Donnée personnelles
1. Préambule
Le présent dossier a pour but de rendre attentif les collaborateurs sur les nouvelles normes en vigueurs de la loi sur la protection des données.
Les données récoltées sont issues principalement de la Fédération des médecins helvétique (FMH), de l’association suisse des ergothérapeutes (ASE), ainsi que de la formation continue (CVCI)
2. Infos pratiques
3. Protection des données
La loi fédérale sur la protection des données et son ordonnance ont pour but de protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles sont traitées, on parle ainsi de la protection de données sensibles.
Les médecins et leur personnel doivent traiter les données personnelles conformément à ces exigences légales.
La présente fiche d’information explique en quoi consiste la protection des données, ce que cela implique pour les cabinets médicaux et ce dont il faut tenir compte dans ce contexte.
Des liens vers des outils tels que des modèles, des processus ou des listes de contrôle ont été insérés dans les différents chapitres, dans le but de soutenir les cabinets médicaux dans leur gestion de la protection des données. En plus du présent document, il est possible de consulter une FAQ sur le thème de la protection des données dans les cabinets médicaux.
3.1. But et finalité de la protection des données
La protection des données porte sur l’autodétermination en matière d’information et la protection contre les traitements abusifs de données portant atteinte à la personnalité ou aux droits fondamentaux des personnes physiques.
La loi sur la protection des données a pour but de protéger ces droits en définissant des prescriptions relatives à la gestion et au traitement des données personnelles, en d’autres termes, la loi sur la protection des données régit le traitement de données personnelles concernant des personnes physiques, effectué par des personnes privées et des organes fédéraux.
3.2. Modifications apportées par la nouvelle loi sur la protection des données
La loi sur la protection des données (LPD) révisée, qui entrera en vigueur le 1er septembre 2023, renforce en particulier l’autodétermination des personnes concernées quant à leurs propres données en imposant aux responsables du traitement une transparence accrue et en étendant les droits des personnes concernées. Pour les cabinets médicaux, les principales modifications sont les suivantes :
- La définition des données sensibles est étendue aux données génétiques et biométriques, pour autant qu’elles permettent d’identifier une personne physique de manière univoque. Les conditions plus strictes du traitement de données sensibles s’appliqueront à l’avenir également à ces types de données.
- L’actuel registre des fichiers est remplacé par un registre des activités de traitement. Ainsi, l’accent n’est plus mis sur les fichiers, mais sur la manière dont sont traitées les données personnelles ainsi que la finalité de ce traitement (cf. section « Tenue du registre des activités de traitement »).
- La loi prévoit désormais la réalisation d’une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour les droits de la personnalité ou les droits fondamentaux de la personne concernée.
Un tel risque peut par exemple survenir lors du traitement de données sensibles telles que des données sur la santé ou en cas de recours à des nouvelles technologies (p. ex. produits cloud, intelligence artificielle) dans le cadre du traitement de données personnelles. Il est possible de renoncer à une analyse d’impact lorsque le traitement est effectué en vertu d’une obligation légale, lorsque les systèmes, produits ou services utilisés pour le traitement envisagé sont certifiés ou qu’il est prévu de respecter un code de conduite soumis au Préposé fédéral à la protection des données et à la transparence (PFPDT).
- La loi révisée prévoit une obligation d’annoncer les violations de la sécurité des données (cf. section « Obligation d’annoncer les violations de la sécurité des données »).
- Les dispositions pénales de la LPD sont renforcées (cf. section « Dispositions pénales en matière de protection des données »).
3.3. Définition : Données personnelles / donnée sensibles
Par données personnelles ou données à caractère personnel, on entend toutes les informations concernant une personne, qui permettent de l’identifier ou de contribuer à l’identifier. La notion de données personnelles doit donc être comprise au sens large.
La loi sur la protection des données distingue alors les données personnelles des données sensibles. Toutes les données personnelles sont en principe dignes de protection.
Font par exemple partie des données personnelles traitées dans les cabinets médicaux :
— les données de base et les coordonnées de la patientèle, du personnel, des personnes de contact des prestataires de services ou d’autres établissements de santé (p. ex. nom, numéro de téléphone, adresse, adresse e-mail ou date de naissance, ou encore :
- Prénom
- Assurance
- N° AVS
- Nom du médecin traitant
- Certificats médicaux
La loi prévoit toutefois des exigences supplémentaires pour le traitement de données sensibles. La loi désigne notamment comme données sensibles les données sur la santé, la sphère intime, les opinions ou les activités religieuses, philosophiques, politiques ou syndicales.
- les saisies et enregistrements relatifs au déroulement d’un traitement, à la description des symptômes, aux diagnostics, aux ordonnances, aux réactions, aux résultats de laboratoire, aux radiographies, aux médicaments ;
- le statut d’assurances sociales ;
- les données relatives à la sphère intime, telles que l’état de santé, la vie sexuelle ou affective ;
- les données relatives au personnel et aux rapports de travail, y compris les évaluations des performances et les décomptes de salaire.
3.4. Principes du traitement
Le traitement au sens de la LPD comprend toute opération relative à des données personnelles, quels que soient les moyens et les procédés utilisés, notamment la collecte, la conservation, l’utilisation, la modification, la communication, l’archivage ou la destruction des données. Les principes suivants s’appliquent au traitement de données personnelles :
- Le traitement de données personnelles est en principe licite lorsque l’ordre juridique en vigueur et les prescriptions en matière de protection des données sont respectés.
- Dans le cadre du traitement de données personnelles, les médecins ont un devoir d’information à l’égard des personnes concernées (notamment de la patientèle). Les médecins sont tenus d’informer leur patientèle de manière compréhensible sur le traitement des données, sur la finalité de la collecte et du traitement des données ainsi que sur les catégories de destinataires auxquels les données sont transmises.
- Afin d’assurer une information suffisante de la patientèle, les médecins utilisent des formulaires d’information, signés par la patiente ou le patient à l’issue des entretiens d’information, confirmant ainsi avoir compris les informations fournies et consentir à l’étape du traitement concerné.
