Paré pour l’avenir avec la Caisse des Médecins

FAQ sur la protection des données dans les cabinets médicaux et thérapeutiques

Avec le présent FAQ (frequently asked questions), la Caisse des Médecins a tenté de rassembler les questions posées au quotidien, et d’y répondre. Les réponses sont toujours liées au cas concret. Les éléments d’information ci-après doivent fournir un aperçu rapide et des réponses générales. Ils ne remplacent pas un conseil juridique, ne prétendent pas à l’exhaustivité et ne peuvent s’appliquer à toutes les situations.

I. La collecte de données au cabinet en général

Qu’appelle-t-on «données personnelles»?

Sont considérées comme des données personnelles ou à caractère personnel toutes les données concernant une personne, et qui l’identifient ou participent à son identification. La notion de données personnelles doit donc être entendue au sens large. La loi relative à la protection des données établit ici une distinction entre les données personnelles et les données personnelles sensibles.

Toutes les données personnelles sont par principe sensibles.

Qu’appelle-t-on «données sensibles»?

En tant que données personnelles sensibles, la loi cite notamment les données relatives à la santé et à la sphère intime, ainsi que les données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales. Dans le contexte du traitement des données personnelles sensibles, la loi prévoit toutefois des exigences supplémentaires.

Font notamment partie des données personnelles traitées au cabinet :

  • les données permanentes et de contact des patient·es, des collaborateur·trices, des interlocuteur·trices auprès de prestataires et d’autres établissements de santé (par exemple : nom, numéro de téléphone, adresse, courriel, date de naissance)
  • les enregistrements concernant le déroulement d’un traitement, la description de symptômes, les diagnostics, les prescriptions, les réactions, les résultats d’analyses, les radiographies, les médications
  • le statut auprès de l’assurance sociale
  • les données relatives à la sphère intime comme l’état de santé, la vie sexuelle ou sentimentale
  • les données concernant les collaborateur·trices et le contrat de travail, ce qui inclut les évaluations et les fiches de salaire
Quelles données doivent être collectées au cabinet?
  • les données permanentes et de contact des patient·es, des interlocuteur·trices auprès de prestataires et d’autres établissements de santé (par exemple : nom, numéro de téléphone, adresse, courriel, date de naissance)
  • les enregistrements concernant le déroulement d’un traitement, la description de symptômes, les diagnostics, les prescriptions, les réactions, les résultats d’analyses, les radiographies, les médications
  • le statut auprès de l’assurance sociale
  • les données relatives à la sphère intime comme l’état de santé, la vie sexuelle ou sentimentale
Qu’en est-il des données internes du cabinet?

Les cabinets sont toutefois également tenus de traiter correctement les données de leurs collaborateur·trices. Cela inclut le consentement des collaborateur·trices. Sont généralement comprises ici les données personnelles suivantes:

les données concernant les collaborateur·trices et le contrat de travail, ce qui inclut les évaluations et les fiches de salaire

Quelles données peuvent être collectées?

La collecte de données est toujours liée à une finalité. Autrement dit, la raison pour laquelle des données sont demandées, est déterminante. Pour les cabinets médicaux et thérapeutiques, deux perspectives s’imposent :

Perspective administrative

L’administration des patient·es peut demander le nom, la date de naissance, les données de contact, l’organisme assureur, le numéro d’assuré·e si la facturation est effectuée par l’intermédiaire de la caisse d’assurance maladie. Le nom et l’adresse sont les données minimales requises lorsque la facturation ne passe pas par une caisse d’assurance maladie. Une adresse électronique est également nécessaire en cas d’envoi dématérialisé de la copie de la facture en tiers payant. Le·la patient·e doit indiquer une adresse électronique à laquelle il·elle est le·la seul·e à avoir accès. Mais c’est le·la patient·e qui décide en définitive de l’accès et des standards de chiffrement pour son adresse électronique. D’autres données peuvent aussi être demandées si besoin.

Perspective médicale

Dans le cadre d’un traitement médical, d’autres informations doivent être demandées. Ces données sont en lien avec la mission de soins. Elles peuvent concerner des maladies préexistantes, des allergies connues, une intolérance à certains médicaments, des maladies transmissibles, des symptômes, etc. Ici encore, il importe que la mission de soins requière, en tant que finalité, la collecte de ces données médicales.

