Inter­pel­la­ti­on Feri (17.3531) : Numé­ri­sa­ti­on dans le domaine de la santé

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, ,
Ven­te à emporter (AI)
  • L’É­tat garan­tit la con­fi­ance dans l’E-ID par des nor­mes de cer­ti­fi­ca­ti­on obli­ga­toires (ISO, pro­fils de pro­tec­tion) et leur respect dans la légis­la­ti­on d’ap­pli­ca­ti­on de la LDEP.
  • La Con­fé­dé­ra­ti­on et les can­tons intègrent l’e-ID dans la numé­ri­sa­ti­on de la san­té, exami­nent les chances/risques dans le cad­re des stra­té­gies de cybers­an­té ain­si que des stra­té­gies en matiè­re de cyber et d’in­fras­truc­tu­re critique.

Inter­pel­la­ti­on Feri (17.3531) : Numé­ri­sa­ti­on dans le domaine de la santé

Tex­te soumis

Rien ne s’op­po­se à ce que la Poste, les CFF, l’UBS, Swis­s­com, le Cre­dit Sui­s­se ou d’aut­res ent­re­pri­ses émet­tent un E‑ID. Elles le font déjà et si ces ent­re­pri­ses s’ef­for­cent d’a­mé­lio­rer et d’uni­for­mi­ser leur ser­vice E‑ID, on ne peut que s’en féli­ci­ter. La con­fi­ance dans un ser­vice E‑ID est essen­ti­el­le et doit être garan­tie par l’É­tat lui-même (ou par un tiers man­da­té). Enfin, l’E-ID pose la que­sti­on fon­da­men­ta­le de savoir com­ment les infras­truc­tures de don­nées exi­stan­tes de l’É­tat ou des ent­re­pri­ses pro­ches de l’É­tat doi­vent être mises à la dis­po­si­ti­on de la coll­ec­ti­vi­té. C’est pour­quoi la que­sti­on de la con­fi­ance envers l’E-ID se pose tout par­ti­cu­liè­re­ment dans le domaine de la santé.

Je deman­de donc au Con­seil fédé­ral de répond­re aux que­sti­ons suivantes :

  1. Com­ment le pati­ent peut-il vrai­ment s’assurer que la pro­tec­tion des don­nées est éga­le­ment garan­tie avec l’E-ID ?
  2. Que fait-il pour inté­grer l’i­den­ti­té numé­ri­que de l’É­tat (E‑ID) com­me mesu­re de con­fi­ance et com­me base de la sécu­ri­té dans la numé­ri­sa­ti­on du système de santé ?
  3. Exi­ste-t-il déjà une ana­ly­se des chan­ces et des ris­ques en ce qui con­cer­ne la numé­ri­sa­ti­on dans le sec­teur de la santé ?

