Lors de nos webinaires, Dr Sacha Patak n’a pas pu, par manque de temps, répondre à toutes les questions posées. Vous trouverez ici les réponses à d’autres questions et pourrez consulter les questions auxquelles il a répondu lors du webinaire. En raison du grand nombre de questions posées, il ne nous est malgré tout pas possible de répondre à toutes.
Vous trouverez aussi de plus amples informations sur la nLPD dans nos articles de blog:
- Première partie: Bases et traitement des données
- Deuxième partie: Traitement et conservation des données
Bases de la nLPD
Les explications données lors du webinaire sont-elles valables pour tous les professionnels de la santé?
Oui, même si certains médecins ont parfois été explicitement mentionnés dans le webinaire, les explications s’appliquent à tous les professionnels de la santé. Et pas uniquement: la nLPD s’applique à tous les groupes professionnels, y compris les jardiniers, les artisans ou les comptables.
Avec qui dois-je conclure un accord de sous-traitance?
Les sous-traitants sont des entreprises qui traitent les données de votre entreprise. Il s’agit par exemple de services cloud ou de fournisseurs de logiciels ayant accès à votre système. Les collaborateurs de votre service informatique ne font pas partie de cette catégorie. Selon la nLPD, il n’est pas impératif de conclure des accords écrits avec les sous-traitants. Cela signifie que les accords de sous-traitance ne sont pas obligatoires. Mais il est obligatoire d’informer le sous-traitant qu’il est soumis à la confidentialité et qu’il a le devoir de protéger les données sensibles. En théorie, cela pourrait aussi se faire oralement, mais il serait difficile d’en approter la preuve en cas de problème. De nombreuses entreprises qui collaborent avec des acteurs du système de santé ont déjà inclus un accord de confidentialité dans leurs contrats standard – c’est le cas par exemple de HIN. Aucun contrat supplémentaire n’est alors nécessaire. Si ce n’est pas le cas de l’un de vos sous-traitants, vous pouvez lui demander de vous fournir un modèle existant. S’il n’en a pas, vous pouvez utiliser le modèle de la FMH:
https://www.fmh.ch/fr/themes/ehealth/protection-donnees-securite/protection-des-donnees-la-loi-.cfm
Avec qui dois-je conclure un accord de confidentialité?
Un accord de confidentialité est recommandé pour toutes les personnes qui ont ou pourraient avoir accès à des données sensibles dans votre cabinet – donc également pour le personnel de nettoyage ou les spécialistes informatiques. Il n’est pas obligatoire de conclure un accord écrit. Il suffit d’informer oralement les personnes concernées qu’elles sont soumises au secret professionnel. Comme il est alors plus facile de le prouver en cas de problème, il est recommandé de conclure un accord de confidentialité. La FMH propose ici un modèle:
https://www.fmh.ch/fr/themes/ehealth/protection-donnees-securite/protection-des-donnees-la-loi-.cfm
Ai-je besoin d’un accord de sous-traitance ou d’un accord de confidentialité avec HIN?
Non, cela n’est pas nécessaire. Chez HIN, les questions de sous-traitance et de confidentialité sont couvertes par le biais d’un contrat standard. Tout ce qui est nécessaire figure donc déjà dans les contrats conclus avec nos clientes et clients.
Les cabinets médicaux / professionnels de la santé indépendants doivent-ils définir par écrit le traitement des données? Avez-vous besoin d’un registre des traitements de données?
Avec l’entrée en vigueur de la nLPD, les cabinets médicaux et professionnels de la santé indépendants sont dans l’obligation, sous certaines conditions, de tenir un registre des activités de traitement. Cette obligation concerne les entreprises de plus de 250 employés et les responsables qui procèdent à un traitement à grande échelle de données à caractère personnel sensibles. Au vu de la nature sensible des données de santé, il est recommandé aux cabinets médicaux et autres institutions du système de santé de tenir un tel registre, aussi comme base pour d’éventuelles demandes de renseignements sur les données. Toutefois, en cas d’absence de registre, aucune sanction n’est prévue.
Pour en savoir plus sur le registre des activités de traitement, consultez le blog HIN.
Existe-t-il des modèles de registre des activités de traitement?
Vous trouverez de plus amples informations et le lien vers le modèle de la FMH sur le blog HIN.
Chaque patient doit-il signer une déclaration de protection des données? Doit-elle être renouvelée chez les patients existants?
Non, cela n’est pas nécessaire. La déclaration de protection des données peut être publiée sur le site Web. Il est possible aussi de l’imprimer en plus au dos du formulaire d’inscription pour les nouveaux patients, mais ce n’est pas obligatoire. Mais il n’est pas non plus interdit de faire signer une déclaration de protection des données à chaque patient. Vous trouverez un modèle de déclaration de protection des données chez HIN ou sur le site Web de la FMH: https://www.fmh.ch/fr/themes/ehealth/protection-donnees-securite/protection-des-donnees-la-loi-.cfm
Que dois-je impérativement communiquer à mes patients en ce qui concerne la nLPD?