Le dossier médical classique

La loi sur les professions médicales et les lois cantonales sur la santé prévoient une obligation explicite de conservation des données. D’une façon très générale, les professionnel·les de santé doivent être en mesure de documenter le parcours de soins et les informations transmises au ou à la patient·e. Chaque professionnel·le de santé est soumis ici à une obligation de faire la preuve.

Pour ce qui est du contenu, la situation médicale sera constatée par le praticien dans le respect des règles de la médecine en vigueur. Cela concerne plus particulièrement l’anamnèse, l’évolution de la maladie et les diagnostics afférents. Il importe aussi de mentionner l’éventuelle prise en charge des dépenses par le·la patient·e, ou s’il y a un doute quant au règlement par la caisse d’assurance.

On consignera aussi dans le dossier médical les traitements prescrits avec les explications fournies au ou à la patient·e, ainsi que les médicaments prescrits et les certificats d’incapacité de travail délivrés.

Ces informations doivent être objectives. Selon une pratique constante, seules les notes personnelles ne font pas partie du dossier médical, mais il faut en user avec une grande circonspection.


Qu'en est-il du secret professionnel?

Le secret professionnel s’applique par ailleurs aux professions citées à l’article 321 du code pénal. Le secret professionnel va plus loin, en soi, que la protection des données. Le·la patient·e peut autoriser la communication de données relevant du secret professionnel (et de la protection des données ; cf. aussi « consentement du ou de la patient·e) ; il arrive aussi que des motifs légaux permettent la transmission des données sans consentement préalable. Au cabinet, le cas le plus fréquent concerne la communication de données à un·e autre professionnel·le de santé dans la chaîne directe de soins. En cas de doute, les directions de la santé et les services de l’hygiène dans les cantons proposent une « décharge officielle » mais celle-ci doit être sollicitée concrètement. La question de savoir si la décharge de l’obligation au secret professionnel doit être recueillie pour chaque traitement pose ici problème. Cela alourdit encore la charge administrative au cabinet. Aussi pourrait-on se baser dans un premier temps sur le formulaire patient·e avec une telle décharge lors de l’inscription.

Quel est l’objectif de la protection des données?

La protection des données porte sur l’autodétermination en matière d’information et sur une protection contre les traitements frauduleux de données, qui atteignent les personnes physiques dans leur personnalité ou dans leurs droits fondamentaux. La loi sur la protection des données a pour but de protéger ces droits en fixant des règles pour la gestion et le traitement des données personnelles.

Quels sont les changements apportés par la nouvelle loi?

La révision de la loi sur la protection des données (LPD), qui entrera en vigueur le 1er septembre 2023, renforce notamment l’autodétermination des personnes concernées, dans le contexte de leurs données, en obligeant les responsables de traitements à plus de transparence, et en élargissant les droits des personnes concernées. Les changements pertinents pour les cabinets sont principalement les suivants :

  • La définition des données personnelles sensibles englobe désormais les données génétiques et biométriques, dès lors qu’elles identifient clairement une personne physique.
  • Les conditions plus strictes, qui s’imposent au traitement des données personnelles sensibles, s’appliquent désormais à ce type de données également.
  • L’actuel registre des fichiers est remplacé par un registre des activités de traitement. Ce n’est plus le fichier qui est au centre, mais le type et la finalité du traitement des données personnelles.
  • La loi prévoit aussi la réalisation d’analyses d’impact relatives à la protection des données personnelles lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
  • La révision de la loi sur la protection des données prévoit un devoir d’informer pour les violations de la sécurité des données.
  • Les dispositions pénales ont été renforcées.
Où et comment les patient·e·s doivent-ils·elles donner leur consentement?

