système de santé sur la page d’information de la FMH.
La contribution de HIN
HIN est certifiée selon ISO/IEC 27001:2017 et selon l’annexe 8 de l’ordonnance du DFI sur le dossier électronique du patient. En raison de notre engagement continu envers la protection des données et la sécurité de l’information …
- … nous élargissons actuellement nos directives, processus et contenus de formation conformément aux exigences de la nLPD et de l’OPDo. En 2024, nous les étendrons également conformément aux exigences supplémentaires de la norme ISO/IEC 27001:2022.
- … nous révisons actuellement les éléments de nos contrats avec les clients et les fournisseurs. Nous vous informerons ultérieurement des changements et des nouveautés attendus.
Liste des sources
Clemens Hüppe
Clemens Hüppe est responsable du département Compliance and Risk chez HIN.