Externalisation de la facturation dans le domaine médical: recommandations

par Gabriel Avigdor

image_pdfimage_print

Plus de transparence pour la facturation médicale effectuée par un tiers

______________________________________________________

Dans le domaine médical, la délégation de la facturation à un tiers (outsourcing ou externalisation) est fréquente et comporte plusieurs avantages économiques. L’externalisation vise à augmenter l’efficacité d’une tâche en confiant le travail à une entreprise spécialisée. La sous-traitance permet également une réduction des coûts en personnel et donc une économie des places de travail dans les locaux, mais aussi une responsabilité de l’investissement, une gestion du personnel et une formation effectuées et prises en charge financièrement par le tiers. Enfin, l’on peut bénéficier d’un reporting régulier et une coopération de la part du partenaire contractuel.

Au delà de ces bénéfices, la sous-traitance de la facturation médicale pose aussi des questions pratiques en matière de protection des données et de préservation du secret médical. En effet, l’utilisation de ces données à des fins autres que celles prévues par le contrat entre le professionnel de la santé et le patient, peut être illégal, car contraire (1) à la loi fédérale sur la protection des données (LPD), (2) à l’article 321 du Code pénal suisse (CP) portant sur l’obligation de respecter le secret médical, ainsi qu’à (3) certaines législations cantonales. A titre d’exemple, l’article 80 de la loi vaudoise sur la santé publique consacre cette obligation pour les professionnels de la santé de conserver le secret.

Violations constatées de la LPD et mise à mal du secret médical

______________________________________________________

Le préposé fédéral à la protection des données et à la transparence (PFPDT) a constaté dans son 24e rapport annuel 2016/2017 que certains prestataires traitant les factures pour le compte de médecins saisissaient l’occasion pour utiliser ces données de facturation pour leurs fins propres telles que:

  • la création de base de données sur la solvabilité des patients et leur notation; et
  • la vente de ces données à des tiers (assurances, etc.).

Selon le PFPDT:

les professionnels de la santé se doivent d’être précis et d’attirer l’attention du patient clairement sur les traitements de données prévus effectués par le prestataire, y compris la vente possible à des tiers, et à recueillir le consentement exprès du patient.

Obligation de garder le secret ou consentement explicite

D’un point de vue juridique, les données médicales – données liées à la santé – sont des données sensibles qui requièrent le consentement exprès, et de préférence écrit, du patient (art. 4 al. 5 LPD) pour être transmises à un tiers et utilisées par celui-ci en dehors de la facturation. Leur communication et utilisation à des fins autres que la facturation par le tiers ne peut être effectuée que si le patient a pu y consentir valablement. Ainsi, pour garantir le respect du secret médical, le transfert à un tiers et son utilisation sont soumis à la limitation de l’art. 321 CP et de la LPD (art. 10a al. 1 let b) si le détenteur du secret n’a pas délié le professionnel de la santé. Sauf consentement explicite (ou exprès) du patient, il existe alors une double violation de la LPD et du Code pénal (voire de lois cantonales) qui prohibent la divulgation de données médicales à des tiers.

Que doit contenir mon contrat d’outsourcing?

_______________________________________________

Pour être conforme, le contrat d’outsourcing doit intégrer des dispositions sur la protection des données et leur sécurité. Parmi ces dispositions on songera au moins à intégrer:

Avec un fournisseur basé en Suisse uniquement:

  • une référence aux dispositions la LPD (art. 6 et 10a LPD) pour la sous-traitance ;
  • une assurance du fournisseur qu’il se conformera à la LPD ;
  • une assurance du fournisseur qu’il répondra aux éventuels requêtes d’individus relatives à leurs données ;
  • requérir le consentement préalable du professionnel de la santé ou de l’hôpital en cas de sous-traitance par le fournisseur ;
  • décrire précisément le but de la collecte et indiquer quelles données personnelles sont utilisées ;
  • une obligation pour les employés, auxiliaire, consultants, etc. de se conformer aux mêmes obligations que le contrat et à la LPD ;
  • une obligation pour le fournisseur de garantir la mise en place de mesures technique et organisationnelle pour sécuriser les données ;

Avec un fournisseur nécessitant un transfert transfrontalier :

  • inclure une disposition pour régler un tel transfert de données personnelles vers un pays tiers. Lorsque le pays tiers ne garantit pas un niveau de protection adéquat pour traiter les données, le contrat devra également inclure une obligation :
    • d’intégrer les clauses contractuelles types, telles que les EU model clauses applicables au transfert entre maître de fichiers et sous-traitant (controller-to-processor, ‘C2P’), se fonder sur le Privacy Shield (Attention: le Privacy Shield ne protège pas les données codées “key-coded data”), ou le contrat type de transfert de données du préposé) ;
    • pour le fournisseur de faire signer les EU model clauses (voire privacy shield ou clauses contractuelles équivalentes) à toutes ses filiales qui traiteraient (ce qui inclut l’accès aux données depuis l’étranger) des données personnelles depuis un pays sans niveau de protection adéquat ;
    • d’informer préalablement le professionnel de la santé de tout transfert à un tiers, incluant un droit d’objection, et lui fournir les informations y relatives, tel que l’indentité du tiers et le lieu du datacenter,
    • en cas de sous-traitant du fournisseur, de garantir qu’ils s’engagent aux mêmes conditions contractuelles et légales que le fournisseur.