Les données demeurent par principe la propriété du ou de la patient·e. Autrement dit, le·la patient·e peut décider de la façon dont ses données personnelles sont utilisées, en dehors du cadre des obligations légales. Par ailleurs, pour chaque professionnel·le de santé, les données des patient·e·s vont de pair avec des obligations, en premier lieu celle de les conserver. La législation impose au personnel de santé d’enregistrer le « dossier médical ». Selon la nouvelle loi sur la protection des données, le consentement pour le traitement de données personnelles sensibles doit être expressément recueilli. Explicitement, il faut désormais démontrer que le patient·e accepte, en tant que personne concernée, que ses données soient traitées. Cela implique la nécessité d’informer le·la la patient·e et de lui indiquer à qui sont transmises les données, et dans quel but. A cet effet, la Caisse des Médecins a modifié le formulaire patient·e et rédigé une lettre d’information pour les patient·e·s, pour consultation ou à remettre.

Quand et à quelle fréquence le·la patient·e doit-il·elle renouveler son consentement?

A l’heure actuelle, il ne peut être répondu à cette question que sous toute réserve. Le temps apportera l’expérience requise. Il semble important d’engager le processus de recueil du consentement explicite auprès du ou de la patient·e, et que ce processus soit effectivement en place au 1er septembre 2023. Il est assez probable que le consentement ne sera pas demandé à chaque fois (c’est ce qui est prévu dans le secteur hospitalier). Une périodicité raisonnable sera vraisemblablement trouvée, de façon à ne pas alourdir inutilement la charge administrative. A l’heure actuelle, tous les deux ou trois ans semble une fréquence indiquée, qui peut toutefois varier au cas par cas.

Comment dois-je conserver le consentement?

En ce qui concerne la déclaration de consentement, il s’agit finalement d’une mesure probatoire du ou de la professionnel·le de santé, qui sera tenu·e dans certaines circonstances de prouver que le patient X ou la patiente Y accepte expressément que ses données soient traitées – ce qui inclut leur transmission à des destinataires bien précis. Il est donc conseillé de scanner la déclaration de consentement et de l’enregistrer dans le dossier patient·e. Il n’est pas impératif de conserver l’original lorsque le document scanné est bien lisible. Conserver tous les formulaires signés dans un classeur séparé serait également concevable.

II. Principes relatifs à la protection des données

Quels principes régissent la protection des données?

La loi et l’ordonnance prévoient des dispositions contraignantes, qui doivent être observées dans le contexte du traitement de données. Le traitement de données personnelles est par principe légitime lorsque l’ordre juridique et les prescriptions en matière de protection des données sont respectés.

Dans le contexte du traitement des données personnelles, les professionnel·les de santé ont un devoir d’information à l’égard de la personne concernée (notamment les patient·es). Les professionnel·les de santé ont l’obligation de fournir aux patient·es des informations compréhensibles sur le traitement des données, en précisant dans quel but les données personnelles sont collectées et traitées, et à quelles catégories de destinataires elles sont transmises.

La collecte et la finalité du traitement doivent être réalisées de manière transparente, et en toute confiance et loyauté. Si le recueil des données et l’objet du traitement ne tombent pas sous le sens pour la personne concernée, il convient de l’informer à ce sujet. « En toute confiance et loyauté » signifie aussi que les données ne seront traitées que dans la mesure pouvant être attendue par la personne concernée.

Le traitement des données personnelles doit être proportionné. Cette condition est satisfaite lorsque le traitement est limité aux données appropriées et nécessaires pour exécuter la mission ou réaliser la finalité mentionnée.

Le traitement doit être adapté au but poursuivi. Cette condition est satisfaite lorsque le traitement des données personnelles est exclusivement effectué pour la finalité définie et mentionnée au moment de la collecte des données.

Les données personnelles incorrectes seront corrigées ou supprimées.

Qu’appelle-t-on «traitement de données»?

Au sens de la loi, le traitement englobe toute opération concernant des données personnelles, indépendamment des moyens et procédés utilisés, en particulier la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, la suppression ou encore la destruction des données. La communication de données personnelles désigne aussi bien la transmission en tant que divulgation délibérée, que le fait de rendre les données accessibles, par imprudence, à des tiers non autorisés.

Quels sont les principes à respecter dans le cadre de la protection des données?

1. Légitimité: Des données personnelles ne seront traitées qu’en vertu de la loi ou d’un contrat, et en toute confiance et loyauté.

