Savez-vous protéger les données de vos patients?

Nous avons décidé avec la Clinique de Valère d’initier des petits-déjeuner dédiés au partage de la connaissance, lesquels vous permettront en 60′ chrono d’appréhender un sujet, de réseauter et de prendre un bon petit-déjeuner, le tout de 7 heures à 8 heures du matin de manière à ne pas trop péjorer votre rythme de travail.

Le premier petit-déjeuner est consacré à la protection des données de vos patients. Nous vous orienterons sur les obligations légales, mais surtout vous indiquerons des solutions pragmatiques pour vous permettre de pratique votre activité de soins en toute sécurité. Tout ceci gratuitement et sans aucune autre exigence que de s’inscrire préalablement.

Me Sébastien Fanti co-dirige le CAS Recherche, Innovation et protection des données de l’Université de Neuchâtel (Institut de droit de la santé). Il dispense des formations en matière de protection des données dans différentes universités, dont celle de La Sorbonne et est au bénéfice du mandat de Préposé à la protection des données et à la transparence du Canton du Valais.

Me Alexandre Staeger a assisté le Professeur Philippe Meier, après l’obtention de son master spécialisé en droit des technologies avancées auprès de l’Université de Lausanne. Il est au bénéfice d’une expérience de plusieurs années en matière de protection des données en qualité de juriste, puis d’avocat.

Au plaisir de vous y rencontrer et un immense merci à la Clinique de Valère, respectivement à Benoît Kuchler de sa confiance. Alors n’hésitez plus et inscrivez-vous

La curiosité réserve parfois de vilaines surprises…

Arrêt du 17 mai 2019 (6B_1207/2018)

Punissabilité de l’accès indu à un compte courriel appartenant à autrui : la façon d’obtenir le mot de passe n’est pas décisive

L’accès indu à un compte courriel appartenant à autrui, protégé au moyen d’un mot de passe, est punissable quelles que soient les circonstances qui en entourent l’obtention. Un comportement actif n’est pas nécessaire. Le Tribunal fédéral rejette le recours d’une femme qui avait accédé au compte courriel de son époux, dont elle vivait séparée, après en avoir trouvé fortuitement le mot de passe.

Principe de transparence – obligation de donner accès à un avis de droit sollicité par une autorité publique

Recommandation du 13 mars 2019 relative à un avis de droit en possession de la Ville d’Onex dans le contexte d’un projet immobilier sur le territoire de la commune

Un avocat souhaitait accéder à un avis de droit rédigé par un collègue en février 2016 sur mandat d’une entreprise active dans la construction immobilière. A titre liminaire, le Préposé cantonal a relevé que le document querellé, quand bien même il n’avait pas été commandé par la commune, était en sa possession, de sorte que la procédure d’accès aux documents (art. 24 ss LIPAD) était pleinement applicable. Selon la Ville d’Onex, la remise de l’avis de droit serait susceptible d’entraver notablement son processus décisionnel ou sa position de négociation (art. 26 al. 2 litt. c LIPAD), de mettre en péril le secret professionnel ou d’affaires (art. 26 al. 2 litt. i LIPAD) et serait propre à révéler d’autres faits dont la communication donnerait à des tiers un avantage indu, notamment en mettant un concurrent en possession d’informations auxquelles il n’aurait pas accès dans le cours ordinaire des choses (art. 26 al. 2 litt. j LIPAD). De manière générale, le Préposé cantonal a insisté sur le fait qu’il ne suffit pas simplement que l’institution publique intéressée invoque l’une des exceptions prévue par la LIPAD pour pouvoir s’affranchir de l’obligation de donner accès aux documents. En effet, la démonstration de l’existence d’une exception revient à l’institution publique qui l’invoque. Or, in casu, le Préposé cantonal a constaté que la réalisation des exceptions précitées n’avait pas été démontrée. De la sorte, il a recommandé à la commune de transmettre au requérant l’avis de droit querellé. La Ville d’Onex a suivi la recommandation. 

https://www.ge.ch/ppdt/doc/documentation/Recommandation-13-mars-2019.pdf

Numérisation du dossier patient et cloud computing : quelles sont les règles ?