- La collecte et la finalité du traitement doivent être effectuées de manière transparente et conforme au principe de la bonne foi. S’il n’est pas visible pour la personne concernée que des données sont collectées et / ou que la finalité du traitement n’est pas claire, elle doit en être informée. Le principe de la bonne foi signifie également que les données ne sont traitées que dans l’étendue à laquelle la personne concernée peut s’attendre.
Dans un souci de transparence, les cabinets médicaux peuvent par exemple mettre à disposition une déclaration de consentement ou une déclaration de protection des données donnant des informations sur le traitement des données.
Voir document mis à disposition pour la déclaration de consentement pour l’envoi d’information à des tiers et pour le site internet
Déclaration de protection des données
Le traitement des données personnelles doit être proportionné. La proportionnalité est assurée lorsque le traitement est limité aux données appropriées et nécessaires à l’accomplissement de la tâche ou à l’atteinte de la finalité indiquée. La proportionnalité signifie en outre que la durée de conservation des données personnelles ne doit pas dépasser le temps pendant lequel elles sont effectivement nécessaires à l’accomplissement de la tâche ou la durée requise par une obligation légale de conservation. Si des données personnelles ne sont plus nécessaires et qu’aucune obligation légale de conservation ne s’oppose à leur effacement, elles doivent être effacées définitivement.
se référer au guide pour la conservation et l’archivage (insérer lien)
Le traitement doit être approprié. Il l’est lorsque le traitement des données personnelles n’est effectué que pour la finalité définie et indiquée lors de la collecte des données.
- Si les données personnelles sont erronées, elles doivent être rectifiées ou effacées.
Par exemple si la patiente ou le patient déménage ou change de caisse-maladie.
3.5. Responsabilité au sein du cabinet
La personne responsable du traitement au sens de la loi sur la protection des données est en principe le cabinet médical. Il est responsable du respect de la protection des données et doit en particulier veiller à la protection des droits de la personnalité et des droits fondamentaux de sa patientèle ainsi que de son personnel.
Si un cabinet médical souhaite de l’aide dans la mise en oeuvre des exigences en matière de protection des données ou s’il en a besoin, il peut faire appel à une conseillère ou un conseiller à la protection des données interne ou externe. Le recours à des tels conseils est facultatif pour les cabinets médicaux relevant du droit privé et ne constitue pas une obligation légale.
La conseillère ou le conseiller à la protection des données est l’interlocuteur des personnes concernées pour toute question en la matière ainsi que celui du PFPDT ou des autorités cantonales chargées de la protection des données. Ses tâches sont de soutenir, conseiller et former le personnel de l’entreprise concernée en matière de protection des données ainsi que de participer à la mise en oeuvre des exigences en la matière (p. ex. lors du traitement des demandes des personnes concernées [devoir d’information, droit d’accès, remise des données, etc.], lors de l’élaboration de règles internes en matière de protection des données, etc.).
3.6. Sécurité des données
Les données personnelles doivent être protégées contre les accès non autorisés, les modifications et les pertes afin de garantir la protection des droits de la personnalité et des droits fondamentaux de la patientèle et du personnel. Le cabinet médical doit prendre des mesures techniques et organisationnelles appropriées en matière de sécurité des données. Le choix de telles mesures dépend en principe du risque encouru. Il convient par conséquent de respecter les prescriptions relatives à la sécurité des données de l’ordonnance relative à la loi fédérale sur la protection des données (OPD) révisée.
Les restrictions d’accès aux systèmes et aux données physiques (p. ex. dossiers papier), la sauvegarde des données (backups), la formation du personnel, etc. constituent des exemples de mesures techniques et organisationnelles.
Voir document des exigences minimales en matière de protection informatique
Exigences minimales pour la sécurité informatique des cabinets médicaux
La transformation numérique et les interconnexions accrues dans le domaine de la santé ouvrent de nouvelles perspectives et contribuent à l’amélioration des processus de traitement et au développement de la qualité en médecine.
Au-delà de ces avantages, elles comportent également des risques dans le domaine de la sécurité et de la protection des données : les cyberattaques contre les données de santé et les infrastructures informatiques (TIC) peuvent porter atteinte à la vie privée des patients, restreindre considérablement les activités quotidiennes d’un cabinet médical, causer un préjudice financier et nuire à la réputation ou influencer le traitement des patients.
Chaque cabinet médical est chargé de garantir la protection et la sécurité des données qu’il traite. Dans la loi sur la protection des données, le législateur qualifie les données médicales de données personnelles sensibles ce qui exige la mise sur pied d’un nombre important de mesures pour une protection adéquate de ces données. La mise en place, l’entretien et la maintenance d’une infrastructure informatique sécurisée mais aussi l’élaboration de normes de sécurité et la sensibilisation du personnel à une culture de la sécurité sont des tâches importantes qui exigent des ressources humaines et financières.
La FMH a élaboré les exigences minimales pour la sécurité informatique des cabinets médicaux dans le but de soutenir les propriétaires de cabinet et parce qu’aucune recommandation n’existe pour l’instant au niveau fédéral. Ces exigences sont de facto des recommandations assurant un niveau minimum de sécurité pour les données, les informations et les infrastructures informatiques (TIC).
Les exigences minimales sont disponibles en trois formats différents : une représentation graphique (D1), un programme en 11 points (D2) et un document détaillé avec les recommandations et les mesures préconisées (D3). Chaque document s’adresse à des groupes cibles différents. Les documents D1 et D2 sont destinés aux médecins, aux propriétaires de cabinets et à leur personnel. Ils offrent une vue d’ensemble des principales recommandations et mesures pour la sécurité informatique des cabinets médicaux. Le document D3 approfondit les recommandations et les mesures et, de ce fait, il est plutôt destiné aux prestataires informatiques (externes mandatés ou responsables internes).
3.7. Obligation d’annoncer les violations de la sécurité des données
Il y a violation de la sécurité des données lorsque la confidentialité, l’intégrité ou la disponibilité des données personnelles est violée. Tel est par exemple le cas lorsque des données sont :
- perdues ;
- effacées, détruites ou modifiées accidentellement ou sans autorisation ; ou
- accessibles à des personnes non autorisées ou consultables par elles.