Ai-je une convention avec le·la patient·e, le·la partenaire, ou un consentement? A moins que je ne sois tenu·e de traiter les données en application d’une disposition légale?

2. Proportionnalité: Le traitement des données sera proportionné. Cela signifie que les données doivent être nécessaires, adéquates et objectivement appropriées pour le but poursuivi.

Ai-je vraiment besoin des données pour travailler, pour exécuter le contrat ou me conformer à une obligation légale?

3. Transparence et finalité: Des données personnelles ne peuvent être recueillies et traitées que pour atteindre un but déterminé et identifiable par la personne concernée.

Le motif et le but pour lesquels j’ai besoin de ses données sont-ils explicites pour moi comme pour le·la patient·e?

4. Conservation: Une fois que des données personnelles auront permis d’atteindre l’objectif poursuivi, elles seront détruites (effacées) ou rendues anonymes.

La finalité détermine la (durée de) conservation. Attention : dans le secteur de la santé, l’obligation de conservation est en opposition avec le dossier médical.

5. Intégrité des données: Quiconque traite des données personnelles doit s’assurer de leur exactitude, et prendre toutes les mesures adéquates pour corriger, effacer ou détruire celles qui seraient inexactes ou incomplètes.

On veillera par principe à avoir des données correctes et à jour.

6. Consentement Lorsque le consentement de la personne concernée est nécessaire, ce consentement n’est valable que s’il a été donné librement pour un ou plusieurs traitements de données déterminés, après avoir reçu une information adéquate. Cette règle concerne plus particulièrement le traitement de données sensibles. Les données personnelles sensibles ne peuvent être communiquées à des tiers sans motif justificatif, ni sans l’autorisation de la personne concernée.

En ce qui concerne les données de santé, un consentement explicite (avec signature) doit être recueilli, en précisant les catégories de données, la finalité et les destinataires éventuels.

7. Sécurité des données Les données personnelles doivent être protégées par des mesures techniques et organisationnelles contre les traitements non autorisés, et ne peuvent être traitées que pour la finalité prévue.

Les systèmes et accès aux données, que ce soit sur l’ordinateur ou dans le meuble-classeur, seront sous clé et contrôlés, de façon à exclure toute intrusion par personne non autorisée. Il en va de même pour les mots de passe, les ordinateurs en cours d’utilisation, ou encore les dossiers médicaux dans la salle de soins.

III. Remise des données

A qui puis-je transmettre des données?

Par principe, les patient·es doivent donner leur accord pour la communication de leurs données. Le formulaire de consentement de la Caisse des Médecins intègre dès à présent les communications habituelles.

Qu’en est-il de la remise de la documentation du ou de la patient·e par l'hôpital?

Les principes de la protection des données s’imposent pareillement aux hôpitaux. Toutefois, en fonction des bases légales cantonales, ceux-ci peuvent inclure des dispositions complémentaires. En matière de protection des données, les cantons ont souvent des législations cantonales qui s’appliquent principalement aux organismes publics et aux autorités. Selon le cas, celles-ci concernent aussi les hôpitaux.

IV. Organisation du traitement des données au cabinet

Comment organiser l’accès aux données au sein du cabinet?

Par principe, tous les cabinets ont l’obligation de protéger l’accès aux données. Pour les données électroniques, cela implique que les accès soient protégés par mot de passe, que les entrées soient sécurisées par des dispositifs techniques, et que les ordinateurs et serveurs ne soient pas accessibles. Cela présuppose aussi de ne pas communiquer les mots de passe, et de ne pas les inscrire sur un post-it collé sur l’écran. L’accès doit être personnel. Autrement dit, la nouvelle loi sur la protection des données et l’ordonnance exigent d’enregistrer les personnes qui accèdent aux données et les modifient ou les suppriment, ainsi que le moment où ces opérations sont effectuées. Cette règle s’applique aussi aux données physiques, qui doivent être en conséquence sous clé.

A propos du SSO

Pour simplifier la gestion des accès, la Caisse des Médecins a introduit l’authentification unique (Single Sign-On ou SSO). Cela permet d’affecter les accès qui doivent être effectués personnellement.

Qu’est-ce qu’un registre des activités de traitements de données?