Avis du Con­seil fédé­ral du 30 août 2017

  1. Les pro­fils de pro­tec­tion et les nor­mes ISO (p. ex. ISO/CEI 27001:2013 et ISO/CEI 29115:2013) actu­el­le­ment en vigueur pour la cer­ti­fi­ca­ti­on des émet­teurs de moy­ens d’i­den­ti­fi­ca­ti­on accor­dent une gran­de importance à la pro­tec­tion et à la sécu­ri­té des don­nées, non seu­le­ment sur le plan tech­ni­que, mais aus­si en ce qui con­cer­ne le per­son­nel impli­qué dans l’é­mis­si­on d’un moy­en d’i­den­ti­fi­ca­ti­on et les pro­ce­s­sus à respec­ter. Cela per­met de garan­tir une réac­tion adé­qua­te aux évé­ne­ments liés à la sécu­ri­té, com­me la com­pro­mis­si­on du moy­en d’i­den­ti­fi­ca­ti­on. Ces pro­fils de pro­tec­tion et ces nor­mes s’ap­pli­quent aus­si bien aux émet­teurs pri­vés qu’aux émet­teurs publics de moy­ens d’i­den­ti­fi­ca­ti­on. Le respect de ces exi­gen­ces est déjà assu­ré dans le Droit d’ap­pli­ca­ti­on de la loi fédé­ra­le sur le dos­sier élec­tro­ni­que du pati­ent (EPDG, SR 816.1) pour les moy­ens d’i­den­ti­fi­ca­ti­onL’or­don­nan­ce sur le dos­sier élec­tro­ni­que du pati­ent (ODEP, RS 816.11) impo­se l’uti­li­sa­ti­on d’un iden­ti­fi­ant uni­que pour accé­der au dos­sier élec­tro­ni­que du pati­ent. Les futures dis­po­si­ti­ons d’exé­cu­ti­on de la loi fédé­ra­le sur les unités d’i­den­ti­fi­ca­ti­on élec­tro­ni­que recon­nues (Loi sur l’i­den­ti­té élec­tro­ni­que) respec­te­ront et reflé­te­ront le niveau de pro­tec­tion de la LDE. Cela per­mettra de garan­tir que les moy­ens d’i­den­ti­fi­ca­ti­on pré­vus par la loi sur la car­te d’i­den­ti­té élec­tro­ni­que sont con­for­mes à la LDEP et à ses nor­mes juridiques.
  2. Le Con­seil fédé­ral a mené la pro­cé­du­re de con­sul­ta­ti­on rela­ti­ve à la loi sur l’i­den­ti­té élec­tro­ni­que du 22 février 2017 au 29 mai 2017. Ce pro­jet pré­voit que les émet­teurs pri­vés ou publics de moy­ens d’i­den­ti­fi­ca­ti­on appro­priés pui­s­sent obte­nir d’un orga­nis­me de recon­nais­sance au niveau fédé­ral l’au­to­ri­sa­ti­on d’é­mett­re des moy­ens d’i­den­ti­fi­ca­ti­on élec­tro­ni­ques recon­nus par l’E­tat. Les systè­mes déjà exi­stants ou en cours de déve­lo­p­pe­ment, tels que les pro­jets de la Poste et des CFF ain­si que des ban­ques et de Swis­s­com, doi­vent éga­le­ment pou­voir être recon­nus par la Con­fé­dé­ra­ti­on. Le moment venu, les moy­ens d’i­den­ti­fi­ca­ti­on ain­si recon­nus pour­ront éga­le­ment être uti­li­sés dans le sec­teur de la san­té. Jus­qu’à ce que la loi sur l’e-ID soit en vigueur, les édi­teurs des moy­ens d’i­den­ti­fi­ca­ti­on élec­tro­ni­ques pre­scrits pour l’ac­cès au dos­sier élec­tro­ni­que du pati­ent devront pas­ser par la pro­cé­du­re de cer­ti­fi­ca­ti­on défi­nie dans la LDEP. Com­me pour la loi sur l’e-ID, cet­te pro­cé­du­re est har­mo­ni­sée avec les régle­men­ta­ti­ons exi­stan­tes dans le domaine des signa­tures élec­tro­ni­ques, de sor­te que les édi­teurs de moy­ens d’i­den­ti­fi­ca­ti­on recon­nus béné­fi­ci­ent de syn­er­gies pour les cer­ti­fi­ca­ti­ons exigées.
  3. La Con­fé­dé­ra­ti­on et les can­tons tra­vail­lent depuis 10 ans à la Mise en œuvre de la “Stra­té­gie Cybers­an­té (eHe­alth) Sui­s­se”. Dans le cad­re de ces travaux, les chan­ces et les ris­ques de la numé­ri­sa­ti­on ont tou­jours été dis­cu­tés et les résul­tats de ces dis­cus­sions ont été pris en comp­te dans le cad­re des travaux en cours. Ain­si, par exemp­le, lors de l’é­la­bo­ra­ti­on des bases léga­les pour le dos­sier élec­tro­ni­que du pati­ent, une atten­ti­on par­ti­cu­liè­re a été accor­dée aux thè­mes de la pro­tec­tion et de la sécu­ri­té des don­nées. De même, lors de l’é­la­bo­ra­ti­on des recom­man­da­ti­ons d’e­He­alth Sui­s­se, le cent­re de com­pé­tence et de coor­di­na­ti­on de la Con­fé­dé­ra­ti­on et des can­tons, sur l’uti­li­sa­ti­on des appli­ca­ti­ons de mHe­alth tel­les que les appli­ca­ti­ons de san­té ou les “weara­bles” com­me les brace­lets de fit­ness, la dis­cus­sion sur les chan­ces et les ris­ques de cet­te nou­vel­le tech­no­lo­gie ain­si que sur les que­sti­ons liées aux thè­mes de la pro­tec­tion et de la sécu­ri­té des don­nées a ser­vi de base à la for­mu­la­ti­on des recom­man­da­ti­ons (cf. www.e‑health-suisse.ch > Com­mun­au­tés & mise en œuvre > Acti­vi­tés eHe­alth > mHealth).

Par ail­leurs, dans le cad­re de la mise en œuvre de la stra­té­gie “Sui­s­se numé­ri­que”, adop­tée par le Con­seil fédé­ral en avril 2016, la Con­fé­dé­ra­ti­on et les can­tons éla­bo­rent actu­el­le­ment con­join­te­ment la “Stra­té­gie Cybers­an­té Sui­s­se 2.0” (cf. notam­ment la pri­se de posi­ti­on du Con­seil fédé­ral sur 17.3435 Po Heim. Agen­da numé­ri­que de la san­té. Chan­ces et ris­ques ain­si que sur 17.3434 Po Graf-Lit­scher. Poten­tiel et con­di­ti­ons-cad­res pour la dura­bi­li­té numé­ri­que dans le domaine de la santé).
En out­re, dans le cad­re de la stra­té­gie natio­na­le cont­re les cyber­ris­ques (NCS) et de la stra­té­gie natio­na­le pour la pro­tec­tion des infras­truc­tures cri­ti­ques (PIC), la rési­li­ence du sous-sec­teur cri­tique “assi­stance médi­cale et hôpi­taux” est exami­née en met­tant l’ac­cent sur les vul­né­ra­bi­li­tés des tech­no­lo­gies de l’in­for­ma­ti­on et de la com­mu­ni­ca­ti­on et sur les cyber­ris­ques, et des mesu­res sont éla­bo­rées pour les amé­lio­rer. Ces travaux sont régu­liè­re­ment mis à jour pour tenir comp­te de l’é­vo­lu­ti­on du con­tex­te (p. ex. déploie­ment et uti­li­sa­ti­on de nou­vel­les tech­no­lo­gies dans le domaine des moy­ens d’identification).