Une violation de la sécurité des données pourrait par exemple être causée par :
- une erreur humaine ;
- des actes criminels (hacking) ;
- des malwares (introduction de logiciels malveillants) ;
- la perte ou le vol d’appareils (p. ex. ordinateurs portables), de supports de données
(p. ex. clés USB, disques durs, CD / DVD) ou de documents papier.
Tout cas de violation de la sécurité des données entraînant un risque élevé pour les droits de la personnalité ou les droits fondamentaux des personnes concernées doit être annoncé dans les meilleurs délais au PFPDT, conformément à la loi fédérale révisée sur la protection des données et à son ordonnance. Lorsque la violation de la sécurité des données n’a pas de conséquences pour la personne concernée ou seulement des conséquences minimes, il est possible de renoncer à l’annoncer.
L’annonce contient au moins les indications suivantes :
La nature de la violation de la sécurité des données (p. ex. destruction des données, vol des données, etc.) ;
- la date et la durée de la violation, lorsqu’elles sont connues ;
- les catégories de données personnelles et le nombre approximatif de données personnelles concernées, dans la mesure du possible ;
- les catégories de personnes concernées et le nombre approximatif de personnes concernées, dans la mesure du possible ;
- les conséquences de la violation de la sécurité des données, y compris les éventuels risques pour les personnes concernées (p. ex. impossibilité d’accès aux dossiers médicaux ne permettant qu’une traçabilité partielle du traitement, ce qui engendre un risque potentiel pour la santé de la personne concernée ; publication des dossiers médicaux sur le darknet, ce qui met en danger la personnalité de la personne concernée) ;
- les mesures prises ou envisagées pour remédier au défaut ou en atténuer les conséquences (p. ex. restauration de la sauvegarde de données numériques) ;
- le nom et les coordonnées d’une personne de contact.
S’il n’est pas possible de communiquer toutes les informations en même temps, les informations restantes peuvent être mises à la disposition du PFPDT petit à petit, dans un délai raisonnable.
Voir le point 4 : liste de contrôle et déroulement de la procédure en cas de violation de la protection des données
3.8. Droit d’accès des personnes concernées
Les patientes et les patients ont le droit d’obtenir gratuitement des renseignements sur les données les concernant et leur traitement, sans indication de motifs, pour autant qu’il n’existe aucune raison justifiant de refuser, restreindre ou différer un renseignement. La personne requérante doit pouvoir savoir dans un délai de 30 jours si des données la concernant sont traitées et, le cas échéant, de quelle manière. Peuvent être demandée :
- Les données qui n’existaient pas au moment du dép
- Les données auxquelles la LPD s’applique (Art 2 LPD)
- Les données en tant que telles et non l’intégrité d’un document contenant lesdites données
- Les faits et les jugements de valeur
- Les données figurant dans :
- Les e-mails de tout collaborateur ou mandataire de l’entreprise qui contiennent des données personnelles
- Les données qui figurent dans d’autres base de données :
- Dans les archives
- Sur l’ordinateur ou Smartphone professionnel ou privé utilisé à des fins professionnelles d’un collaborateur
- Chez un sous-traitant
- Un responsable conjoint du traitement ou au siège d’une autre société d’un même groupe
Voir le document : Instructions relatives aux demandes de renseignements et de remise de données personnelles
3.9. Tenue du registre des activités de traitement
La personne responsable du traitement qui procède à un traitement important de données sensibles (p. ex. des données relatives à la santé) ou à un profilage à risque élevé doit tenir un registre des activités de traitement. En raison de la sensibilité des données sur la santé, il est recommandé aux médecins et aux cabinets de tenir au moins un registre des activités de traitement centrées sur le traitement de données sensibles (p. ex. tenue et gestion des dossiers médicaux, gestion des données de la patientèle relatives au décompte des assurances sociales, etc.).
Le registre doit contenir au moins les indications suivantes :
- la fonction ou personne responsable du traitement ;
- la description du traitement et de sa finalité ;
- les catégories de données personnelles traitées ;
- les catégories de personnes concernées ;
- les catégories de destinataires dès lors que des données sont régulièrement communiquées à des tiers ;
- les États vers lesquels les données sont éventuellement transférées ainsi que les garanties existantes, pour les États tiers dont la législation n’assure pas une protection des données adéquate ;
- le délai de conservation des données ou les critères pour déterminer cette durée si celle-ci n’est pas connue ;
- une description des mesures techniques et organisationnelles visant à garantir la sécurité des données ;
- l’origine des données, dès lors qu’elles n’ont pas été collectées auprès de la personne concernée.
3.10. Sous-traitance
L’article de la loi révisée sur la protection des données réglemente le traitement des données par un sous-traitant. On parle par exemple de sous-traitance lorsqu’un système informatique est externalisé vers un centre de calcul externe ou que le décompte des salaires et des honoraires est externalisé.
VOIR LE DOCUMENT : MODÈLE DE CONVENTION DE TRAITEMENT DE DONNÉES EN SOUS-TRAITANCE & MODÈLE DE CONVENTION DE CONFIDENTIALITÉ & GUIDE CONCERNANT LES CONVENTIONS DE CONFIDENTIALITÉ ET DE TRAITEMENT DES DONNÉES EN SOUS-TRAITANCE
3.11. Dispositions pénales en matière de protection des données
En vertu de la loi sur la protection des données révisée, la violation d’exigences impératives en matière de protection des données peut, dans certains cas, entraîner une punissabilité personnelle. La personne physique fautive est alors punie d’une amende de 250’000 francs au plus, à condition que la violation de la protection des données ait été commise intentionnellement, c’est-à-dire que les obligations de coopération et de diligence aient été violées consciemment et volontairement.
4. Liste de contrôle et déroulement de la procédure en cas de violation de la protection des données
Le présent document a pour but d’aider à la préparation et au traitement des violations de la sécurité des données et de garantir le respect des exigences légales. Outre les définitions de la violation et de l’obligation d’annoncer, le document comprend également une liste de contrôle relative à la préparation ainsi qu’une procédure relative à la gestion d’un événement. Concernant les thèmes pour lesquels la loi n’a pas édicté de prescriptions, des recommandations ont été formulées quant à la marche à suivre. Afin d’éviter les redondances par rapport aux Exigences minimales pour la sécurité informatique des cabinets médicaux, qui prévoient des recommandations et des mesures en cas d’incidents de sécurité, il est parfois renvoyé aux différentes recommandations (R) et mesures (M-XX.XX) pour la sécurité informatique
4.1. Définition de la violation de la sécurité des données
Tout comme en matière de sécurité de l’information, la sécurité des données vise à protéger, par des mesures appropriées, les données personnelles contre la perte de confidentialité, d’intégrité ou de disponibilité.
Selon la loi sur la protection des données, il y a violation de la sécurité des données
- lorsque des données personnelles sont perdues, effacées, détruites ou modifiées de manière accidentelle ou illicite, ou lorsqu’elles sont divulguées ou rendues accessibles à des personnes non autorisées, par exemple en cas de perte d’un support de données tel qu’un ordinateur portable, un CD, une clé USB, etc. ou de destruction de données par un événement naturel tel qu’une inondation, un incendie ; ou en cas d’attaque par phishing.
Les indices d’une possible violation de la sécurité des données sont par exemple :
- effraction dans le cabinet médical,
- incendie.
4.2. Obligation d’annoncer
Lorsque la violation de la sécurité des données présente un risque élevé pour les personnes concernées, elle doit [1] être annoncée au Préposé fédéral à la protection des données et à la transparence (PFPDT). Selon la loi, le risque est élevé lorsque la violation de la sécurité des données compromet vraisemblablement les droits fondamentaux ou la personnalité des personnes concernées.
Voici quelques exemples de risques élevés :
- Les serveurs du cabinet médical sont attaqués et l’on suppose que les agresseurs ont eu accès à toutes les données sur la santé de la patientèle.
- Un dysfonctionnement technique a engendré l’effacement de toutes les données sur santé de la patientèle et la sauvegarde ne peut pas être restaurée.
- Les données de la patientèle sont transmises à des tiers par e-mail sans consentement et de manière non chiffrée.
4.3. Liste de contrôle
La liste de contrôle ci-après vise à vous aider à déterminer les points qu’il serait judicieux de définir de manière préventive. En cas de violation (soupçonnée) de la sécurité des données, des étapes importantes de la procédure sont ainsi déjà clarifiées et les décisions à prendre déjà définies.
Désignation de la personne responsable (responsable de la sécurité des données)
En cas de violation de la sécurité des données, en particulier lorsqu’une obligation d’annoncer selon le chiffre 1.2 est indiquée, le propriétaire du cabinet médical doit être informé immédiatement et les mesures requises doivent être mises en oeuvre conjointement avec lui.
Par analogie avec la mesure M-10.01 des Exigences minimales pour la sécurité informatique des cabinets médicaux D3, il convient de désigner une personne responsable en cas de violation de la sécurité des données (ci-après personne responsable de la sécurité des données). Il peut s’agir de la même personne qui a déjà été désignée pour les incidents de sécurité selon les exigences minimales pour la sécurité informatique (cf. également R1 des Exigences minimales pour la sécurité informatique des cabinets médicaux D3).
Aide-mémoire sur la violation de la sécurité des données
Il est recommandé d’élaborer au préalable un aide-mémoire destiné à aider le personnel à identifier une violation de la sécurité des données. L’aide-mémoire pourrait en outre inclure des exemples d’indices d’une violation de la sécurité des données.
Le ch. 1.1 Définition de la violation de la sécurité des données ci-avant peut servir d’aide.
Il est par ailleurs recommandé, dans le présent aide-mémoire, de définir des consignes concrètes à l’attention du personnel et de le sensibiliser davantage (cf. ch. 2. Procédure en cas de violation de la sécurité des données ci-après).
Documentation
La loi sur la protection des données prévoit qu’une violation de la sécurité des données doit être documentée par la personne responsable de la sécurité des données lorsque la violation doit être annoncée.
La documentation contient au moins :
- tous les faits liés à la violation de la sécurité des données (cf. également ci-après
- 2. Procédure en cas de violation de la sécurité des données, étape de la procédure « EP-07, Annonce au PFPDT »),
- les conséquences de la violation de la sécurité des données ainsi que
- les mesures prises pour limiter ou éliminer la violation de la sécurité des données.
Lorsque la violation de la sécurité des données n’est pas soumise à annonce, il est recommandé de documenter en plus le motif pour lequel il a été renoncé à l’annonce.
