Nouvelle loi sur la protection des données :
Adaptations dans les cabinets médicaux et thérapeutiques pour septembre 2023
Cher·ères médecins, cher·ères thérapeutes,
Depuis le 1er septembre 2023, la loi révisée sur la protection des données (LPD), annoncée depuis longtemps, est en vigueur.
Elle contient de nouvelles dispositions concernant le traitement des données personnelles dans la pratique médicale et thérapeutique. Certes, il ne s'agit pas d'une révolution, mais pour le travail quotidien dans les cabinets médicaux et thérapeutiques, des adaptations sont nécessaires à différents égards entre le secret professionnel et la protection des données. Nous vous donnons volontiers un aperçu et vous renvoyons aux outils et listes de contrôle correspondants de la FMH.
L'essentiel en bref :
Consentement de la patientèle
Les patient·es conservent la maîtrise de leurs données - les professionnel·les de santé en assument la responsabilité. Dans la pratique médicale, des données personnelles sont collectées et traitées quotidiennement. Avec la révision de la loi, il devient donc encore plus décisif que les personnes concernées, c'est-à-dire vos patient·es, soient informées de manière transparente sur le traitement des données - en particulier sur le but du traitement et, le cas échéant, sur les autres destinataires des données. Pour obtenir ce consentement, il est désormais nécessaire qu'il soit explicite - c'est-à-dire écrit et accompagné d'une signature correspondante en guise de confirmation. En principe, nous recommandons de demander le consentement au fur et à mesure et de le classer en conséquence. Actuellement, aucune pratique n'a encore été mise en place concernant la fréquence de répétition de cette procédure.
Responsable du traitement et sous-traitant
La loi prévoit explicitement la responsabilité, et donc la responsabilité de chaque médecin lui ou elle-même. Les principes d'un traitement légal des données ne changent pas. Néanmoins, le responsable du traitement des données - ou le « responsable », comme il est appelé dans la nouvelle loi - doit respecter diverses nouvelles dispositions qui peuvent impliquer une adaptation des processus de traitement des données actuels. Nous partons du principe que les grands partenaires du secteur de la santé, notamment vos fournisseurs de logiciels, HIN, mais aussi les laboratoires et les fournisseurs de médicaments ainsi que d'autres fournisseurs, viendront d'eux-mêmes vers vous en tant que responsables du traitement des commandes afin de convenir d'un traitement des commandes conforme à la protection des données. Si vous n'avez pas de nouvelles de vos partenaires d'ici l'été, nous vous recommandons de vous renseigner activement auprès d'eux. Nous en avons déjà tenu compte dans nos contrats de service à l'avenir.
Registre des activités de traitement
Actuellement, nous partons du principe que la majorité des cabinets auront l’obligation de tenir un registre des activités de traitement. Cette future obligation de tenir un tel registre s'applique à tous ceux qui traitent « des données personnelles sensibles à grande échelle ». Le registre doit contenir les informations détaillées dans la loi. Actuellement, cette obligation consistait partiellement en la tenue du « registre des fichiers ».
Déclaration de protection des données
En outre, la révision peut également impliquer l'adaptation de la déclaration de protection des données de votre cabinet. Aujourd'hui, les déclarations de protection des données ont souvent été édictées en relation avec la page d'accueil ou des indications concrètes sur le traitement des données. Il est donc conseillé de vérifier les déclarations de protection des données existantes par rapport aux nouvelles dispositions.
Violation de la sécurité des données
Dans certains cas, les cabinets doivent annoncer une violation de la sécurité des données à l'autorité de surveillance, c'est-à-dire au Préposé fédéral à la protection des données et à la transparence (PFPDT). Il y a par exemple violation de la sécurité des données lorsqu'une clé USB contenant des données personnelles enregistrées est perdue ou que le système du cabinet a été "piraté" de l'extérieur. L'obligation de déclarer n'existe que si l'on peut supposer qu'il en résulte un risque élevé pour les droits de la personnalité des personnes concernées, ce qui ne peut pas être exclu d'emblée dans le cas des données de santé. Il est donc recommandé aux cabinets médicaux de définir une procédure pour faire face à de telles situations.
Demandes de protection des données, demandes de communication et conservation des données
Même si elles ne sont pas nouvelles, les demandes de protection des données et les demandes de communication sont un sujet récurrent. Nous disposons à cet effet d'une liste de contrôle qui prévoit directement les réponses standard correspondantes et qui constitue un guide pour une réponse correcte et rapide.
Dans le cadre de la nouvelle législation, la conservation et l'effacement ont également été mis à jour. Même si aucune adaptation révolutionnaire n'a été mise en œuvre dans ce domaine, il vaut néanmoins la peine de vérifier si la conformité est assurée. Il est important de noter que l'obligation légale de conservation du corps médical, basée sur la loi sur les professions médicales et les dispositions correspondantes de la loi cantonale sur la santé, s'oppose en principe à un droit d'effacement des patient·es. Nous conseillons donc de procéder à un examen concret et de ne procéder qu'avec retenue à l'effacement si celui-ci est exigé par les patient·es.
En fin de compte, vous devez également penser à vos collaborateurs tels que les assistants médicaux, les fournisseurs et autres partenaires commerciaux. Toutes les obligations que vous avez en matière de protection des données concernent également vos « partenaires ». Ici aussi, nous partons du principe que les accords correspondants existent déjà aujourd'hui. Si ce n'est pas le cas, nous vous recommandons d'attendre et de ne prendre contact avec un éventuel partenaire que si ce dernier ne vous a pas informé avant l'été.
N'oubliez pas que le secret professionnel prime de toute façon sur la protection des données. Cela ne vous dispense pas de respecter les dispositions de protection des données susmentionnées, mais le fait de traiter correctement le « secret professionnel de la patientèle » répond déjà à de nombreuses exigences en matière de protection des données.
Vous trouverez une gamme d'outils en cliquant sur le lien suivant.
Remarque importante
Nous modifions en permanence notre page web et actualisons régulièrement les modèles. N'hésitez donc pas à nous rendre visite régulièrement.
Nous répondrons volontiers aux questions les plus importantes dans la rubrique FAQ. L'utilisation des contenus de notre page web ainsi que des modèles et des listes de contrôle est conçue comme une aide et un soutien pour votre quotidien en matière de protection des données, les dispositions légales et contractuelles prévalant sur celles-ci.