Vous apprenez de manière incidente et fortuite que les jeunes médecins qui ont repris le cabinet de votre vieil et docte ami le Dr Hippocrate ont décidé de numériser tous les dossiers médicaux et de les stocker dans les nuages (cloud computing), de manière, notamment, à permettre leur accessibilité en tout temps et en tout lieu. Rétif à tout ce qui concerne l’informatique, vous vous interrogez sur le modus operandi choisi, respectivement sur la légalité du procédé adopté. En particulier vous vous étonnez du fait de n’avoir jamais été consulté, alors que ce sont vos données de santé qui sont ainsi numérisées, puis stockées dans un cloud. Finalement, vous vous interrogez sur la meilleure manière d’agir en ces circonstances. 

Pour de plus amples informations relativement à la protection des données au cabinet médical: https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/gesundheit/la-protection-des-donnees-au-cabinet-medical.html

Les compagnies aériennes doivent protéger vos données. Vous aussi !

Sébastian est très heureux de pouvoir bientôt se prélasser en Floride sur une plage paradisiaque de l’île de Captiva. Il a opté pour un vol direct, désireux de pouvoir éviter les atermoiements aussi inutiles que chronophages. Alors qu’il procède aux ultimes vérifications, sa femme Chiara s’étonne de pouvoir accéder facilement en ligne sur le portail de la compagnie à de nombreuses données personnelles (prénom, nom, date de naissance, sexe, nationalité, domicile, numéro et durée de validité du passeport ou de la carte d’identité) grâce à la seule mention du nom, du prénom et du numéro de réservation. 

Sebastian interloqué adresse un courriel à la compagnie et l’interroge sur cet état de fait. Il s’avère en effet facile de prendre connaissance de ces données d’accès par exemple après un vol lorsque les passagers ont jeté leurs billets ou les ont laissés traîner. Il est également possible de lire ces informations à partir du code-barre de la carte d’embarquement à l’aide d’une application. Ainsi quiconque pourrait consulter toutes les autres réservations du passager, voire même les modifier. La réponse laconique et très formaliste ne le satisfait pas de sorte qu’il s’adresse au Préposé fédéral à la protection des données et à la transparence. 

Il apprend alors que la thématique a retenu son attention et que le Préposé est intervenu récemment auprès de la compagnie Swiss aux fins d’obtenir un renforcement de la sécurité s’agissant de l’accès aux données des passagers. Nonobstant les exigences normatives en matière de trafic aérien qui proscrivent une modification unilatérale des cartes d’embarquement, différentes précautions peuvent être prises. Il est ainsi possible de sensibiliser les passagers aux risques encourus par le biais des conditions générales de transport, voire d’un email ou d’un SMS reçu lors de l’enregistrement en ligne. À cela s’ajoute le fait que le numéro de passeport (visible dans certains cas lors de la consultation de la réservation) a été rendu partiellement illisible. Différentes autres mesures ont été préconisées, mais n’ont pas toutes encore été adoptées. 

Sebastian remercie alors sa femme d’avoir été si attentive. Elle lui glisse alors à l’oreille : « mon Chéri tu t’abstiendras désormais d’informer toute la planète de notre destination en publiant les billets d’avion sur les réseaux sociaux… ». Vous l’aurez compris la responsabilité de la sécurité de ces données est collective. Elle incombe certes aux compagnies aériennes qui n’ont pas toutes à l’instar de Swiss accru leur sécurité, mais également aux passagers qui doivent détruire leurs billets après usage et éviter de les divulguer. 

Méchants consommateurs, vous serez bannis!