La documentation doit être conservée pendant au moins deux ans à compter de la date de la violation de la sécurité des données, conformément à l’ordonnance sur la protection des données
4.4. Procédure en cas de violation de la sécurité des données
| ÉTAPE DE LA PROCÉDURE | TÂCHE | DESCRIPTION DE LA TÂCHE |
|---|---|---|
| EP-01 | Violation de la sécurité des données | La sécurité des données a été violée et la violation a été identifiée par la personne responsable de la sécurité des données ou par une ou un membre du personnel (cf. ch. 1.1 Définition de la violation de la sécurité des données ci-avant). |
| EP-02 | Annonce immédiate | Si une collaboratrice ou un collaborateur a identifié une violation (potentielle) de la sécurité des données, la personne responsable de la sécurité des données (cf. ch. 1.3 Liste de contrôle, section « Désignation de la personne responsable ») doit en être immédiatement informée. |
| EP-03 | Évaluation de la violation de la sécurité des données | La personne responsable de la sécurité des données évalue l’annonce et la violation présumée de la sécurité des données. Pour l’évaluation, il est possible de recourir à la mesure M-10.03 des Exigences minimales pour la sécurité informatique des cabinets médicaux. |
| EP-04 | Évaluation des mesures | La personne responsable de la sécurité des données évalue la violation de la sécurité des données sur la base du risque prévisible puis détermine les mesures nécessaires au traitement de la violation. |
| EP-05 | Mise en œuvre des mesures immédiates | Si des mesures immédiates ont été définies dans EP-04, elles sont directement mises en œuvre pour limiter la violation de la sécurité des données (p. ex. isolation ou mise hors service de certains services ou systèmes). |
| EP-06 | Obligation d’annoncer LPD ? | La personne responsable de la sécurité des données examine si la violation de la sécurité des données est susceptible d’engendrer un risque élevé pour les personnes concernées et s’il existe une obligation d’annoncer au PFPDT. |
| EP-07 | Annonce au PFPDT | En cas d’obligation d’annoncer, l’annonce au PFPDT doit être préparée et doit contenir les informations nécessaires sur la violation (nature, durée, catégories de données, conséquences, etc.). |
| EP-08 | Information aux personnes concernées ? | La personne responsable évalue s’il est nécessaire d’informer les personnes concernées par la violation. Cela peut être nécessaire si des mesures de protection sont requises ou sur demande du PFPDT. |
| EP-09 | Annonce aux personnes concernées | S’il est nécessaire d’informer les personnes concernées, une annonce détaillant la nature, les conséquences et les mesures prises pour remédier à la violation doit être préparée. |
| EP-10 | Autres mesures ? | Une fois les mesures immédiates mises en œuvre, il convient d’évaluer s’il faut prendre d’autres mesures à moyen ou long terme pour éviter la récurrence de la violation. |
| EP-11 | Mise en œuvre d’autres mesures | S’il est déterminé que des mesures supplémentaires sont nécessaires, elles doivent être mises en œuvre conformément aux exigences de sécurité des cabinets médicaux. |
| EP-12 | Documentation | La violation de la sécurité des données doit être documentée par la personne responsable (cf. section « Documentation »). |
| EP-13 | Traitement de la violation | Une fois toutes les mesures nécessaires mises en œuvre et la violation documentée, la procédure est clôturée. |
5. Convention de confidentialité et de traitement des données en sous-traitance
5.1. Qui est soumis au secret professionnel ?
Les ergothérapeutes, les médecins et leurs auxiliaires sont soumis au secret professionnel conformément à l’art. 321 CP. La notion d’auxiliaire est large et comprend toutes les personnes qui assistent directement ou indirectement les médecins dans leur activité professionnelle.
5.2. Quand faut-il conclure une convention de traitement de données en sous-traitance ou une convention de confidentialité ?
Dès qu’un tiers est chargé de traiter des données, il convient de conclure la convention de traitement des données sous-traitance et la convention de confidentialité
5.3. Que couvre une convention de confidentialité ?
Certaines informations qui lui ont été transmises ou dont il a eu connaissance. Cette convention peut préciser à volonté quelles informations doivent rester confidentielles. L’obligation de confidentialité peut donc s’appliquer à toutes les informations transmises ou reçues ou seulement à une partie d’entre elles qualifiées comme telles (p. ex. secrets professionnels, données personnelles). Elle permet donc de sceller par contrat la confidentialité qui s’applique aux secrets professionnels et aux données personnelles mais également de déterminer les informations dont la transmission et le traitement ne sont pas limités ou réglementés par le secret professionnel ou la loi sur la protection des données mais qui doivent rester confidentielles.
Si le destinataire des informations traite des données personnelles sur mandat d’un médecin
(p. ex. fournisseur de cloud, service de réponse téléphonique, etc.), il est alors tenu de respecter des dispositions légales encore plus étendues qui ne sont pas couvertes par la convention de confidentialité. Dans ce cas, il convient de conclure une convention de traitement des données en sous-traitance. La convention de confidentialité permet donc de se prémunir uniquement des situations dans lesquelles le destinataire entre en contact avec des informations confidentielles ou des données personnelles de manière fortuite et lorsqu’il n’est pas chargé de traiter.
5.4. Qu’est-ce qu’un traitement de données en sous-traitance ?
Dans le cadre d’un traitement de données en sous-traitance, le mandataire traite des données personnelles conformément aux instructions qui lui ont été données. Il y a typiquement traitement de données en sous-traitance dans les situations suivantes :
- Prestations de cloud : prestataires de cloud Computing /externalisation de systèmes informatiques et/ou de données dans un centre de calcul externe (outsourcing) ;
- Services informatiques : collecte de données/conversion de données/externalisation et archivage de sauvegardes/prestations d’analyse et de suivi (p. ex. Google Analytics) ;
- Destruction et conservation des données : destruction de documents et de dossiers/ destruction de supports de données / prestations d’archivage ;
- Marketing/communication commerciale : centres d’appels externes/hébergeurs web et d’e-mails/prestataires de services de newsletters/traitement d’adresses publicitaires/ agence de marketing traitant les données des clients/prestataires d’analyses marketing ;
- Comptabilité : comptabilité dans le cloud/externalisation de la gestion des décomptes de salaires.
5.5. À quoi dois-je veiller lors de la conclusion d’une convention de traitement de données ?
La prestation à fournir est régie dans un contrat séparé (le « contrat principal »). La convention de traitement de données en sous-traitance ne contient que les dispositions relatives à la protection des données à respecter lors de l’exécution du contrat principal. Celui-ci doit donc être précisément mentionné dans cette convention. De plus, le contrat principal ne doit prévoir aucune primauté sur les dispositions de la convention de traitement de données en sous-traitance. De telles clauses seraient à supprimer du contrat principal. En outre, la convention de traitement de données en sous-traitance doit définir les données personnelles concernées et le type de traitement des données (voir modèle). Enfin, il y a lieu de déterminer les mesures techniques et organisationnelles que le mandataire doit mettre en oeuvre pour assurer la sécurité des données. Ces mesures dépendent de la nature et de l’étendue des données traitées ainsi que du risque en matière de protection des données qui en découle. Il est possible de ne définir, de manière abstraite, que des domaines dans lesquels des mesures concrètes doivent être mises en oeuvre (voir modèle).
