Le 1er septembre 2023, la nouvelle loi sur la protection des données (nLPD) entrera en vigueur en Suisse. Cette modification de la loi entraîne également certaines obligations pour les exploitants de cabinets. Dans l’entretien avec Dominic Zbinden, consultant et spécialiste chez Swiss Infosec AG, nous mettons en lumière des aspects et des questions importants sur ce sujet et vous aidons à vous préparer aux changements à venir.

Bienvenue Dominic Zbinden. En tant que spécialiste dans le domaine de la nouvelle loi sur la protection des données, vos fils sont probablement en train de chauffer en ce moment. Merci d’avoir pris le temps de répondre aux questions de nos thérapeutes.

Dois-je modifier quelque chose dans mes conditions générales ?
Les conditions générales ne doivent pas être confondues avec une déclaration de protection des données. En matière de protection des données, les conditions générales ne sont pas au centre des préoccupations. Il s’agit plutôt de la déclaration de protection des données, qui doit être à jour le 1er septembre 2023 . Le plus simple est de se référer directement à la déclaration de protection des données dans les conditions générales.

Ai-je toujours besoin d’une déclaration générale de protection des données pour mes patients ?
Oui. En tant que thérapeute , vous aurez toujours besoin d’une déclaration de protection des données à l’avenir ; c’est le résultat de la soi-disant « exigence de transparence », que la nouvelle loi place encore plus au centre. Les personnes concernées (patients, visiteurs du site Web, etc.) doivent être informées de manière transparente comment leurs données sont traitées et de la manière dont elles sont traitées au cas par cas.

Quelle est la meilleure façon d’obtenir l’approbation du patient pour la déclaration générale de protection des données ?
Une déclaration de protection des données ne nécessite pas le consentement des personnes concernées. La déclaration de protection des données est une déclaration unilatérale. Par contre, un OK est requis chaque fois que des données sont transmises à des tiers. Cela peut être le cas, entre autres, lorsque des données sont transmises à des sociétés de recouvrement de créances, à des assureurs ou à des tribunaux et autorités. Du moins si le secret professionnel existe. Si vous ne disposez pas de ce consentement ou ne pouvez pas l’obtenir, vous devez être délié du secret professionnel par l’autorité cantonale de la santé.

Que se passe-t-il si je fournis également un site Web et une réservation en ligne ou un portail clients ?
La déclaration de protection des données doit couvrir tous ces processus, car les données personnelles sont traitées lors de l’exploitation d’un site Web et lors de l’utilisation d’un outil de réservation en ligne. Dans un souci de clarté, vous pouvez également décider de créer une déclaration de protection des données séparée pour les domaines d’application respectifs. Par ailleurs, des « Contrats de sous-traitance de données personnelles » doivent être conclus avec les opérateurs respectifs des différents outils (site internet, réservation, informatique, etc.).

Tipp HealthAdvisor : Nous avons déjà adapté la déclaration de protection des données pour la réservation en ligne et celle du portail clients à la nouvelle loi. Vous trouverez un texte préparé dans la section « Paramètres réservation en ligne » ou « Portail clients ». Nous vous prions de le vérifier et de l’adapter à vos besoins. Cliquez ensuite sur « Enregistrer & publier ». Ainsi, le lien s’affichera automatiquement sur la page d’accueil de votre réservation en ligne ou dans la fenêtre d’inscription du portail clients.

Qu’est-ce que qu’on entend par un « Contrat de sous-traitance de données personnelles  » ?
C’est un contrat conclu entre un client (par ex. un thérapeute) et un contractant (par ex. HealthAdvisor ) pour garantir que les données personnelles sont traitées conformément aux réglementations applicables en matière de protection des données.

Dans le cadre de ce contrat, le client charge le contractant de traiter certaines données personnelles en son nom. Le contractant est tenu de traiter les données personnelles exclusivement conformément aux instructions du client et de prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données personnelles.

