La nouvelle loi sur la protection des données (nLPD) et la nouvelle ordonnance sur la protection des données (OPDo) ainsi que la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD) entreront en vigueur le 1er septembre 2023. Certaines nouveautés peuvent nécessiter, dans les cabinets médicaux ou les institutions du système de santé, une adaptation ou une extension des directives et des processus de traitement des données personnelles en vigueur jusqu’à présent.Dans le premier article de blog consacré à la nouvelle loi sur la protection des données, nous avons fourni un aperçu des changements importants et abordé certaines nouveautés en matière de traitement des données. Le présent article traite des points importants concernant le traitement, l’archivage et la suppression des données.
Registre des traitements de données
Avec l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données, les responsables sont dans l’obligation, sous certaines conditions, de tenir un registre des activités de traitement. Cette obligation concerne les entreprises de plus de 250 employés et les responsables qui procèdent à un traitement à grande échelle de données à caractère personnel sensibles. Au vu de la nature sensible des données de santé, il est recommandé aux cabinets médicaux et autres institutions du système de santé de tenir un tel registre, aussi comme base pour d’éventuelles demandes de renseignements sur les données. Toutefois, en cas d’absence de registre, aucune sanction n’est prévue. Le registre des traitements de données devrait mentionner toutes les activités de traitement pour lesquelles le traitement de données sensibles à caractère personnel est au centre des préoccupations.Voici quelques exemples:- Tenue et gestion des dossiers médicaux
- Gestion des données de patients pour le décompte des assurances sociales
- Analyses de laboratoire
- Gestion des commandes de médicaments et de matériel
- Gestion du personnel
La FMH propose un modèle de registre des activités de traitement, voir «Guide pour le registre des activités de traitement» sur la page d’information de la FMH.
Les colonnes mentionnées ci-dessous doivent absolument être tenues:
- Activité de traitement: activité de traitement spécifique lors de laquelle des données personnelles sont traitées. Les activités de traitement connexes ou similaires peuvent être regroupées en une seule activité de traitement.
- Finalité: finalité pour laquelle les données personnelles sont traitées. Il est aussi possible de mentionner plusieurs finalités (p. ex. détermination de résultats de laboratoire, documentation du traitement).
- Responsable: personne responsable de l’activité de traitement et des données traitées. Il s’agit de la personne qui décide comment et avec quoi les données sont traitées (p. ex. la ou le médecin). Lorsque plusieurs personnes sont responsables d’une activité de traitement (p. ex. la tenue des dossiers médicaux dans un cabinet de groupe), il est recommandé d’indiquer le nom du cabinet médical ainsi que les fonctions des responsables (p. ex. médecin traitant).
- Catégories de personnes concernées: personnes concernées dont les données sont traitées. Il s’agit de groupes particuliers présentant certaines caractéristiques communes (p. ex. personnes intéressées, patientes et patients, personnel, prestataires de services).
- Catégories de données personnelles: les données personnelles traitées, regroupées en catégories (pas trop détaillées, p. ex. informations personnelles, données de base, coordonnées, données salariales, données d’assurance, coordonnées bancaires, données relatives au traitement médical, données sur la santé).
- Catégorie de destinataires: destinataires qui, dans le cadre d’une activité, ont accès aux données personnelles ou peuvent les consulter, regroupés en catégories. Les destinataires peuvent être des personnes, des entreprises, des autorités, etc. Des dénominations claires des catégories de destinataires sont par exemple caisses-maladie, assurances-invalidité, comptabilité, administration fiscale, autorités de surveillance, prestataires de services.
- Durée de conservation / critère pour déterminer la durée de conservation: S’ils sont connus, délais de conservation des données (p. ex. nombre de jours ou d’années). Il convient alors de tenir compte en particulier des obligations de conservation légales et déontologiques, voir le chapitre «Archivage et suppression des données». En l’absence de délais de conservation légaux ou déontologiques, il convient de préciser selon quels critères les données personnelles sont conservées (p. ex. jusqu’à l’atteinte de la finalité, jusqu’au départ de la collaboratrice ou du collaborateur).
- Mesures relatives à la sécurité des données: mesures techniques et organisationnelles déjà mises en œuvre pour protéger les données contre toute perte de confidentialité, d’intégrité et de disponibilité (p. ex. armoires verrouillées pour les dossiers médicaux physiques, trafic d’e-mails cryptés, restriction d’accès aux archives numériques, formation du personnel, etc.) Il est également possible de renvoyer ici à des concepts de sécurité existants.
Archivage des données
Les données personnelles réglementées par la loi sur la protection des données et traitées en grand nombre dans les établissements de santé sont soumises à différentes exigences légales en matière d’archivage et de destruction ou de suppression.Nous vous donnons ci-dessous un aperçu des données qui doivent être conservées – notamment en vertu de la loi révisée sur la protection des données – et pendant combien de temps, classées par durée de conservation. Vous pouvez documenter la mise en œuvre dans votre cabinet ou votre institution dans le registre des traitements de données évoqué plus haut. Données traitées dans le cabinet ou l’institution:
- Dossier du personnel, saisie du temps de travail et gestion des salaires: 5 ans à compter du départ de la collaboratrice ou du collaborateur
- Factures, décomptes de frais et documents fiscaux: 10 ans à compter de la fin de l’exercice
- Dossier médical: en raison du délai de prescription prévu par le droit de la responsabilité civile, 20 ans après la fin du dernier examen ou traitement. Au-delà, il ne peut être conservé qu’avec le consentement de la personne concernée.
- Consignations relatives à des activités en lien avec du sang ou des produits sanguins (p. ex. lors d’une prise de sang): 30 ans
- Documents de médecine du travail: 40 ans
Données traitées chez des partenaires:
- Protocoles de traitements à grande échelle (Event Logs) de données sensibles à caractère personnel: au moins 1 an, séparément du système dans lequel les données personnelles sont traitées. Cela concerne en premier lieu vos fournisseurs de services informatiques, qui sont responsables du stockage de vos données électroniques.
- Protocoles DEP: 10 ans. Cela concerne en premier lieu votre communauté de référence.
- Dossiers électroniques de patients (DEP): ils doivent être supprimés lorsque la finalité n’est plus d’actualité, à la demande de la personne concernée (patiente ou patient) ou au plus tard après 20 ans. Cela concerne en premier lieu votre communauté de référence.
Définitions de termes: destruction, suppression, archivage, sauvegarde L’archivage signifie que les données sont transférées dans un lieu de stockage physique ou un support de stockage numérique sécurisé et inaltérable afin de pouvoir fournir des preuves pendant une période déterminée. En revanche, une sauvegarde sert à restaurer immédiatement les données opérationnelles après une perte de données. Lorsque des données sont irrévocablement détruites, on parle de destruction pour les données physiques (comme les dossiers de patients sur papier), mais de suppression pour les données électroniques.
Dans ce cas, la destruction ou la suppression des données est généralement effectuée par vos partenaires. En cas d’incertitude, renseignez-vous auprès d’eux.Vous trouverez plus de détails dans le «Guide pour la conservation et l’archivage» de la FMH sur le site d’information de la FMH.
L’essentiel en bref
- Traitement transparent des données: les patientes et patients doivent être informés de manière transparente sur le traitement de leurs données. Vous trouverez un modèle de déclaration de protection des données sur la page d’information de la FMH, voir «Déclaration de protection des données».
- Obligation de consentement pour la transmission de données: les patientes et patients doivent consentir explicitement (mais pas obligatoirement par écrit) à la transmission de leurs données à des tiers. Vous trouverez un modèle de déclaration de consentement sur le site d’information de la FMH (voir «Déclaration de consentement, formulaire patientèle»).
- Utilisation économe des données: n’enregistrez et ne traitez des données que si cela est vraiment nécessaire et ne transmettez des données à des tiers que s’il est avéré qu’ils en ont impérativement besoin.
- Registre de vos traitements de données: tenez le registre mentionné plus haut et veillez à ce qu’il soit toujours à jour. Aucune sanction ne vous sera infligée si vous ne le faites pas. Mais ce registre vous est également très utile pour conserver une vue d’ensemble de vos traitements de données.
- Protection et sécurité des données: protégez soigneusement les données des patientes et patients dans votre travail quotidien. Ne laissez jamais des dossiers physiques en évidence et investissez dans une infrastructure informatique sécurisée. Protégez les ordinateurs de bureau et ordinateurs portables sur lesquels sont stockées des données personnelles numériques à l’aide d’un mot de passe sûr. Les e-mails contenant des données de patients doivent être transmis sous forme cryptée. Voir aussi Sécurité informatique de la FMH.
- Mesures de sécurité techniques et organisationnelles: définissez des directives concrètes pour la mise en œuvre des mesures techniques et organisationnelles relatives à la protection et à la sécurité des données dans votre cabinet. Mettez-les en œuvre avec soin, vérifiez toujours leur actualité et leur respect, et adaptez-les si nécessaire. La responsabilité du traitement des données consiste désormais en un processus permanent.
Plus d’informations
- Eine Übersicht über die wichtigsten Neuerungen aufgrund des nDSG sowie erste Tipps zur Datenbearbeitung finden Sie im HIN Blogbeitrag Teil 1
- Vous trouverez un aperçu des principales nouveautés découlant de la nLPD ainsi que nos premiers conseils pour le traitement des données dans la première partie de l’article de blog HIN
- Vous trouverez tous les outils et modèles de documents pour les cabinets médicaux et les institutions du système de santé sur la page d’information de la FMH.
À propos de l’auteur: Clemens Hüppe
En tant que responsable du département Compliance and Risk, Clemens Hüppe est chargé des documents de référence et de l’audit du respect des exigences légales et normatives, ainsi que de la gestion des risques pour la protection des données et la sécurité de l’information. Il rend compte directement à la direction. Il est impliqué de manière déterminante dans la certification obtenue par la Communauté DEP AD Swiss selon l’annexe 2 de l’ODEP-DFI et dans les certifications existantes de Health Info Net AG selon l’annexe 8 de l’ODEP-DFI ainsi que selon ISO/IEC 27001. Clemens Hüppe dispose de plus de 25 ans d’expérience dans l’ingénierie de la sécurité informatique, la gestion de la sécurité de l’information et la certification auprès d’entreprises suisses et internationales dans différents secteurs. Pour se détendre, Clemens aime faire des randonnées, de la natation, du vélo ou du ski de fond.