5.6. Quand le sous-traitant doit-il disposer d’un règlement de traitement ?
Un règlement de traitement n’est nécessaire qu’en cas de risque accru, à savoir en cas (a) de traitement de données sensibles à grande échelle ou (b) de profilage à risque élevé. Sont ainsi exclus les cas de traitement sporadique de données sensibles. De nombreuses entreprises, en particulier les PME « traditionnelles », n’effectuent pas de tels traitements. Elles ne sont donc pas concernées par cette obligation.
5.7. Quand le sous-traitant doit-il tenir un registre de traitement ?
Les personnes en charge du traitement de données comptant plus de 250 membres du personnel doivent tenir un registre de traitement indiquant clairement tous les traitements de données effectués. Lorsque le personnel compte moins de 250 membres au 1er janvier d’une année, la tenue d’un registre de traitement n’est obligatoire qu’en cas (a) de traitement de données sensibles à grande échelle ou (b) de profilage à risque élevé.
5.8. Quand le sous-traitant est-il soumis à l’obligation de journalisation ?
Lors de traitements de données sensibles à grande échelle ou de profilage à risque élevé, la journalisation est nécessaire lorsque, sans cette mesure, il n’est pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités prévues. La journalisation porte au moins sur les opérations d’enregistrement, de modification, de lecture, de communication, d’effacement et de destruction de données.
5.9. Dois-je informer la patientèle du traitement de données en sous-traitance ?
La loi ne prévoit pas d’informer les personnes concernées lors du traitement de données en sous-traitance.
6. Instructions relatives aux demandes de renseignements et de remise de données personnelles
Contexte
Conformément à la loi sur la protection des données et aux lois cantonales sur la santé, les patientes et les patients ont :
- D’une part, le droit de demander quelles données personnelles les concernant sont traitées
- D’autre part, le droit de se voir remettre leurs données personnelles (en particulier les données sur la santé).
Les patientes et les patients peuvent demander à leur médecin traitant une copie de tout ou partie de leur dossier médical. Ce droit appartient aux patientes et aux patients capables de discernement, c’est-à-dire qui sont en mesure d’agir avec raison.
| Réception de la demande | |
| Déroulement | Compléments modèles |
| Réception de la demande d’accès aux données | |
| La demande porte sur le droit d’accéder à ses données personnelles. Les patientes et les patients ont le droit d’accéder aux données les concernant en tant que patiente ou patient. | « Conformément à l’art. 25 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD), je vous prie de bien vouloir me renseigner par écrit dans un délai de 30 jours sur les données me concernant. »
Signature de la patiente ou du patient |
| Forme et canal de réception de la demande | |
| Il est recommandé d’adresser les demandes par écrit. Il est également possible de mettre un formulaire à disposition sur le site Internet du cabinet médical. | « Madame, Monsieur, nous vous remercions de votre demande de renseignements.
Nous vous prions de nous la renvoyer par voie postale en y joignant la copie d’une pièce d’identité signée (carte d’identité ou passeport avec photo) ainsi qu’en indiquant votre adresse privée. » |
| Accusé de réception (facultatif) | |
| Déroulement | Compléments et modèles |
| S’il est possible de répondre à temps à la demande, le délai de 30 jours à compter de la réception de la demande doit être documenté à l’interne et un accusé de réception peut être envoyé. | « C’est avec plaisir que nous accusons réception de votre demande de renseignements.
Votre demande sera examinée dans les plus brefs délais, au plus tard dans le délai légal de 30 jours. » |
| S’il apparaît dès la réception de la demande qu’il ne sera pas possible d’y répondre dans le délai légal de 30 jours, il est recommandé d’accuser réception de la demande de la personne requérante et de lui indiquer le délai probable dans lequel elle peut attendre une réponse. | « Nous ne sommes malheureusement pas en mesure d’examiner votre demande dans le délai légal de 30 jours. Elle sera toutefois traitée d’ici au [xx.xx.20xx] au plus tard.
Nous vous remercions de votre compréhension ! » |
| Examen de la demande | |
| Déroulement | Compléments et modèles |
| Contrôle de l’identité de la personne requérante | |
| Demande effectuée sur place :
Lorsque la demande est présentée directement sur place, l’identification doit être effectuée au moyen d’un document officiel (p. ex. carte d’identité, passeport). Il est possible de faire une exception pour les patientes et les patients connus du cabinet. La demande est présentée par écrit : Lorsque la demande est effectuée par écrit (par e-mail ou par courrier), la remise d’informations implique que la copie d’une pièce d’identité officielle (p. ex. carte d’identité, passeport) ait été transmise. Si la personne requérante n’a pas envoyé de copie ou si les données ne correspondent pas, il est possible de contacter la personne par téléphone. Pour des questions de sécurité, il convient, dans la mesure du possible, d’utiliser pour les contacts téléphoniques les données du système et non celles de l’e-mail ou du courrier. En raison du risque de confusion, il convient de vérifier très précisément l’adresse de l’expéditeur lors de la réponse à un e-mail et de la comparer avec les données du système. |
Si l’identité ne peut pas être vérifiée de manière incontestable, il convient de refuser de donner les renseignements, en indiquant le motif du refus.
Le texte suivant peut être utilisé pour répondre par écrit : « Les documents à notre disposition ne nous permettent pas de vous identifier. Par conséquent, les règles en matière de protection des données ne nous autorisent pas à vous renseigner sur le traitement éventuel des données personnelles [vous concernant / concernant la personne sur laquelle porte la demande]. » |
| Aucune donnée disponible | |
| Déroulement | Compléments et modèles |
| Aucune donnée personnelle concernant la personne requérante n’est traitée. La personne requérante doit en être informée dans le délai imparti. Il est recommandé de conserver la réponse négative pendant un an à des fins de preuve. | « En référence à votre demande de renseignements du [xx.xx.xxxx], nous vous informons ne traiter aucune donnée personnelle vous concernant, à l’exception des données que nous avons reçues dans le cadre votre demande. Nous attirons votre attention sur le fait que nous conservons votre demande et les renseignements que nous avons fournis pendant douze mois, à des fins de preuve de la régularité de ces renseignements. » |
| Droit d’accès inexistant ou restreint | |
| Déroulement | Complément et modèles |
| Il est possible de refuser, restreindre ou différer la communication de renseignements lorsque des intérêts prépondérants de tiers s’y opposent. Cela doit être examiné au cas par cas et justifié. La communication des renseignements demandés peut être refusée, restreinte ou différée. La loi sur la protection des données impose à cet effet les conditions suivantes : | En présence de l’un des motifs cités ci-contre et d’une demande de enseignements que partiellement satisfaite ou totalement insatisfaite, la personne requérante doit en être informée dans le délai légal de 30 jours, en indiquant le motif.