Le contractant ne peut traiter les données personnelles que dans le but convenu et est tenu de supprimer ou de restituer les données personnelles une fois le traitement terminé conformément aux instructions du client. Le client conserve le contrôle des données personnelles et reste responsable de leur traitement licite.

En concluant un « Contrat de sous-traitance de données personnelles », tant le client que le contractant peuvent remplir leurs obligations légales en matière de protection des données personnelles.

Tipp HealthAdvisor : Nous mettrons à disposition de nos thérapeutes un « Contrat de sous-traitance de données personnelles  » préparé à télécharger directement dans l’espace abonnement. Dès fin août 2023, le contrat sera prêt pour vous.

Quelles obligations générales ai-je envers mes patients ?
Les droits des personnes concernées et l’obligation de fournir des informations ne sont pas entièrement nouveaux, mais sont de plus en plus exprimés dans le nouveau cadre juridique. L’obligation d’information a déjà été abordée avec les déclarations complètes de protection des données. Les droits des personnes concernées comprennent, entre autres, le droit à l’information, à la rectification, à la suppression, à l’opposition et à la portabilité des données. Un patient/client peut, par exemple, exiger que toutes ses données soient supprimées rapidement de tous les systèmes, à condition qu’aucun délai légal ne s’y oppose.

Sinon, la nouvelle loi sur la protection des données ne prévoit aucune réglementation entièrement nouvelle. Il est important de savoir qu’en tant que thérapeute, vous êtes entièrement responsable de vos données. 

Que dois-je prendre en compte en ce qui concerne le stockage de mes données patient ?
Le stockage des données est un point important qui affecte non seulement la protection des données, mais également la sécurité des informations. Une sauvegarde sécurisée des données doit être assurée d’un point de vue organisationnel et technique. Voici quelques points à garder à l’esprit :

  • Cryptage : Toutes les données des patients doivent être cryptées, à la fois pendant la transmission et au repos. Cela garantit que même si des données sont volées, elles sont illisibles pour les personnes non autorisées. Sous certaines conditions, les factures peuvent être envoyées par e-mail non crypté (voir à ce propos la question suivante).
  • Contrôle d’accès : Il doit y avoir une politique claire sur l’accès aux données des patients et seules les personnes autorisées doivent y avoir accès. Cela peut être accompli grâce à l’utilisation de comptes d’utilisateurs, de mots de passe et d’une authentification multifacteur.
  • Sauvegarde des données : Des sauvegardes régulières des données des patients doivent être effectuées pour s’assurer qu’elles peuvent être restaurées en cas de panne du système, de corruption ou de perte de données.
  • Sécurité physique : Les serveurs et le stockage des données sur lesquels les données des patients sont stockées doivent être conservés dans un environnement physique sécurisé et contrôlé pour empêcher tout accès non autorisé.
  • Minimisation des données : Il est important de stocker uniquement les données patient nécessaires et de supprimer toutes les informations inutiles. Cela réduit le risque que des données sensibles tombent entre de mauvaises mains.
  • Journalisation des audits : Une journalisation détaillée de tous les accès aux données des patients doit être mise en œuvre pour permettre la surveillance des failles de sécurité potentielles et des enquêtes si nécessaire.
  • Formation du personnel : Le personnel médical doit être régulièrement formé aux politiques de confidentialité et à la manipulation sûre des informations sur les patients. Cela garantit que tous les employés sont conscients de l’importance de la sécurité des données.
  • Conformité aux réglementations : Il est important de s’assurer que le stockage et le traitement des données des patients sont conformes aux lois et réglementations applicables en matière de protection des données – telles que la nouvelle loi suisse sur la protection des données (nLPD) ou le règlement général européen sur la protection des données (RGPD).