Seul le consentement en cas de transmission à des tiers est obligatoire. En outre, vous devez impérativement indiquer où et comment vous traitez les données du patient (où vous les stockez, comment le traitement est effectué, etc.). Un consentement écrit n’est pas nécessaire, mais permet de fournir une preuve en cas de litige.
Qu’est-ce qui doit être adapté à partir du 1.9.23 sur les sites Web des cabinets collectifs?
De manière générale, la déclaration de protection des données doit être améliorée.
Dois-je adapter ma déclaration de consentement et donner à tous les patients existants la nouvelle version à signer?
Ce n’est pas obligatoire, mais vivement recommandé.
Que faire si un patient ne signe pas la déclaration de consentement?
Le consentement n’est nécessaire que pour la transmission des données à des tiers. Pour l’utilisation interne des données, le fait qu’un patient ne signe pas ne pose aucun problème. Mais ce sont souvent ces patients qui finissent par causer des difficultés… C’est pourquoi, dans un tel cas, vous pouvez aussi refuser l’admission de ce patient. En cas d’urgence, vous devez bien sûr aider le patient, mais du point de vue de la protection des données aussi, vous avez un intérêt prépondérant à protéger la vie de ce patient.
Que se passe-t-il si j’ai obtenu le consentement oral d’un patient et que celui-ci le nie par la suite ou ne s’en souvient pas?
Dans ce cas, il doit prouver que vous avez délibérément enfreint la loi. Si le patient a oublié qu’il a donné son consentement, mais que vous suivez toujours le même processus avec tous les patients, il suffit que plusieurs autres patients puissent confirmer que le processus comprend aussi l’obtention du consentement. Le plus sûr pour vous est toutefois de faire signer à vos patients une déclaration de consentement écrite. La FMH fournit un modèle de déclaration de consentement / formulaire patientèle:
https://www.fmh.ch/fr/themes/ehealth/protection-donnees-securite/protection-des-donnees-la-loi-.cfm
Peut-on ajouter dans la déclaration de consentement des patients que les données de patients sont envoyées par e-mails non cryptés ou par SMS?
Oui, ceci est théoriquement possible d’un point de vue juridique. Dans ce cas, le patient donne son accord. Toutefois, HIN recommande de ne jamais envoyer de données sensibles par voie électronique sans les crypter, car une protection suffisante n’est pas garantie dans ce cas. Si vous souhaitez envoyer des e-mails en toute sécurité à des patients ou à d’autres destinataires sans HIN, vous pouvez utiliser l’option HIN Mail Global de HIN Mail. Pour en savoir plus, consultez le blog HIN.
Doit-on obtenir un consentement séparé du patient pour chaque catégorie de partenaires externes (p. ex. assurances, instituts de radiologie, psychothérapeutes) ou peut-on les regrouper sous «professionnels de la santé assurant le suivi»?
Oui, vous pouvez les regrouper. Assurez-vous toutefois que le patient sait de quoi il s’agit. En outre, si vous prélevez du sang d’un patient et lui dites «nous l’envoyons au laboratoire pour analyse», il est déjà clair que vous transmettez les données à un tiers, à savoir au laboratoire. Dans de tels cas, vous n’avez pas besoin d’un consentement séparé.
Ma banque ou ma fiduciaire doivent-elles aussi signer des déclarations de confidentialité?
En théorie, oui. Dans le cas de la banque, cela est sans doute difficile à mettre en œuvre, mais elle est tenue au secret par une loi spécifique. Il est peu probable que vous ayez un jour des problèmes si vous ne faites signer aucune déclaration de confidentialité à votre banque. En revanche, vous avez besoin d’une déclaration de confidentialité avec votre fiduciaire et des dispositions contractuelles sur la protection et la sécurité des données (sous-traitance) seraient même judicieuses.
Si une AM est désignée comme responsable de la protection des données, peut-elle être directement poursuivie en justice?
Oui, c’est possible. On peut toutefois se demander si l’AM est vraiment celle qui décide de la manière dont la protection des données est mise en œuvre et pratiquée dans un cabinet. La personne qui prend les décisions relatives à la protection des données doit être indiquée comme responsable de la protection des données. Cela peut être aussi une AM. Dans ce cas, elle doit avoir le pouvoir de faire changer les choses si elle constate d’éventuelles violations de la protection des données ou une gestion négligente de la protection des données.
Tous les patients existants devront-ils signer un nouveau consentement au 1.9.2023?