« En raison de [indication du motif de refus ou de la restriction], nous ne sommes pas en mesure de satisfaire [l’intégralité / une partie] de votre demande de renseignements concernant le traitement de données personnelles vous concernant. » |
| — la demande n’émane pas de la personne concernée par les renseignements à communiquer ;
— le secret professionnel interdit de communiquer les renseignements demandés et il n’existe aucun pouvoir de représentation ; — les intérêts de tiers (p. ex. du personnel ou de prestataires externes) ou les intérêts internes de l’entreprise prévalent sur ceux de la personne concernée ; ou — la demande de renseignements poursuit un but contraire à la protection des données [1] ou est manifestement motivée par des intentions procédurières |
En cas d’ajournement de la demande :
« En raison de [indication du motif de l’ajournement], nous ne sommes actuellement pas en mesure de satisfaire votre demande de renseignements concernant le traitement de données personnelles vous concernant. Votre demande sera traitée le [xx.xx.20xx] au plus tard. Nous vous remercions de votre patience et de votre compréhension.» |
| Forme de la procuration | |
| Si la demande de renseignements est déposée par un tiers, il convient de vérifier si cette personne dispose d’une procuration valable.
Si la procuration n’indique pas clairement quels renseignements la personne requérante a été autorisée à demander, il convient de consulter la patiente ou le patient concerné. La procuration de représentation doit être remise par écrit. Il convient de vérifier si la procuration produite contient les indications suivantes : — nom, prénom et date de naissance de la personne représentante (aux fins d’identification) ; — nom, prénom et date de naissance de la personne concernée ; — demande de renseignements portant sur les données personnelles de la personne concernée ou demande de remise de données de la patiente ou du patient, ou de son dossier médical ; — date et signature de la personne concernée. En cas de doute, il est recommandé d’exiger une preuve d’identité. La procuration ne doit pas dater de plus de six mois. À défaut, il convient d’exiger une procuration plus récente. |
|
| Communication du contenu des données | |
| Déroulement | Compléments des données |
| Les patientes et les patients ont le droit d’accéder aux données traitées les concernant, qu’il s’agisse de données relatives à leur statut de patiente ou patient, ou de données personnelles. Les renseignements sur lesquels porte l’accès sont :
— les données personnelles, en tant que telles, traitées (p. ex. informations personnelles, données relatives au traitement médical, données de santé, données personnelles collectées dans le cadre d’un contrat de travail, etc.) ; — la finalité du traitement (p. ex. documentation du traitement, déroulement des affaires courantes, etc.) ; — le délai de conservation des données personnelles ou, à défaut, les critères pour déterminer la durée de conservation ; — les informations disponibles sur l’origine des données de la patiente ou du patient, dans la mesure où elles ont été mises à disposition par des tiers (p. ex. données provenant de laboratoires) ; — le destinataire des données de la patiente ou du patient concerné |
« Nous nous référons à votre demande de renseignements du _______ (reçue le _______), à laquelle nous répondons comme suit, conformément à l’art. 25 LPD :
1. nous vous confirmons avoir trouvé dans notre fichier ______________ enregistré sous votre nom. les documents ont été établis sur la base de ___________. 2. les données ont été traitées aux fins de _______________. 3. il s’agit de données relatives à _______. 4. catégorie des personnes ayant été impliquées dans la collecte : cabinet médical XY. 5. catégorie des destinataires des données : vous-même, en tant que patiente ou patient, ainsi que les médecins traitants et __________. Nous conservons les données pendant le délai légal de conservation de 20 ans puis les supprimons. » |
| Remise du dossier médical | |
| En principe, la patiente ou le patient a droit à la remise de la copie de son dossier médical.
Les informations concernant d’autres personnes, non pertinentes quant aux faits et dont les intérêts et droits seraient lésés, doivent être effacées ou rendues illisibles avant que la copie du dossier soit remise. Les informations qui violent les droits et les intérêts de tiers doivent être caviardées pour en empêcher la lecture, par exemple en masquant les endroits pertinents avant d’effectuer la photocopie. Il convient alors de veiller à ce que l’effacement ou la dissimulation soit définitif, de sorte à rendre impossible toute lecture ultérieure de ces contenus. Un simple surlignage noir dans un fichier PDF ne suffit donc pas, celui-ci pouvant être supprimé. Lorsque le dossier médical est remis en original, il est recommandé d’en conserver une copie en raison de l’obligation de conservation et à des fins de preuve. Il convient en outre de consulter la loi cantonale sur la santé en vigueur et de vérifier si la remise de l’original est autorisée, et à quelles conditions. Les données relatives à la personne concernée en sa qualité de patiente ou de patient doivent lui être remises, avec son consentement, par la ou le médecin de confiance qu’elle aura désigné. |
|
| Forme de la communication des renseignements ou de la remise du dossier médical | |
| Les renseignements doivent être communiqués de manière à préserver la confidentialité des données, qui peut être garantie via les canaux suivants. Le canal à utiliser doit être défini en accord avec la personne requérante.
