Protection des données dans le secteur de la santé : un aperçu pour les cabinets médicaux

Le PFPDT (Préposé fédéral à la protection des données et à la transparence) a récemment publié un rapport : « Attaques de pirates informatiques contre des cabinets médicaux en Romandie ». Selon plusieurs médias, les données ont été publiées par les attaquants sur le Dark Web – un préjudice difficile à quantifier. La protection des données médicales sensibles est un thème central auquel les cabinets médicaux doivent faire face – notamment au vu de l'incident susmentionné. 

Dans ce qui suit, nous donnons un aperçu des données considérées comme particulièrement sensibles, des dispositions relatives à la protection des données qui doivent être respectées et des facteurs qui minimisent le risque d'être victime de tels crimes, afin que vous puissiez vous protéger et protéger vos patients le mieux possible.

Pourquoi la protection des données est-elle essentielle dans le secteur des soins de santé ? 

Il semble presque évident que nous discutons de la protection des données, mais pourquoi et de qui doit-on les protéger ? Les données relatives à la santé peuvent contenir des informations présentant un intérêt pour différentes parties, pour différentes raisons. Soit parce qu'elles peuvent en tirer des conclusions défavorables à la personne concernée, soit simplement pour tirer profit de ces données. Les scénarios suivants décrivent la valeur des données pour différents acteurs du secteur de la santé :

• Les compagnies d'assurance utilisent les données médicales pour calculer les primes des services d'assurance de manière encore plus personnalisée, voire pour rejeter purement et simplement les personnes en tant que clients.
• Les pirates informatiques accèdent aux données des patients à cause de failles de sécurité dans les établissements médicaux afin de leur extorquer de l'argent en menaçant de publier les données. 
• Les employeurs potentiels tirent des conclusions des visites médicales des candidats et refusent de les embaucher en considérant que l'employé « pourrait bien être souvent en congé maladie à l'avenir ».  

Les intérêts sont divers et souvent très lucratifs du point de vue financier pour les parties intéressées, mais ils comportent toujours des inconvénients pour l'individu. C'est pourquoi les données sensibles – et notamment les données médicales – sont considérées comme particulièrement dignes de protection.

Données médicales sensibles : de quoi s'agit-il ? 

La protection de la vie privée s'applique également à la sphère numérique

En matière de protection des données, une distinction fondamentale est faite entre, d'une part, les données personnelles ordinaires et, d'autre part, les données personnelles sensibles nécessitant une protection particulière. Bien qu'il n'existe pas de distinction claire pour les différents types de données, il y a néanmoins une classification qui doit servir de base à la catégorisation. Il est ici nécessaire de définir séparément pour chaque ensemble de données la manière dont il doit être catégorisé. Dans ce contexte, les données particulièrement sensibles au sens de l'article 3 de la LPD (Loi fédérale sur la protection des données) sont les informations concernant : 

1. les opinions ou activités religieuses, idéologiques, politiques ou syndicales,
2. la santé, la vie privée ou la race,
3. les mesures d'aide sociale,
4. les poursuites et sanctions administratives ou pénales.
   

Les données relatives à la santé comprennent toutes les données permettant de déduire l'état de santé passé, présent ou futur d'une personne concernée. Cela inclut également les données relatives à la demande de traitement médical et la relation médecin-patient en tant que telle est déjà considérée comme digne de protection. 

La qualification d'une information comme des données sensibles dépend souvent du contexte. 

