La complexité du système de santé suisse et les lacunes des services numériques de base: entretien avec Adrian Lobsiger
Adrian Lobsiger est Préposé fédéral à la protection des données et à la transparence (PFPDT) depuis 2016. Dans cet entretien, il évoque les particularités de la protection des données dans le système de santé et les défis posés par la LDEP.
Monsieur Lobsiger, quelles sont vos tâches en tant que PFPDT?
En tant que Préposé à la protection des données, je surveille, avec mon équipe, le traitement des données personnelles par les entreprises et organisations privées ainsi que par les autorités fédérales et les entreprises liées à la Confédération, comme les CFF, la Poste ou Swisscom. Tant l’actuelle que la nouvelle loi fédérale sur la protection des données stipulent que nous conseillons ces acteurs sur la planification et la mise en œuvre de projets numériques. Nous mettons à la disposition des citoyennes et citoyens une ligne téléphonique gratuite joignable le matin. En tant que préposé à la transparence, je mène également des médiations dans le cadre de la loi fédérale sur le principe de la transparence. Par exemple, s’il y a un désaccord entre l’Office fédéral de la santé publique et une personne demandant l’accès aux contrats avec les fabricants de vaccins au sujet de leur publication, j’essaie de trouver un accord entre les parties.
Vous êtes responsable des organes fédéraux et des personnes ou entreprises privées, mais pas des autorités communales ou cantonales. Quels établissements de santé relèvent de votre responsabilité?
La délimitation des compétences n’est pas chose aisée, car elle ne peut être déduite de la seule forme organisationnelle d’un prestataire de services. Les hôpitaux privés, par exemple, peuvent fonctionner à la fois dans le cadre d’un mandat de prestations de droit public d’un canton et en vertu du droit privé. S’ils remplissent un mandat de prestations cantonal, ils sont soumis à la loi cantonale sur la protection des données et à la surveillance de mes collègues cantonaux. Les médecins de famille, les cabinets médicaux, les thérapeutes ou les pharmacies sont généralement soumis à la loi sur la protection des données et à la surveillance de la Confédération, et relèvent donc de ma responsabilité.
Quelles sont les particularités du système de santé en matière de protection des données?
Notre système de santé se caractérise par une interaction complexe entre les autorités de la Confédération, les cantons et les communes, les assureurs maladie et les prestataires de services aux intérêts parfois contradictoires. Dans cet environnement exigeant et très réglementé, il est nécessaire, d’une part, de conserver les données collectées sous forme numérique et, d’autre part, de rendre accessible aux acteurs un maximum de données factuelles scientifiquement et économiquement exploitables. Dans le même temps, la protection de la personnalité et des données exige que l’accès des acteurs aux informations à caractère personnel soit toujours limité au minimum nécessaire à l’accomplissement de leurs tâches. Atteindre cet objectif constitue un défi.Il faut également noter que, d’une part, la Suisse dispose de réseaux performants et stables, mais que, d’autre part, il existe de graves lacunes dans les services numériques de base, tels que l’identité électronique (eID) reconnue par l’État. Le secteur de la santé paie un prix particulièrement élevé pour cette numérisation asynchrone. Il suffit de penser au traitement des données par la fondation mesvaccins.ch: notre investigation sur cette question a montré combien il serait utile de pouvoir prouver et vérifier les qualifications professionnelles du personnel médical en toute sécurité avant d’accéder aux systèmes contenant des données relatives à la santé. Les photocopies de diplômes de doctorat et autres diplômes facilement falsifiables ne sont pas une solution adaptée à notre époque. Il en va de même pour les copies de passeports et de cartes d’identité, qui sont encore utilisées aujourd’hui au sein du système de santé pour obtenir des informations en vertu de la loi sur la protection des données. Celles-ci sont parfois encore transmises sans cryptage et sans authentification à plusieurs facteurs, via des canaux non sécurisés.
« La Suisse dispose d’une part de réseaux performants, mais d’autre part, il existe de graves lacunes dans les services numériques de base comme l’eID reconnue par l’État. »
La question du DEP préoccupe le système de santé depuis de nombreuses années. Quels sont les plus grands défis en termes de protection des données?
En raison de la complexité déjà évoquée de notre système de santé et des lacunes en ma-tière de services numériques de base, l’introduction du DEP ne progresse pas à la vitesse attendue par le législateur de 2015. Ce retard a entretemps incité les organes politiques à réfléchir au remplacement de l’exigence du consentement du patient par une solution de l’opposition. Cela nécessiterait alors une révision partielle de la LDEP. Du point de vue de la protection des données, une telle révision serait toutefois problématique, car l’autodétermination des patients en matière d’information est un droit fondamental protégé par la Constitution. En cas de révision partielle de la LDEP ou de modification d’autres bases légales, je saisirai l’occasion de me prononcer sur les aspects liés à la protection des données dans le cadre des consultations des offices et, le cas échéant, des auditions des commissions consultatives.
Donc, selon vous, les fondements de la LDEP ne devraient pas être modifiés?