Forme de la communication des renseignements ou de la remise : — Les renseignements sont communiqués, et les données personnelles remises, par un e-mail chiffré adressé aux personnes destinataires autorisées. — La remise est effectuée en mains propres ou par courrier postal à la personne destinataire autorisée et doit être mentionnée par écrit dans le dossier médical. — La remise est effectuée en mains propres par un support de données mobile (par ex. CD / DVD, clé USB) remis à la personne destinataire autorisée. En vue de la protection contre les logiciels malveillants, tout support fourni par la personne requérante ne doit être utilisé que s’il a été présenté dans son emballage d’origine ou si l’absence de logiciels malveillants a été vérifiée au préalable de manière sécurisée. |
|
| Remarques complémentaires | |
| Conservation | |
| La loi sur la protection des données ne prévoit aucune obligation de documentation pour les demandes de renseignements refusées, différées ou restreintes. Il est toutefois recommandé de conserver les documents pendant au moins un an.
Lors de la conservation des documents relatifs aux demandes de renseignements ou à la remise de dossiers médicaux, il convient de veiller au respect des prescriptions en matière de protection des données et en particulier en matière de sécurité des données (voir à ce sujet également la liste de contrôle relative à la conservation). |
|
| Il est recommandé de documenter et de conserver au moins les informations suivantes :
— nom et coordonnées de la personne requérante ; — date de réception de la demande ; — demande ; — date de la communication des renseignements ou de la réponse concernant le refus, l’ajournement ou la restriction de la communication ; — réponse à la demande (y compris les motifs en cas de refus, d’ajournement ou de restriction) ; — mode d’identification, le cas échéant. |
|
| Frais | |
| La communication de renseignements, et en particulier la simple copie, l’impression et l’envoi ne doivent engendrer aucuns frais pour la patientèle. La loi sur la protection des données prévoit généralement la gratuité de toute communication de renseignements.
Toutefois, des frais à hauteur de 300 francs au maximum peuvent être perçus dans certains cas. Conformément à la loi sur la protection des données, les frais supplémentaires peuvent être facturés à la patientèle dans des cas exceptionnels. |
|
| Déroulement | Compléments et modèles |
| La patientèle doit donc être informée au préalable de la participation aux frais ou de l’adaptation de la demande, ainsi que des motifs y relatifs, lorsque la remise du dossier médical engendre des frais supplémentaires. | « En raison de [indication du motif], votre demande de renseignements engendre pour nous des frais disproportionnés qui s’élèvent à [XX] francs. À défaut de prendre contact avec nous d’ici le [xx.xx.20xx] au plus tard et de déclarer consentir à la participation aux frais ou de nous communiquer toute adaptation de votre demande, celle-ci sera considérée comme retirée. » |
| Lorsque la patiente ou le patient ne confirme pas sa participation aux frais ou n’adapte pas sa demande dans un délai de dix jours, la demande est considérée comme retirée. | |
| Lorsque la personne concernée confirme participer aux frais, le délai de réponse de trente jours applicables à la demande de renseignements ne commence à courir qu’à l’expiration du délai de dix jours.
Idéalement, le cabinet médical définit au préalable les cas dans lesquels une participation aux frais peut être demandée. Le cabinet pourrait par exemple exiger de la personne requérante une participation aux frais dans les cas suivants : |
|
| — la charge de travail pour préparer et communiquer les renseignements est particulièrement élevée ou
— la personne requérante demande à nouveau des renseignements sur les mêmes données au cours d’une période de douze mois. |
|
| Il est recommandé au cabinet de mettre en place au préalable une procédure simple pour le traitement des demandes de renseignements. Une participation aux frais en raison de procédures complexes ne saurait être justifiée lorsqu’une procédure plus simple aurait été possible. La tenue d’un registre des activités de traitement pourrait par exemple servir d’inventaire et fournir au minimum un aperçu des données personnelles, de la finalité du traitement et de la catégorie des personnes concernées. (Un modèle de registre des activités de traitement peut être consulté ici).
Une fois la demande et l’identité examinées, la personne requérante se voit généralement communiquer gratuitement au moins les informations exigées par la loi. |
|
7. Vue d’ensemble des obligations fondamentales
Dans le but de mettre en place une mise en œuvre systématique de la protection des données selon les recommandations de l’ASE, leur document qui nous ont été transmis sont remplis et indiqué ci-dessous :
Création et mise à jour régulière de registres des activités de traitement :
Quelles données sont sauvegardées, à quelle fin, combien de temps ? Ces données sont elles transmises à des tiers ?
Ces données ont été indiquées dans le document en lien ci-dessous :
- Dossier « modèle registre activités de traitement »
Traitement des demandes formulées par les personnes concernées :
Les patients peuvent consulter leurs données qui sont traitées et peuvent notamment :
- demander de rectifier les données erronées
- demander d’effacer les données erronées ou traitées sans motif légitime
- demander de se faire remettre leurs données personnelles les concernant
Acquittement des devoirs d’informer :
Les cabinets doivent informer les personnes concernées lorsqu’ils traitent des données personnelles les concernant.
Ce devoir d’information peut être rempli par une déclaration de protection des données, via le site internet.
Garantie de la sécurité des données ainsi qu’annonce des violations de la sécurité des données
Selon le risque induit par le traitement des données (pour la personne concernée), des mesures techniques et organisationnelles appropriées doivent être prises pour préserver l’intégrité, la disponibilité et la confidentialité des données.
Si une violation de la sécurité des données survient, il faut l’annoncer éventuellement au PFPDT ou aux personnes concernées.
Analyse d’impact relative à la protection des données
Les traitements de données envisagés doivent être soumis à une évaluation du risque.
Cette évaluation a été réalisée, signée et stockée numériquement et physiquement.
Journalisation
Le cabinet doit journaliser au moins l’enregistrement, la modification, la lecture, la communication, l’effacement et la destruction des données.
La journalisation / l’archivage de nos des données, sont réalisée par une procédure informatique automatique par nos systèmes.
Les conséquences lors d’incident
Lors d’incidents, des conséquences telles que :
- Des dégâts d’images
- Une perte de crédibilité / perte de clientèle
- Renégociation de contrat
- Procédures / Mesures administratives PFPDT (interdiction de traiter des données, ordre de supprimer des données
- Sanctions pénales
Donnée unique = donnée personnelle (N° AVS)
On peut donner l’ordre aux sous-traitants de ne pas avoir accès aux données
Données sensibles (biométrie)
LPD ne concerne que les personnes physiques