Je vous recommande d’utiliser le nouveau formulaire de consentement à partir du 1.9. Vous devriez le présenter aux nouveaux patients ainsi qu’aux patients existants lors de leur prochaine visite chez vous. Il n’est toutefois pas nécessaire d’envoyer le formulaire par la poste ou par e-mail pour signature aux patients qui ne viennent pas vous consulter actuellement.
Le responsable de la protection des données doit-il figurer sur le site Web du cabinet? Où ailleurs?
Non, il suffit d’exposer clairement la responsabilité – par exemple l’adresse du cabinet – et d’indiquer le numéro de téléphone nécessaire et une adresse e-mail.
Les patients doivent-ils donner leur consentement écrit pour qu’un autre médecin travaillant dans le même cabinet puisse consulter leurs données?
Je le recommande, oui. Toutefois, vous pouvez également le mentionner dans votre déclaration de confidentialité, puis ajouter dans votre formulaire d’inscription que les patients acceptent la déclaration de confidentialité. Le contrat de traitement couvre uniquement la relation du médecin (ainsi que des auxiliaires directement impliqués) avec le patient. Cela exclut les médecins partenaires qui ne sont pas chargés du cas.
Devons-nous obtenir le consentement des patients pour le traitement des données par les AM?
Non, le patient doit partir du principe que les personnes nécessairement impliquées dans le cas ont aussi accès à vos données. Les auxiliaires du médecin en font partie.
Vivre la protection des données au quotidien
Peut-on communiquer avec les patients via WhatsApp?
Oui, cela est possible. Cependant, cela requiert un consentement et une information claire du patient, car WhatsApp n’est pas un canal sûr et conforme à la protection des données. Si vous souhaitez communiquer via WhatsApp, vous devez inclure ce domaine dans le formulaire de consentement que les patients signent.
Peut-on utiliser des plateformes comme OneDrive ou iCloud pour stocker ou échanger des données de patients?
Avec le consentement du patient, cela est possible. Sans consentement, il existe un désaccord sur le plan juridique. Mais les deux systèmes permettent aujourd’hui de prendre des mesures de sécurité plus strictes qui tiennent compte des possibilités de protection des données. Il serait toujours possible de stocker des vaults, des dossiers cryptés, sur ces systèmes, car la clé n’est pas enregistrée.
Peut-on tenir un dossier médical électronique commun dans un cabinet de groupe, auquel tous les médecins ont accès?
Oui, c’est possible. Toutefois, le consentement du patient doit ici aussi être obtenu. Si le contrat avec le patient stipule que des remplacements sont possibles en cas d’absence du médecin traitant, cela suffit. Dans ce cas, il y a déjà consentement en vertu de ce contrat. Donc: assurez-vous que les patients sont informés et qu’ils donnent leur consentement.
Suis-je obligé de tenir un dossier médical électronique ou puis-je continuer à consigner à la main?
Actuellement, il n’existe pas encore d’obligation de tenir un dossier médical numérique.
Dans un petit cabinet individuel, est-il nécessaire de prévoir des accès séparés protégés par mot de passe pour chaque AM?
La traçabilité doit être garantie. La loi impose de pouvoir déterminer qui fait quel traitement de données. Cela est impossible avec un mot de passe pour tous. La question de savoir si cela est grave et s’il est possible de le savoir d’une autre manière reste ouverte. L’objectif est certainement que chaque AM ait son propre accès.
Les données médicales / dossiers des patients doivent être conservés pendant 20 ans. Est-ce que cela vaut pour tous les cantons? Et pour tous les types de professionnels de la santé?
Le délai de conservation découle de l’art. 60 al. 1bis CO, lequel prévoit 20 ans en cas d’homicide ou de dommages corporels. On peut en déduire un droit de défense, de sorte que même après 19 ans, il est encore possible de se défendre en tant que médecin contre de prétendus dommages corporels. Cela vaut en outre aussi pour d’autres secteurs de la santé. Une durée de 20 ans s’applique donc dans l’ensemble de la Suisse. Mais certains cantons obligent de toute façon les médecins à conserver ces données.
Le dossier médical d’un patient doit-il obligatoirement être supprimé au bout de 20 ans?
Oui, sauf si le patient accepte ou souhaite même que son dossier ne soit pas effacé.
Un consentement écrit du patient est-il nécessaire pour le transfert de son dossier et donc la transmission de ses résultats d’examens?
Non, la forme écrite n’est pas nécessaire. L’entretien et la documentation du déroulement suffisent comme consentement.
Est-il suffisant d’identifier les patients au téléphone par leur nom complet et leur date de naissance?
C’est plutôt sommaire, il serait judicieux d’ajouter un élément, comme p. ex. la date du dernier rendez-vous, quelque chose qui ne figurerait pas sur Internet.