Selon les recommandations du Préposé:

Quiconque communique des données personnelles à l’étranger doit examiner dans chaque cas si la personnalité de l’intéressé n’en est pas menacée. En d’autres termes, un médecin qui communique des données personnelles à l’étranger doit vérifier si le pays en question dispose d’une protection des données équivalente à celle de la Suisse.

ATTENTION: A noter que, selon les recommandations du Préposé fédéral, l’utilisation de services d’externalisation de données médicales auprès tiers dans le cloud ne peut s’opérer qu’en Suisse, avec un contrat qui interdit au tiers de communiquer ces données à des tiers. Cette mesure serait la seule à garantir le respect du secret médical, dont la divulgation est sanctionnée selon l’article 321 CP.

______________________________________________________

Comment faire en pratique ?

– Recommandations pour respecter la protection des données et le secret médical –

Toujours selon le PFPDT, il n’est ainsi pas suffisant d’indiquer quelque part dans le cabinet médical ou en petites lettres dans un formulaire de consentement que ces données pourraient faire l’objet d’un transfert pour une utilisation autre que de la pure facturation. Le patient doit être informé de manière complète et y consentir sans pression quelconque. Cette note du préposé met l’accent sur le principe de transparence qui implique une information complète fournie au patient avant le transfert de ces données, ainsi que le fondement juridique de la collecte qu’est le consentement exprès.

Pour le patient

La conséquence de cette note du préposé pour les patients est un renforcement de la transparence à leur égard pour mieux les protéger d’une utilisation indue de ces données et de leur sphère privée. Vu que le consentement du patient est requis, le patient doit aussi avoir la possibilité, à tout moment, de retirer son consentement pour l’utilisation qui irait au delà du but premier qu’est la facturation. Dans ce cas, le soignant et le prestataire devront respecter la volonté du patient et limiter le traitement aux fins indiquées par ce dernier, soit l’accès et le traitement uniquement pour effectuer de la facturation.

Pour les professionnels de la santé et hôpitaux

Cette obligation de transparence n’est pas nouvelle. Elle découle déjà de la législation protégeant le secret médical et de la protection des données, mais elle est mise en exergue pour insister sur le fait, qu’en pratique, on ne peut simplement collecter des données et en faire ce que l’on veut. Aller au delà d’un but prévu sans en informer le patient et requérir son consentement explicite est illicite. Le patient doit être en mesure de recevoir cette information, y consentir, et le cas échéant retirer tout ou partie de son consentement au traitement additionnel de ces données à des fins autres que la facturation.

Etant donné que le prestataire est un sous-traitant (data processor), ce dernier doit se conformer aux exigences du maître de fichiers (data controller) pour respecter le traitement licite des données et une utilisation conforme au contrat d’externalisation. La prudence commanderait par conséquent aux professionnels de la santé et aux hôpitaux au moins:

Vis-à-vis du prestataire de :

  • s’assurer que le prestataire n’utilise pas ces données à d’autres fins que ne le permet le contrat;
  • s’assurer que le prestataire respectera cet engagement ainsi que les règles en matière de protection des données, le prestataire n’étant, lui-même, probablement pas astreint au secret médical;
  • en cas d’utilisation d’un fournisseur de service cloud, n’utiliser que des prestataires situés en Suisse qui stockent leur données en Suisse et s’assurer qu’il existe une clause dans le contrat d’externalisation interdisant au fournisseur de transmettre des données médicales non anonymisées à des tiers situés à l’étranger (voir la note du Préposé citée en référence en fin d’article).

Vis-à-vis du patient de :

  • mettre à jour leurs formulaires de consentement, en distinguant clairement et visiblement la partie du consentement à une intervention médicale de celle du consentement à l’utilisation des données médicales par un tiers;
  • si les données devaient être utilisées à d’autres fins que de la facturation:
    • recueillir le consentement du patient après l’en avoir dûment informé; ou
    • l’informer du fait que ces données pourraient ou ont été transmises à des tiers sans son consentement et prendre les mesures adéquates.

Pour les prestataires

Le préposé ne se prononce pas sur la position du prestataire de facturation médicale et de son éventuelle responsabilité civile vis-à-vis du patient pour une utilisation indue des données. Il indique néanmoins que les précautions à prendre sont plutôt pour le protéger du risque lié à la violation du secret et de la protection des données. En effet, le patient aurait le droit de demander réparation pour le préjudice subit, ainsi que l’arrêt, l’effacement, voire la transmission des données à des tiers.

Il pourrait s’avérer utile que le prestataire :

  • conclue un contrat de sous-traitance avec le professionnel de la santé contrat qui délimitera les droits et obligations liées au traitement des données patient ;
  • anonymise les données avant de les transmettre à des tiers, ou à tous le moins mette en place des mesures permettant de diminuer le risque d’identification des patients (hashage, pseudonymisation), ce qui pourrait lui éviter de se voir reprocher une utilisation indue ainsi qu’un blocage de l’utilisation de ces données par le patient ;
  • clarifie avec le médecin ce qu’il entend faire des données et s’il envisage une utilisation qui diffère d’un but de facturation ;
  • requière, le cas échéant, du professionnel qu’il recueille valablement le consentement du patient ;
  • éventuellement prévoie une exonération de responsabilité pour le cas où le professionnel n’aurait pas recueilli valablement ce consentement auprès du patient ; et
  • intègre une clause de remboursement en cas de dommages causés en lien avec la violation du secret.

Pour aller plus loin, vous pouvez retrouver les documents suivants sur le site du préposé:

Par Gabriel Avigdor | NTIC.ch