Je ne nierai pas que certaines améliorations conceptuelles font à juste titre l’objet de discussions. En tant que simple dépôt de documents PDF obsolètes, le DEP n’offre que des avantages limités, c’est pourquoi une dynamisation et une centralisation partielle du stockage des données sont envisagées. C’est parfaitement logique.
« L’autodétermination des patients en matière d’information est un droit fondamental protégé par la Constitution. »
Et quels défis le DEP pose-t-il sur le plan technique?
Certains obstacles subsistent également à cet égard: il n’est pas évident d’assurer la disponibilité du DEP et sa compatibilité avec les systèmes primaires décentralisés des prestataires de services tout en maintenant la sécurité technique nécessaire des données. La numérisation asynchrone mentionnée est visible dès l’ouverture des dossiers de patients: aujourd’hui, il faut généralement fournir une preuve d’identité physique au moment de l’ouverture du dossier. Pour un procédé entièrement numérique, il manque, comme déjà dit, une eID étatique reconnue à l’échelle nationale. Pour permettre malgré tout l’ouverture en ligne de dossiers de patients, le Conseil fédéral recommande aux communautés de référence, dans son rapport du 11 août 2021 sur la motion Wehrli, d’introduire dès que possible l’identification par vidéoconférence. Il est évident que des questions de protection des données se posent ici aussi et qu’elles seront traitées par mon autorité.
Vous êtes également responsable des droits des patients. Quels aspects de la protection des données sont cruciaux pour ce groupe de parties prenantes dans le cadre du DEP?
Le traitement des données des communautés de référence organisées selon le droit privé est soumis à la LPD et donc à la surveillance du PFPDT. Il en va de même pour tous les autres acteurs impliqués dans le DEP, tels que les fournisseurs d’infrastructure, l’organisme de certification ou les prestataires de services affiliés, dans la mesure où ils sont privés. En vertu de la loi actuelle, le PFPDT ne peut toutefois pas traiter les demandes individuelles et ne peut intervenir qu’en cas d’erreurs dites de système. Ainsi, en cas d’indications de violations systématiques des droits des patients, nous prenons des mesures en vertu du droit de surveillance.
« La confiance joue un rôle central dans l’octroi des droits d’accès au DEP. »
Les prestataires de services auraient tout intérêt à avoir accès à autant d’informations que possible sur les patients dans le DEP. Ces derniers souhaitent toutefois décider au cas par cas à qui ils fournissent telle ou telle information. Comment résoudre ce conflit d’intérêts?
Seul le temps nous dira comment la pratique évoluera. La diffusion du DEP est encore faible, mais la confiance joue sans aucun doute un rôle central. Si un prestataire de services prend le temps d’informer les patients, ceux-ci auront tendance à accorder davantage de droits d’accès que s’ils sont livrés à eux-mêmes devant le formulaire en salle d’attente. La LDEP prévoit également la possibilité d’un accès d’urgence, que les patients peuvent toutefois exclure – ou étendre. Mais je ne pense pas que cette option sera fréquemment utilisée.
La nouvelle loi sur la protection des données (nLPD) devrait entrer en vigueur en 2022. Qu’est-ce qui changera pour les cabinets médicaux?
La nouvelle loi oblige les cabinets médicaux à tenir un registre de leurs activités de traite-ment. Je leur conseille de profiter de cette occasion pour examiner leurs contrats avec les prestataires de services tels que les services de facturation et de vérifier leur compatibilité avec la nLDP. De plus amples informations sont disponibles sur le site Web du PFPDT.
Et pour les hôpitaux?
Les établissements de santé tels que les hôpitaux doivent savoir que la nLDP prévoit l’approche générale d’un traitement des données personnelles basé sur le risque. Cela signifie que ces établissements doivent préparer des analyses d’impact sur la protection des données lorsqu’ils se lancent dans des projets de transformation numérique. Dans ce contexte, nous saluons le fait que de nombreux hôpitaux emploient ou mandatent des responsables de la protection des données pour réaliser ces évaluations de manière professionnelle. Ces derniers sont des points de contact importants pour les autorités fédérales et cantonales de protection des données.Adrian Lobsiger parle des conséquences des violations de la protections des données et du stockage des données des patients dans le cloud dans la deuxième partie de l’entretien.
La HIN Academy permet de sensibiliser
La HIN Academy de Health Info Net AG (HIN) sensibilise les acteurs du système de santé à la protection des données et aux dangers de la cybercriminalité. Le nouveau module Protection des données est entièrement axé sur la protection des données. Les formations peuvent être personnalisées pour l’ensemble d’une institution ou un seul participant.
Adrian Lobsiger
Adrian Lobsiger a été élu Préposé fédéral à la protection des données et à la transparence (PFPDT) par le Conseil fédéral en novembre 2015 et confirmé par le Parlement en mars 2016. En 2019, le Conseil fédéral a confirmé sa réélection pour un second mandat jusqu’à fin 2023.