Exemple : Si le nom est stocké par un cabinet médical dans le cadre d'une inscription à un examen de santé, le nom du patient dans le contexte de l'examen médical prévu est un enregistrement de données sensibles nécessitant une protection spéciale en ce qui concerne l'état de santé de la personne concernée. Il est important de noter que le nom seul ne constituerait pas une information médicale sensible – c'est le contexte qui crée cette exigence. ¹

Si un prestataire externe prend en charge la gestion des inscriptions aux examens médicaux, ce prestataire est également soumis aux règles strictes de la protection des données. C'est l'une des raisons pour lesquelles, chez medicosearch, nous procédons également à une évaluation continue de notre conformité à la protection des données. 

nLPD : comment la protection des données évolue en Suisse

Avec la révision de la Loi sur la protection des données adoptée par le Parlement en 2020, de nouvelles lois entreront en vigueur le 1er septembre 2023. Celles-ci créent également un changement dans la qualification des données médicales en ce qui concerne leur statut de sensibilité. 

D'une manière générale, la nouvelle Loi sur la protection des données (nLPD) est très similaire au RGPD (Règlement général sur la protection des données) de l'UE. Cette tentative d'uniformisation concerne bien sûr un grand nombre de points, mais la qualification des données génétiques en tant qu'informations médicales sensibles, que l'on retrouve désormais dans les deux textes, est particulièrement pertinente.

Il s'agit donc d'un défi pour tous les acteurs impliqués dans la collecte, le traitement et le stockage de données médicales à caractère personnel. 

Le défi pour les cabinets médicaux en matière de protection des données

Pour les cabinets médicaux, la situation est quelque peu controversée à première vue. D'une part, leur compétence principale se situe dans le domaine médical, mais d'autre part, les données qu'ils traitent quotidiennement sont extrêmement sensibles et doivent être protégées. Bien que les ressources pour traiter cette question soient limitées, une évaluation continue dans ce domaine est essentielle. Développer les compétences numériques au sein du cabinet et encourager le personnel à relever ce défi peut grandement contribuer à alléger le fardeau. 

Comment aborder ces sujets spécifiques en tant qu'établissement de santé ?

Le RGPD contient 5 « principes » clés qui sont utiles pour une première évaluation de votre situation : 

• Principe de transparence : Traiter les données des personnes concernées d'une manière qui leur soit compréhensible.

• Principe de limitation du traitement : Recueillir des données uniquement à des fins spécifiées, claires et justifiables.

• Principe de minimisation des données : Les données doivent être adéquates et réduites au minimum au regard de la finalité de leur traitement.

• Principe de limitation du stockage : Les données ne doivent être stockées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.

• Principe d'exactitude : Les données personnelles doivent être stockées correctement et tenues à jour. Des mesures doivent être prises pour supprimer immédiatement les données qui sont incorrectement traitées.

Tenez un registre distinct dans lequel vous indiquez quelles données vous traitez et dans quel système – des emails de vos patients aux prescriptions que vous délivrez. Indiquez clairement dans votre politique de confidentialité quelles données vous collectez, pourquoi et sous quelle forme elles sont traitées. 

Il peut également être avantageux d'externaliser certains processus si des tiers garantissent la protection des données collectées et assument la responsabilité de leur confidentialité. C'est un avantage dont bénéficient les établissements de santé qui utilisent les prises de rendez-vous des patients via medicosearch.

En cas de besoin ou de doute, consultez des experts externes qui évalueront votre situation au regard des normes de protection des données et vous fourniront des conseils, étant donné que les violations de la loi applicable peuvent coûter très cher aux personnes concernées.

Ensemble avec la nLPD Suisse pour plus de sécurité et de confidentialité  

Ensemble pour une meilleure protection dans le domaine de la santé

Les mesures et approches ci-dessus vous aideront à mieux comprendre la situation dans votre cabinet sans sous-estimer la complexité du sujet. N'oubliez pas que le fait de travailler de manière transparente et sécurisée avec les données de vos patients crée un sentiment de confiance élevé, ce qui est aussi un moyen d'accroître la fidélité des patients. Assurez-vous dès maintenant que votre cabinet médical est conforme aux dernières directives à partir de septembre 2023, afin de pouvoir concentrer vos précieuses ressources à la santé de vos patients.

Photo de couverture par Philipp Katzenberger. Autres photos par Jason Dent et Cytonn Photography.