Nouvelle loi sur la protection des données – qu’en est-il pour les cabinets médicaux ?

Une adaptation qui s’applique aussi aux cabinets médicaux

La nouvelle loi sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023. Elle contient de nouvelles dispositions sur le traitement des données personnelles dans les cabinets médicaux. Il ne s’agit là que d’une évolution. Il vaut toutefois la peine de jeter un œil sur les changements principaux relatifs au travail effectué au cabinet médical.

Données personnelles : la nLPD protège les données des personnes physiques. Sont protégées les données dites personnelles telles que le nom, l’adresse de domicile ou l’adresse e-mail, le numéro de téléphone et d’autres informations qui se rapportent très concrètement à une personne ou qui permettent de l’identifier. La nouvelle loi améliore la protection des personnes concernées (dans le cadre d’un cabinet médical, il s’agit donc de la patientèle) et la transparence de l’utilisation des données. Il convient de garantir la sécurité des données personnelles et de préciser clairement la finalité de leur collecte.

Données particulièrement sensibles : pour les données particulièrement sensibles, dont font partie les données relatives à la santé, les exigences en matière de protection des données sont plus élevées et le traitement de ces données requiert le consentement explicite du ou de la patient·e. Par leur profession, les médecins sont des « collecteurs de données ». En effet, en vertu de la loi fédérale sur les professions médicales et des lois cantonales sur la santé, les médecins se doivent de tenir un dossier médical et donc de collecter des données.

Consentement des patientes et patients

La loi révisée exige que les patient·es reçoivent une information transparente sur le traitement des données. Ils doivent notamment être informés de la finalité du traitement des données et des destinataires des données (p. ex. laboratoire, partenaire débiteur, etc.). Il est recommandé de faire signer le formulaire d’inscription par la patientèle en gage de consentement explicite. Si un·e patient·e refuse de donner son consentement, le cabinet médical peut refuser le traitement, sauf s’il s’agit d’une urgence médicale.

Principes du traitement des données

La nouvelle loi sur la protection des données n’a apporté que peu de changements aux principes d’un traitement licite des données. Les adaptations nécessaires des procédés actuels de traitement des données peuvent être résumées comme suit.

Registre des activités de traitement : la nLPD prévoit que tous les collecteurs de données qui traitent des données personnelles particulièrement sensibles à grande échelle doivent établir un « registre des activités de traitement ». Compte tenu des données habituellement collectées dans les cabinets médicaux, on peut partir du principe que la majorité des cabinets médicaux sont tenus de gérer un tel registre. La FMH met à disposition, sur son site Internet, un guide de recommandations pour l’établissement du registre ainsi qu’un modèle.

Déclaration de protection des données : sur le site Internet de chaque cabinet médical doit figurer une déclaration de protection des données. Il doit expliquer simplement qui consulte les données collectées et ce qui est fait avec lesdites données. Si des services externes sont utilisés (p. ex. des outils de newsletter ou des outils Google), il convient de les mentionner. L’utilisation de cookies doit également être clarifiée dans la déclaration de protection des données. Il est recommandé de vérifier les déclarations de protection des données déjà existantes et de les adapter si nécessaire au regard des nouvelles dispositions. Un modèle est disponible sur le site Internet de la FMH.

Déclaration de confidentialité : dans les cabinets médicaux, le secret revêt déjà une grande importance du point de vue du droit pénal et de la protection des données. Il faut partir du principe que les contrats de travail conclus avec le personnel (assistant·es médicaux·ales ou personnel spécialisé dans le nettoyage) contiennent déjà des conventions de confidentialité. En l’absence de telles déclarations, il convient de rédiger lesdites conventions. Un modèle est disponible sur le site Internet de la FMH.

Convention de traitement de données en sous-traitance : conformément à la nLPD, il convient de créer une base contractuelle pour la sous-traitance réalisée par un responsable du traitement des données, par exemple un·e comptable, un·e fiduciaire, un·e prestataire de logiciels ou un·e partenaire de gestion des débiteurs. Une convention de traitement de données en sous-traitance constitue le complément du contrat principal pour ce qui est de la protection des données. Pour les fournisseurs professionnels, il y a lieu de considérer que de telles conventions ont déjà été établies de manière juridiquement valable ou que les contrats existants ont été dotés d’un complément correspondant. Un guide utile et un modèle concret sont disponibles sur le site Internet de la FMH.

Demandes de protection des données émanant de patient·es

L’ancienne et la nouvelle loi sur la protection des données indiquent que les personnes concernées, à savoir la patientèle, peuvent faire une demande concernant leurs données. En vue d’assurer le bon traitement desdites demandes par le cabinet médical, la Caisse des Médecins a rédigé une fiche d’information claire qui décrit la procédure concrète et contient des propositions de réponses standard. La fiche d’information et un formulaire de demande pour la patientèle se trouvent sur le site Internet de la Caisse des Médecins.

Violation de la sécurité des données

À l’avenir, il faudra s’assurer de repérer les violations de la protection des données et de les signaler aux services responsables. Chaque cabinet médical doit donc prévoir une procédure adéquate ainsi qu’informer et instruire son personnel. Ce dernier doit savoir comment gérer la sécurité des données et à qui il doit s’adresser en cas de violation. En outre, les cabinets médicaux doivent signaler à l’autorité de surveillance toute violation grave de la sécurité des données. Il y a violation de la sécurité des données par exemple lorsqu’une clé USB contenant des données personnelles est perdue ou que le système du cabinet a été « piraté » de l’extérieur. Des documents utiles à ce sujet sont également disponibles sur le site Internet de la FMH.

La sanction n’est pas une fatalité

La violation des obligations d’information, de renseignement et de coopération ou le non-respect des obligations de diligence peuvent être sanctionnés par des amendes allant jusqu’à CHF 250 000.-. Afin de les éviter, il est important que la collecte et l’utilisation des données personnelles soient conformes à la loi, que les informations nécessaires puissent être consultées et qu’une explication claire soit donnée quant à la finalité et les éventuels destinataires des données. Il convient également d’indiquer le responsable des données. Chaque cabinet doit désigner une personne de contact pour les questions de protection des données. Si aucun·e collaborateur·trice n’est explicitement désigné·e, alors le ou la propriétaire du cabinet devrait en principe être la personne responsable.

En raison de la nLPD, quelques changements doivent être apportés dans les cabinets médicaux. Avec l’aide des nombreux modèles et exemples (voir les indications dans l’encadré ci-dessous) et la prudence nécessaire, la charge de travail restera dans des limites raisonnables.