Sauvegarder les données est une chose, les supprimer en est une autre. Les données personnelles ne peuvent être conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées. Dès que l’objectif a été atteint ou que les données ne sont plus nécessaires, elles doivent être supprimées. Sinon, il sera considéré comme un traitement excessif des données personnelles. Il est important de développer et de mettre en œuvre un concept de suppression approprié et les processus internes relatifs à la suppression des données.

Tipp HealthAdvisor : Nos bases de données opérationnelles sont stockées de manière redondante en Suisse dans deux centres de données distincts. Nos centres de données sont certifiés ISO27001 ; cela garantit que les exigences en matière de protection de l’accès physique sont satisfaites.

Toutes les données, y compris les documents téléchargés, sont sauvegardées plusieurs fois par jour. Notre système de surveillance suit chaque étape dans un journal d’audit. Dès que plusieurs personnes travaillent dans un cabinet (solution « Multi-Thérapeutes »), les journaux d’audit s’affichent automatiquement dans le compte. Si vous souhaitez donner à une comptable ou à un assistant l’accès à certaines zones de votre compte, la solution «Multi-Utilisateurs» est idéale : tous les clics sont enregistrés dans les journaux d’audit, conformément aux réglementations sur la protection des données.

Nous sommes actuellement en train de concevoir nos processus, instructions, portefeuille de tiers et documents juridiques dans le cadre d’un grand projet en collaboration avec Swiss Infosec AG afin qu’ils répondent aux exigences de la nouvelle loi sur la protection des données d’ici fin août.

Puis-je continuer à envoyer des factures à mes patients par e-mail ?
C’est une question controversée et très sensible. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) recommande de ne pas envoyer de factures aux patients par e-mail sans cryptage sécurisé. En effet, la confidentialité du patient nécessite une protection accrue. Cependant, il est toujours possible que les patients, en signant une autorisation, autorisent les thérapeutes à continuer d’envoyer des factures non cryptées. Dans ce cas, il est crucial que vous, en tant que thérapeute, disposiez de ces autorisations à tout moment et que les patients puissent également retirer cette autorisation à tout moment.

Tipp HealthAdvisor : Dans notre système, les factures ne peuvent être envoyées à un patient via des e-mails non cryptés que si cela est explicitement approuvé dans le dossier du patient en question. Nous sommes heureux de fournir à nos thérapeutes un texte d’autorisation qui a été vérifié par nos avocats. Une fois que le patient l’a signé, le document peut facilement être téléchargé dans le dossier du patient et y être enregistré.

Quelles alternatives existe-t-il à l’envoi de factures par email et par courrier ?
Cela peut être, par exemple, via des portails en ligne ou un e-mail sécurisé (e-mail avec un niveau de cryptage suffisamment élevé).

Tipp HealthAdvisor : Si vous le souhaitez, vous pouvez travailler avec le « Portail clients ». Ainsi, vous avez la possibilité d’envoyer aux patients un e-mail neutre avec un lien. Les patients se connectent à la zone protégée avec leur adresse e-mail, leur mot de passe et leur code SMS et peuvent y consulter et télécharger toutes leurs factures.

Puis-je continuer à gérer les RDV de mon cabinet dans un calendrier externe tel que Google Calendar , Outlook ou iCal ? Ces données ne sont pas stockées en Suisse…
Il se peut que des données personnelles soient enregistrées/stockées dans des pays dits avec un niveau de protection des données insuffisant. Ce n’est pas interdit en soi, mais il est exigeant et complexe de le faire dans le respect de la loi sur la protection des données. Il est important de s’assurer que (si possible) les fournisseurs et les solutions proviennent de Suisse ou de la zone UE/EEE ou de pays qui ont été répertoriés dans la liste correspondante (Ordonnance sur la protection des données, annexe 1) du gouvernement fédéral en tant que pays avec un niveau approprié de protection des données . On peut donc affirmer que l’implication de Google et de grands fournisseurs de services similaires n’est pas interdite en soi, mais des clarifications supplémentaires (y compris le « Contrat de sous-traitance de données personnelles » et l’emplacement des données) sont nécessaires.

