Données de santé, quel texte légal appliquer? 📚

Dans nos articles précédents nous avons abordés la sécurité des données médicales en quelques questions simples. Cependant, nous n’avons pas encore exploré en quoi ces données de santé requièrent une attention particulière et que faire du coté légal.

Dès septembre la nouvelle loi sur la sécurité des données rentrera en vigueur en Suisse. Ce changement concerne toute personne en contact avec des données sensibles dont les données médicales. Qu’est-ce que cela implique pour les professionnel·les de la santé? On vous dit tout dans cet article!

Les données de santé, au niveau légal, concernent toutes les informations relatives à un patient ou une patiente. Cela inclut, par exemple, les résultats d’examens, les analyses effectuées, les soins proposés et reçus, etc. Il faut également ajouter les données qui deviennent des données de santé si elles sont croisées avec d’autres (le poids qui peut être combiné avec la mesure du cholestérol par exemple). En bref, il s’agit là d’une quantité non négligeable de données qui peuvent mettre à mal la vie privée de patientes et de patients. Ce sont des informations sensibles qui ne doivent pas tomber entre de mauvaises mains. Tout comme pour le secret médical, ces informations ne regardent que le patient ou la patiente et vous.

Les abréviations présentées dans le titre ne vous disent peut-être rien. Ne vous en faites pas, nous allons tout vous expliquer. Ces abréviations désignent en fait les textes légaux sur la sécurité des données en Europe et en Suisse. Ainsi la LPD est la loi fédérale sur la protection des données et c’est elle qui s’applique en Suisse. Cette réglementation datant de 1992 – bien que révisée en 2019 – n’est plus adaptée à un mode où internet, smartphones et réseaux sociaux sont monnaie courante.

Entretemps, la nouvelle loi pour la protection des données (nLPD) a été adoptée en 2020. Toutes les entreprises doivent s’y conformer d’ici septembre 2023

Cette loi permettra la suisse de s‘aligner sur la RGPD, qui n’est autre que le règlement européen sur la protection des données. Concrètement, cela permet à la suisse de maintenir la circulation des données avec l’Union européenne.

Vous l’aurez compris, bien qu’en théorie vous puissiez toujours appliquer l’ancienne version de la loi sur la protection des données (LDP) jusqu’en septembre, il est temps d’adopter la nLPD pour respecter le cadre légal pour les données de santé.

Avec la multitude de modifications et d’ajustements qu’a faits la nLPD il n’est pas toujours facile d’y voir clair. Quels sont les changements dans la gestion des données de santé d’un point de vue légal? Voici les principales modifications et ce que cela implique pour vous en quelques mots. 

👥 Les privés sont responsables et ça va coûter cher

La loi stipule dorénavant que les particuliers peuvent être poursuivis lors de violations de la nLPD. Concrètement le ou la propriétaire, les collaborateurs ou les collaboratrices peuvent donc être poursuivis à titre privé. L’amande, quant à elle, passe de 10’000 à 250’000 CHF maximum.

🕵 Un état des lieux est plus que recommandé

Une évaluation des risques de sécurité est conseillée. Car toutes les données doivent être gérées et traitées avec des moyens modernes correspondant à l’état actuel de la technique. En d’autres mots, avec des logiciels à jour, sécurisés et stockés par un hébergeur qui respecte le droit suisse. À noter que cela n’est pas valable uniquement pour les données de votre patientèle mais aussi de vos collaborateurs et collaboratrices!

🙋🏻 Un personnel formé et paré à toutes les éventualités

Votre personnel doit également être formé et sensibilisé à la protection et à la sécurité des données. Dans le même ordre d’idée, il faudra également préparer des procédures dans le cas où des données seraient compromises.

🌐 Une sécurité informatique fiable

À l’air du numérique, la sécurité informatique est primordiale.  Or, une cyberattaque est vite arrivée. Prenez donc soin de mettre en place des outils informatiques sécurisés et des mots de passe forts!

🔍 Une transparence exemplaire avec la patientèle

Finalement un des mots d’ordre de cette nLPD est la transparence. Si des données privées et de santé sont collectées, il faut que ce soit clairement stipulé. Les personnes utilisant vos services doivent également avoir l’option de consentir ou non à ce que leurs données soient utilisées. Concrètement cela veut dire qu’il vous faudra peut-être mettre à jour votre politique de confidentialité sur votre site et lors des correspondances avec la patientèle.

Comme le reste de ces changements cela il faudra également être transparent envers vos collaborateurs et collaboratrices!