- Le Conseil fédéral doit présenter des bases légales pour une protection complète des données des patients dans le domaine de la cybersanté, des dossiers électroniques, de la carte d’assuré, des données génétiques et des nouvelles technologies.
- La révision de la protection des données exige une transparence accrue : les maîtres de fichiers doivent informer activement les personnes concernées de la collecte, de la finalité et des destinataires possibles des données.
- Des réglementations spécifiques existent déjà : stratégie eHealth, réglementation sur la carte d’assuré, LAGH pour les données génétiques et obligations de protection des données pour les systèmes RFID.
Motion Vreni Hubmann (07.3468) : Protection des données dans le domaine de la santé (classée)
Classé le 12.6.2009
Texte déposé :
Les progrès techniques fulgurants et la numérisation des données des patients menacent de plus en plus le secret médical. Nous chargeons le Conseil fédéral de présenter les bases légales pour une protection complète des données des patients. Les domaines suivants doivent notamment être pris en compte :
– La santé en ligne ;
– les dossiers électroniques des patients ;
– Carte d’assuré ;
– données génétiques ;
– les nouvelles technologies (puce RFID).Il s’agit notamment de définir précisément qui est responsable de ces données, qui y a accès (en particulier aux données sensibles des patients) et comment les patients peuvent vérifier les données qui les concernent. Il convient également de préciser le principe énoncé dans la loi sur la protection des données (art. 4 LPD, principes), selon lequel le traitement des données doit être “proportionné”, en ce qui concerne les données des patients.
Justification
Lors d’une manifestation consacrée à la protection des patients, le responsable de la protection des données du canton de Zurich a mis en garde avec insistance contre un “démantèlement insidieux du secret médical” suite à la quantité croissante de données des patients et à l’augmentation des échanges de données. Selon lui, il est urgent d’agir sur le plan législatif.
Avis du Conseil fédéral
La révision de la loi sur la protection des données, déjà adoptée par le Parlement, prévoit d’accroître la transparence lors de la collecte de données personnelles. Elle prévoit notamment que les maîtres de fichiers soient tenus d’informer activement la personne concernée de la collecte de données personnelles sensibles. Les données relatives à la santé des patients en font également partie. Ainsi, il faut au moins indiquer qui est le maître du fichier, quel est le but poursuivi par le traitement et quels peuvent être les éventuels destinataires des données. Le 15 juin 2007, le Conseil fédéral avait déjà indiqué dans sa prise de position sur la motion Heim “Protection des données des patients” (07.3114) qu’il fallait d’abord attendre la mise en œuvre de cette révision de la loi et recueillir les premières expériences avant d’envisager d’autres bases légales.
Selon la loi sur la protection des données, le traitement de données sensibles, dont font partie les données des patients, nécessite une base dans une loi formelle. Cette exigence est respectée dans les domaines mentionnés dans la motion. Voici en détail ce qu’il faut retenir à ce sujet :
Dossier du patient et cybersanté : Le 27 juin 2007, le Conseil fédéral a adopté la “Stratégie Cybersanté (eHealth) Suisse”. Le dossier électronique du patient fait partie intégrante de cette stratégie. Le Conseil fédéral est conscient de la sensibilité de ce développement et a donc accordé la plus haute priorité à la sécurité de l’information et à la protection des données dans le cadre de la cybersanté. C’est pourquoi, dans la première phase de la mise en œuvre, on analyse de manière approfondie comment ces domaines doivent être réglés par la loi.
Carte d’assuré : l’introduction d’une carte d’assuré prévue pour 2009 est réglée par l’article 42a de la loi sur l’assurance-maladie (LAMal). En outre, l’ordonnance sur la carte d’assuré pour l’assurance obligatoire des soins (OCA) définit en détail le traitement des données. Ainsi, les assurés décident eux-mêmes si et, le cas échéant, quelles informations médicales ils souhaitent faire enregistrer sur la carte d’assuré dans un ensemble de données standardisé. Les assurés peuvent également décider au cas par cas de l’accès en lecture chez le médecin ou à l’hôpital.
Données génétiques : La loi fédérale sur l’analyse génétique humaine (LAGH ; RS 810.12), entrée en vigueur le 1er avril 2007, soumet dans son article 7 le traitement des données génétiques au secret professionnel selon les articles 321 et 321bis du code pénal ainsi qu’aux dispositions fédérales et cantonales sur la protection des données. L’article 19 et d’autres dispositions règlent la communication de données génétiques par le médecin, la communication à l’employeur, qui n’est autorisée que dans des cas exceptionnels, ainsi que le traitement dans le domaine des assurances et de la responsabilité civile. En ce qui concerne la réalisation d’analyses génétiques à l’étranger, l’article 6 de la loi fédérale sur la protection des données (LPD ; RS 235.1) est applicable.
Technologie RFID : le 18 mai 2005, le Conseil fédéral a répondu à l’interpellation Hollenstein “L’utilisation de la technologie RFID (Radio Frequency Identification) menace-t-elle la protection des données” ? (05.3067), a estimé qu’il n’y avait pas lieu d’agir en matière de législation sur la protection des données. Les exploitants de systèmes RFID doivent tenir compte des exigences légales de la loi sur la protection des données. Dans la mesure où des données personnelles sont traitées, les personnes concernées doivent être informées de manière transparente et complète, notamment sur le traitement des données, sur le but du traitement ainsi que sur le droit d’accès et de rectification.