Tipp HealthAdvisor : Comme toutes les données, les données de l’agenda électronique sont également stockées en Suisse dans des centres de données certifiés ISO27001.

Supposons que je travaille avec un agenda d’un fournisseur qui a hébergé ses données en Suisse (par exemple HealthAdvisor ). Puis-je continuer à synchroniser cet agenda avec Google ou iCal ou d’autres fournisseurs ?
Il est important de noter que ces services peuvent se considérer comme responsables du traitement des données. Par conséquent, le traitement par ces tiers est considéré comme un transfert de données. Si les données des patients étaient transmises, cela pourrait constituer une violation du secret médical. Si ces prestataires ne s’estiment pas responsables, seul un « Contrat de sous-traitance de données personnelles » doit être conclu avec eux. Nous avons donc affaire à un cas similaire à celui de la dernière question : la synchronisation n’est pas interdite, mais elle peut poser des problèmes en vertu de la loi sur la protection des données.

Recommandez-vous d’utiliser l’authentification à deux facteurs (2FA) lors de la connexion ?
Oui. Nous la recommandons fortement pour les outils en ligne dans le domaine médical ou similaire. Elle offre simplement un facteur de protection supplémentaire significativement accru.

Tipp HealthAdvisor : On peut facilement activer la fonction 2FA dans notre solution. Selon vos souhaits, vous pouvez travailler avec un code SMS (payant) ou avec Google Authenticator (gratuit).

Y a-t-il d’autres points que moi, en tant qu’opérateur d’un cabinet, je dois considérer et préparer d’ici le 1er septembre 2023 ?
En plus de la déclaration de protection des données, qui, à notre avis, doit être prête d’ici le 1er septembre, car elle a un impact externe important (c’est-à-dire que de nombreuses personnes peuvent la voir), des réglementations de traitement peuvent également être nécessaires pour les cabinets plus grands, car dans le secteur médical il est souvent nécessaire de traiter de grandes quantités de données personnelles particulièrement sensibles conformément à l’article 5 DSV. En outre, les mesures centrales de sécurité des données (droits d’accès, confidentialité des données, intégrité des données et disponibilité des données) doivent être respectées.

Et qu’y a-t-il à propos de la situation d’un opérateur de logiciel qui gère l’administration de mon cabinet ?
Les opérateurs de logiciels sont confrontés à des défis totalement nouveaux, notamment en ce qui concerne leurs propres processus, mais aussi les processus en relation avec d’autres partenaires avec lesquels ils travaillent. D’une part, ils doivent vous fournir en tant que thérapeute un « Contrat de sous-traitance de données personnelles » . Les fournisseurs de logiciels doivent également avoir un « Contrat de sous-traitance de données personnelles  » avec tous leurs partenaires. Chaque entreprise doit officiellement nommer un délégué à la protection des données et s’inscrire auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT). Elle a désormais besoin d’une directive sur la protection des données, d’un inventaire du processus de traitement des données comprenant une évaluation des risques et bien plus encore.

Tipp HealthAdvisor : Dans le cadre d’un grand projet, nous travaillons depuis quelques mois avec notre partenaire Swiss Infosec AG pour rendre HealthAdvisor parfaitement adapté à la nouvelle loi sur la protection des donnée.  Vous pouvez compter sur nous.

***

A propos: Swiss Infosec AG est une entreprise suisse leader dans le domaine de la protection des données, de la sécurité de l’information et de la cybersécurité. Avec des équipes d’experts, des services conseils et des solutions techniques, elle accompagne les entreprises dans l’élaboration et la mise en place de stratégies de sécurité et vous accompagne sur le chemin de la mise en conformité en matière de protection des données.

Dominic Zbinden travaille chez Swiss Infosec depuis plus de 5 ans et est consultant dans l’équipe de protection des données depuis janvier 2023.