Avec l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (LPD), les responsables de traitements sont tenus dans certaines conditions de tenir un registre des activités de traitement. Cette obligation concerne les responsables de traitements avec plus de 250 salarié·es, ainsi que ceux qui effectuent des traitements importants de données personnelles sensibles. En raison de la nature particulière des données de santé, il est conseillé aux professionnel·les de santé ou aux cabinets de répertorier dans le registre tout au moins les activités de traitement centrées sur des données personnelles sensibles (tenue et gestion des dossiers médicaux, administration des données des patient·es pour la facturation des assurances sociales, administration du personnel, etc.). Par principe, les responsables de traitements (les cabinets par exemple) et certain·es sous-traitant·es (les centres de facturation par exemple) doivent tenir un registre.

Qu’appelle-t-on «analyse d’impact relative à la protection des données personnelles»?

La loi prévoit aussi la réalisation d’analyses d’impact relatives à la protection des données personnelles lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Un tel risque peut être présent, par exemple, lorsque des données personnelles sensibles comme des données de santé sont traitées, ou lorsque de nouvelles technologies (produits sur le cloud, intelligence artificielle) sont mises en œuvre pour le traitement des données personnelles. Il peut être fait abstraction de l’analyse d’impact relative à la protection des données personnelles lorsque le traitement est imposé par la loi, lorsque les systèmes, produits ou services employés pour le traitement prévu sont certifiés, ou encore lorsqu’un code de conduite présenté au préposé fédéral à la protection des données personnelles et à la transparence (PFPDT) est observé.

Qui est responsable au sein du cabinet médical ou thérapeutique?

Le responsable du traitement au sens de la loi sur la protection des données demeure par principe le cabinet médical ou thérapeutique. Celui-ci est responsable du respect de la protection des données et doit plus particulièrement garantir la protection des droits fondamentaux et de la personnalité de sa patientèle et de son personnel.

Si un cabinet a besoin ou souhaite une assistance pour la concrétisation des exigences en matière de protection des données, il a la possibilité de faire appel à un·e conseiller·ère, interne ou externe, à la protection des données. La désignation d’un·e conseiller·ère à la protection des données est facultative pour les cabinets de droit privé. Ils n’y sont pas tenus par la loi.

V. Conservation et suppression de données

VI. Sécurité des données

Que faut-il entendre par «sécurité des données»?

La sécurité des données ne correspond pas à la protection des données. La sécurité des données met en œuvre des mesures techniques et organisationnelles pour prévenir une violation de la protection des données. La sécurité des données est donc très individuelle et se situe en aval de la protection des données. Pour préserver les droits fondamentaux des patient·es et des collaborateur·trices, il convient de protéger leurs données personnelles contre les accès non autorisés, les modifications et les pertes. Le cabinet est tenu de mettre en œuvre des mesures techniques et organisationnelles pour la sécurité des données. Ces mesures seront par principe choisies en fonction du risque. En conséquence, il convient de respecter les dispositions de l’ordonnance sur la protection des données.

Quels exemples de mesures techniques et organisationnelles pourrait-on citer?

Accès restreints aux systèmes ainsi qu’aux dossiers physiques (dossiers papier par exemple), sauvegardes (back-ups), formations pour les collaborateur·trices, etc.

Qu’est-ce qu’une transmission de données sécurisée?

Un chiffrement est recommandé. Bon nombre de fournisseurs en proposent. HIN offre un excellent environnement dans ce domaine.

Le chiffrement des courriers électroniques est-il toujours impératif?

Ici encore, la décision doit revenir au ou à la patient·e. Par principe, le·la patient·e fournit des renseignements concernant l’adresse électronique souhaitée. Après information, les données pourront être transmises sans chiffrement si le·la patient·e y consent expressément. Mais cela ne s’applique pas impérativement aux courriers électroniques entrants, qui n’émanent pas nécessairement de la personne qui a envoyé le mail. De plus, les professionnel·les de santé ne devraient jamais engager un échange de courriers électroniques non chiffrés avec le·la patient·e, sans que l’adresse électronique ait été mentionnée et confirmée explicitement par le·la patient·e.