N’essayez plus de mal vous conduire dans les magasins: avec le progrès des technologies, les enseignes deviennent rancunières. Ne vous étonnez donc pas si, un an après avoir eu des mots avec la maison A, vous vous voyez interdit d’accès à la maison Z…

25 juin 2019, @Miami

Tom Shark arrive avec sa famille à l’aéroport de Miami après un vol harassant. Lorsqu’il se présente au guichet de la société Alamo, il n’a qu’une envie, récupérer sa voiture et se rendre à son hôtel. Alors même qu’il a réservé et payé intégralement le véhicule en Suisse, une garantie supplémentaire de 200 dollars est requise par l’agent de la compagnie. Pour cette formalité, Tom lui remet la carte de crédit de sa femme. S’apercevant que la carte ne correspond pas au nom figurant sur le contrat, l’agent la refuse. Tom lui explique que toutes les siennes ont atteint leur plafond. La situation s’envenime, l’employé ne veut rien entendre. Il fait appel à sa supérieure, Sheila, plus arrogante encore. Refusant un versement en espèces, Sheila décide d’annuler purement et simplement le contrat. Elle évoque un manque de respect du client envers sa firme qui est, selon elle, une société sérieuse. Elle informe Tom que le montant de la location sera prochainement remboursé sur le compte de son agence de voyages en Suisse. Stupéfait, il tente de trouver une autre voiture de location, mais les sociétés sont toutes assaillies de clients qui débarquent des avions en flot continu. À son retour en Suisse, Tom s’enquiert auprès de son agent de voyages: à sa connaissance et à celle de ses collègues, jamais une telle situation ne s’est produite. Craignant de figurer dans une liste noire de clients, il décide d’exercer son droit d’accès auprès de la représentation suisse de la société Alamo. Ne recevant aucun retour et au vu du coût prohibitif d’une procédure, il se résigne à en rester là, non sans avoir diffusé sa mauvaise humeur sur les réseaux sociaux ainsi que sur des sites consacrés au voyage tel Tripadvisor.

 

 

Elections fédérales 2019 et protection des données: quo vadis?

Voici le lien vers le guide édicté par le Préposé fédéral de concert avec les Préposés cantonaux: http://www.privatim.ch/wp-content/uploads/2018/12/Leitfaden-Wahlen-FR.pdf

Le site du Préposé fédéral peut être consulté à cette adresse: www.leprepose.ch

Le blocage des données en vue des élections est régi par le droit cantonal. Adressez-vous donc à/au Préposé(e) de votre Canton. 

Finalement, la prise de position du Contrôleur européen à la protection des données est consultable à cette adresse: https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf

BYOD Bring Your Own Device – apportez vos propres appareils – bref aperçu des règles applicables

Bref aperçu des aspects légaux du BYOD (Bring Your Own Device).

Il s’agit d’une pratique qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel.

Le BYOD engendre par essence une intrusion réciproque dans les univers personnels et professionnels qui peut se définir ainsi : l’utilisation dûment autorisée et réglementée octroyée à certains utilisateurs du système d’information de l’entreprise liés à celle-ci par un contrat de travail de recourir à leurs matériels personnels à des fins professionnelles. Il en résulte évidemment des problèmes légaux en termes de protection des données, de droit du travail, de droit pénal et de droit de propriété intellectuelle.

Procédures de candidature en ligne : quelles sont les règles à respecter ?

Charles est à la recherche d’un nouveau challenge professionnel et, dans ce contexte, il a répondu à plusieurs offres formulées par des employeurs qu’il appréhendait favorablement. Quelle ne fut pas sa surprise, après avoir été contacté par l’un d’eux de découvrir que l’ensemble du processus d’évaluation de sa candidature se déroulerait en ligne. Il hésite donc clairement à poursuivre cette démarche prospective et souhaite connaître la légalité du procédé, respectivement la nature et l’étendue de ses droits. Les services du Préposé fédéral à la protection des données et à la transparence (compétent pour les relations entre privés) répondent rapidement à sa demande et lui indiquent ce qui suit, après avoir observé que cette question leur est régulièrement soumise. 

La résolution des questions juridiques principales a lieu durant ce sujet.

Pour de plus amples informations:

datum 02/2009

et le dernier rapport du Préposé fédéral à la protection des données et à la transparence: 

E-Paper – 26e rapport d'activités 2018/2019