Révision de la LPD: Conférence pour les médecins

par Gabriel Avigdor

image_pdfimage_print

Ce jeudi 24 octobre 2019, j’aurai le plaisir d’intervenir et de présenter la révision de la loi fédérale sur la protection des données (LPD). J’aborderai l’état actuel des discussions au Parlement fédéral et les conséquences de ce texte pour les médecins pratiquant en cabinet lors d’une conférence organisée par FMH Services à l’hôtel Aquatis à Lausanne.

Depuis l’entrée en application du RGPD le 25 mai 2018, la protection des données est devenue un thème d’actualité et de préoccupations pour de nombreux secteurs du marché, notamment dans le milieu de la santé. Les différents acteurs de la santé, qu’il s’agisse des institutions de soins, hôpitaux, cliniques ou des médecins, sont particulièrement sensibles à ces changements législatifs vu la sensibilité des données traitées au quotidien.

L’objectif de cette conférence est de faire le tour des nouveautés qu’apportera (vraisemblablement) la révision totale de la loi sur la protection des données en Suisse, notamment les recommandations pour se préparer à ces modifications législatives pour les médecins pratiquant en cabinet privé. Il sera également l’occasion d’aborder l’applicabilité du RGPD ainsi que les bonnes pratiques pour l’utilisation des technologies au cabinet médical ainsi qu’avec les patients.

La révision de la LPD doit viser à renforcer le droit des personnes concernées, en l’occurrence des patients, et à s’aligner sur les standards européens. Nous examinerons dans quelle mesure la révision remplit cet objectif.

________________________________

CONSEQUENCES POUR LA PRATIQUE AU CABINET 

Si la pratique n’a pas que peu changé, les consignes resteront semblables  pour la pratique d’un médecin. Par contre, le grand changement pour les traitement de données médicales se situe au niveau de l’utilisation des nouvelles technologies. Cela implique une vigilance et une diligence accrues de la part des professionnels de santé et des médecins.

Ainsi, la sécurité du dossier patient au cabinet reste plus que primordiale à cause des risques accrus liés à l’utilisation de systèmes d’information. Dans ce cadre, les recommandations du Préposé fédéral restent d’actualité (voir plus bas) et doivent être suivies, tout comme celles émises par le code de déontologies de la FMH et les associations professionnelles.

Il faut noter que les risques s’accroissent avec l’utilisation de système de télémédecine et des moyens de communications non-sécurisés, ainsi qu’en cas d’externalisation (sous-traitance) de services, comme la facturation ou le secrétariat.

________________________________

PLUSIEURS SANCTIONS D’HÔPITAUX ET MÉDECINS EN EUROPE

En Europe, nous avons déjà pu observer des condamnations d’hôpitaux à des sanctions administratives de plusieurs centaines de milliers d’Euros par des autorités de protection des données.

Depuis l’entrée en application du RGPD, la plupart des manquements ont consisté en des défauts de mesures de sécurité appropriées pour protéger les données de patient. De même, la violation du devoir de mettre en place des contrôles pour les droits d’accès à ces mêmes données aux dossiers patient a été souvent la cause des sanctions et manquements par les institutions de santé.

A ce sujet, les décisions européennes suivantes méritent d’être mentionnées:

  • Portugal: mon article et commentaires sur la condamnation d’un hôpital portugais à € 400’000.- d’amende. Mon article évoquait la situation de la Suisse et de la révision de la loi sur la protection des données;
  • Pays-Bas: la condamnation du Haga Hospital (Pays-Bas) à une amende de € 460’000.- pour avoir permis à des personnes non-autorisées à accéder au dossier médical d’une célébrité locale, l’amende concernait le défaut de mesures appropriées pour éviter les accès indus aux dossiers médicaux, notamment sans imposer l’authentification à deux facteurs;
  • Chypre: condamnation d’un médecin à € 14’000.- pour avoir publié sur Instagram des données médicales d’un patient sans son consentement. Après investigation, l’hôpital public a aussi été condamné à € 5’000 d’amende pour ne pas avoir pu retrouver trace du dossier médical suite à une demande d’accès d’un patient.

Ces exemples démontrent l’importance du respect des principes de protection des données. Les principes de bases de sécurité au cabinet et dans les hôpitaux sont primordiaux. Pour garantir une bonne maîtrise sur les données personnelles, il devient indispensable d’implémentation un programme complet de gestion et de protection des données médicales pour tout type d’acteurs de la santé. Ceci doit inclure la formation, des règles de conduite, des contrôles, ainsi que des mesures permettant de limiter au maximum des pertes, fuites et violation des données personnelles et un plan d’action en cas de violation de données pour remédier à la violation et notifier le cas échéant dite violation au préposé.

Même si le régime juridique de la LPD sera différent en Suisse comparé au système de sanctions européens (2% – 4% du chiffre d’affaires ou €10 – €20 Mio), ces règles de base et les principes sont essentiels et doivent être respectées pour éviter d’engager sa responsabilité civile ou pénale pour violation de la loi sur la protection des données, cas échéant du code pénal (art. 321 CP) pour la violation du secret médical. En effet, comme actuellement, le système de sanctions tel que prévu par le texte de loi débattu au Parlement vise uniquement une possibilité pour les individus de passer par des procédures pénales pour violation de la loi fédérale sur la protection des données, avec des sanctions allant jusqu’à CHF 250’000.-.

Pour aller plus loin retrouvez mes autres articles sur la protection des données pour les acteurs de la santé: