- Le PFPDT a publié une fiche d’information stricte sur les formulaires des patients, s’appuie sur la LPD, attend l’adaptation des formulaires par les fournisseurs de prestations.
- Obligation d’information selon l’art. 19 LPD : information active et immédiatement accessible requise ; signature non nécessaire pour confirmer la prise de connaissance.
- Le consentement n’est pas une condition générale selon la LPD ; si nécessaire, le PFPDT exige des exigences strictes en matière d’information et de spécificité.
- Minimisation des données et sécurité : ne collecter que les données nécessaires, la transmission électronique non sécurisée pose problème, le cryptage est recommandé.
Le 30 septembre 2025, le PFPDT a publié une fiche d’information non datée et très stricte par endroits, intitulée “Explications relatives aux formulaires de patients pour les consultations médicales et thérapeutiques”. publié. Le projet a également RA Martin Steiger rapporte.
L’aide-mémoire s’appuie sur la LPD et donc pas sur le droit cantonal de la protection des données, qui s’applique aux hôpitaux cantonaux, ni sur les secrets professionnels protégés par le droit pénal. Elle considère les Relation médecin/patientLa plupart d’entre elles s’appliquent également à d’autres professions thérapeutiques. L’aide-mémoire est motivé par le fait que de nombreuses organisations et associations faîtières de fournisseurs de prestations mettent à disposition des modèles de déclaration de consentement (par exemple la FMH) qui soulèvent des questions en matière de protection des données, raison pour laquelle le PFPDT souhaite sensibiliser les fournisseurs de prestations (“Lerb”). Il attend expressément une Adaptation des formulairessi nécessaire.
Information
Tout d’abord, la fiche aborde les Obligation d’information selon l’art. 19 f. LPD, mais ne contient rien de nouveau ou de surprenant. Tout au plus, il laisse entrevoir une tendance à la sévérité en ce qui concerne la disponibilité des informations :
En outre, le responsable doit informer activement ; lors de la collecte des données, il doit veiller à ce que la personne concernée ne doive pas chercher ou demander les informations, mais puisse y accéder immédiatement. En d’autres termes, le médecin doit veiller à ce que le patient puisse prendre connaissance de l’information de manière appropriée ; mais il ne doit pas veiller à ce que le patient le fasse effectivement.
Il est bien sûr exact que le Lerb pas de confirmation de la prise de connaissance a besoin :
Il faut souligner ici que, contrairement au consentement (voir chap. 2), il s’agit “seulement” d’une information et que la prise de connaissance explicite n’est pas une condition de validité. Le respect par le médecin de l’obligation d’informer ne dépend donc pas de la signature du patient. Le patient n’est pas tenu de confirmer qu’il a pris connaissance du document. Pour ne pas créer de problèmes inutiles, il est par conséquent préférable de ne pas exiger de signature.
Consentement
Le thème du consentement commence la fiche d’information par une phrase que l’on peut souligner deux fois :
Selon la LPD, la Consentement non requis pour que les médecins traitent les données personnelles des patients.
Cela vaut pour toutes les données sensibles (et a fortiori pour toutes les autres données). Le consentement peut bien sûr être requis, mais il ne l’est pas systématiquement.
Si un consentement est nécessaire, les exigences habituelles s’appliquent, mais le PFPDT entend les appliquer de manière très stricte :
- Être informé: Ici, le PFPDT part d’abord du principe que l’art. 19 LPD le contenu minimal de ce qui est nécessaire en termes d’information pour obtenir un consentement éclairé :
La personne concernée doit donc recevoir au moins les informations mentionnées à l’article 19 LPD. Selon le contexte et le type de données traitées, des explications supplémentaires sont nécessaires pour permettre à la personne concernée d’évaluer la portée de son consentement.
Il n’est pas certain que cela soit vrai dans l’absolu, mais dans la pratique, cela devrait être le cas en règle générale, parce que et aussi longtemps que l’obligation d’information n’est pas soumise à des exigences élevées, elle ne doit en fin de compte permettre qu’une demande de renseignements.
En revanche, il est faux de dire que les informations “doivent” être “aussi complètes que possible” – elles doivent seulement être suffisantes, on peut toujours aller plus loin. Ensuite, l’indication selon laquelle la déclaration de consentement doit également inclure ” les données personnelles ” n’est pour le moins pas justifiée.Conséquences en cas de non-consentementet “la manière dont la personne gère ses relations avec les autres”. Révoquer le consentement ou faire valoir son droit d’accès”. Il est difficile de soutenir qu’un patient ne peut pas former un véritable consentement sans cette information.
- SpécifiqueIci, le PFPDT n’autorise pas les consentements en blanc, à juste titre bien sûr. Mais là encore, il est très strict lorsqu’il écrit qu’un consentement préalable à la communication du dossier à un médecin spécialiste n’est pas valable ; le consentement peut être donné ne doit être sollicitée que lorsque la question se pose concrètement. De même, un consentement préalable “à la transmission d’une éventuelle procédure de recouvrement à une entreprise tierce” n’est pas valable. Là encore, on ne trouve aucune justification.
En fin de compte, la position du PFPDT se résume ici soit à une sorte de Déchéance d’un consentement ou de supposer qu’un patient ne peut pas accepter une certaine ambiguïté. Ces deux cas de figure n’ont aucun fondement dans le cas de patients majeurs. De plus, la position du PFPDT ne se limiterait pas au domaine de la santé – tous les secteurs contenant des données sensibles, y compris le secteur financier, ne pourraient plus demander de tels consentements dans les CG. Toutefois, le PFPDT ne s’exprime que sur la protection des données, pas sur le droit pénal. Dans ce domaine, un autre critère peut très bien s’appliquer.
- Volontariat: aucun commentaire.
Communication électronique sécurisée des données
Le consentement à une “communication électronique non sécurisée des données” est problématique. Même l’échange purement administratif concerne des données sensibles et doit donc être sécurisé, par exemple par cryptage. Un consentement à l’échange non sécurisé n’est possible que si le patient a été informé des risques et a donné son accord de son plein gré, ce qui exige entre autres une possibilité de choix effective.
Proportionnalité
Le responsable du traitement ne peut donc pas collecter plus de données que nécessaire. Des données telles que le nom de jeune fille, l’état civil, la nationalité, le téléphone professionnel, la profession et le nom de l’employeur ne sont en principe pas nécessaires, sous réserve de cas particuliers – l’autorité de poursuite pénale doit en tout cas toujours pouvoir justifier un traitement de données déterminé. Les questionnaires excessifs doivent donc être corrigés.
En principe, c’est bien sûr vrai, mais en principe seulement. Premièrement, dans le cadre du principe de proportionnalité, il existe par définition un large pouvoir d’appréciation et la protection des données – ou le PFPDT – ne peut en tout cas pas substituer son pouvoir d’appréciation à celui du responsable (une pratique sans urgence serait correcte). Deuxièmement, une violation peut être justifiée, notamment par des considérations de praticabilité (pour autant qu’elles ne soient pas déjà prises en compte dans l’application du principe de proportionnalité lui-même).