Puis-je conserver les noms et numéros de téléphone de mes clients dans la liste de contacts de mon téléphone portable?
Si votre téléphone portable est correctement sécurisé (crypté et protégé) et que personne d’autre n’a accès aux données, rien ne s’y oppose.
Peut-on gérer des données de patients dans le calendrier Outlook?
Si les patients donnent leur consentement, il n’y a aucun problème. Veillez toutefois à ce que ce calendrier Outlook ne puisse être consulté que sur des appareils protégés par un mot de passe / code. L’appareil doit aussi impérativement être crypté. Cela peut être configuré aujourd’hui avec tous les logiciels système disponibles dans le commerce, sans logiciel supplémentaire. Cela vaut aussi bien pour les ordinateurs de bureau et ordinateurs portables que pour les smartphones.
Que faire si quelqu’un souhaite que ses données soient supprimées avant l’expiration du délai légal?
Même dans un tel cas, vous ne pouvez pas supprimer les données avant l’expiration du délai légal. Vous devez aussi les conserver contre la volonté du patient et avez pour cela un motif justificatif légal impérieux.
Le patient doit-il être informé de l’utilisation de technologies Microsoft telles que Word pour la création de rapports, TeamViewer et autres programmes similaires?
Vous êtes tenu d’informer vos patients que leurs données peuvent être transmises à des tiers, par exemple à des prestataires de services informatiques, des services cloud, etc. Il n’est toutefois pas nécessaire d’expliquer en détail comment cela fonctionne et quels programmes vous utilisez. L’information peut donc rester très générale et inclut alors toutes les données du logiciel. Il est judicieux d’informer vos patients séparément sur la communication au moyen d’applications non cryptées – par exemple pour l’envoi d’e-mails non cryptés ou l’utilisation de WhatsApp.
Si un patient fait une demande via le formulaire de contact, mais qu’aucun contrat de traitement n’est finalement conclu avec lui – p. ex. dans le cas d’une psychothérapie – ses données doivent-elles tout de même être stockées et conservées?
Non, tant qu’aucun contrat n’est conclu, il s’agit certes de données sensibles, mais pas de données de patients, puisque la personne n’est pas encore un patient. Les données peuvent être supprimées (après concertation avec le demandeur).
Questions sur le cryptage des e-mails et HIN
Les données des patients peuvent-elles être envoyées par e-mail aux patients sans être cryptées si les patients ont donné leur consentement écrit au préalable?
Oui, si les patients donnent leur consentement par écrit, cela ne pose pas de problème.
Dois-je envoyer les ordonnances et les prescriptions au patient sous forme cryptée?
Oui, l’envoi doit être crypté – à moins que le patient n’ait préalablement consenti à un envoi via des e-mails ordinaires (p. ex. Gmx, Gmail, etc.).
Comment pouvons-nous envoyer en toute sécurité des données de patients à des destinataires sans HIN, p. ex. à des patients?
Si des e-mails sont envoyés d’une adresse e-mail HIN à une autre adresse e-mail HIN, l’envoi est automatiquement sécurisé et conforme à la protection des données. Toutefois, si le destinataire n’a pas HIN, vous devez écrire «(confidentiel)» dans l’objet pour que l’e-mail soit envoyé de manière cryptée. Pour en savoir plus, consultez le blog HIN.
Les e-mails destinés aux patients doivent-ils toujours être envoyés avec HIN Mail Global?
Si les e-mails envoyés aux patients contiennent des informations sensibles, ils doivent impérativement être cryptés lors de leur envoi. Cela est possible avec HIN Mail Global. Si les e-mails ne contiennent pas de données sensibles, ils peuvent être envoyés comme e-mails ordinaires, même à des destinataires avec des domaines tels que Gmx, Gmail ou Bluewin. En savoir plus sur HIN Mail Global
Les e-mails doivent-ils être transmis sous forme cryptée ou est-il suffisant de protéger par un mot de passe les pièces jointes transmises par e-mail?
La visite d’un patient chez le médecin est déjà soumise au secret professionnel. Une simple information dans un e-mail non crypté telle que «Nous vous remercions de votre visite d’hier. Vous trouverez les résultats en annexe.» constitue par conséquent une violation de la protection des données. Il est donc recommandé de n’envoyer des e-mails que sous forme cryptée ou, à défaut, de demander à vos patients de consentir à l’envoi de leurs données par «e-mail standard».
À propos de Sascha Patak
Sascha Patak est docteur en droit et professeur de droit de l’informatique et avocat spécialisé dans le droit médical et le droit des médecins. Il conseille et représente des médecins, des associations et des cabinets médicaux/institutions du système de santé depuis 20 ans