La nouvelle loi fédérale sur la protection des données (dont l’entrée en vigueur interviendra le 1er septembre 2023) va impacter le secteur médical, de manière notable et durable. Les données traitées quotidiennement sont en effet des données sensibles, qui nécessitent des précautions particulières, respectivement des mesures de protection évolutives (les données génétiques et biométriques entrent désormais dans la définition des données sensibles).
La généralisation de l’utilisation des nouvelles technologies en cabinet, de même qu’à l’hôpital, nécessitent une vigilance accrue de la part des professionnels de santé et des médecins, tant dans le domaine privé que public.
Les risques croissants liés aux nouveaux usages professionnels (dont la télémédecine, la sous-traitance, etc.) se matérialisent régulièrement et génèrent, avec le nouveau droit, la menace de sanctions diverses qui viendront s’ajouter au bad buzz (dont les conséquences mortifères sont désormais connues et documentées). À titre exemplatif, en cas de condamnation pénale pour violation de la sécurité des données, en vertu de l’article 69 al. 2 du Code de procédure pénale, de tierces personnes (dont des journalistes) auront accès à la décision judiciaire qui de facto deviendra publique. Cette condamnation générera-t-elle, de surcroît, une sanction disciplinaire subséquente ?
La gestion des risques doit être anticipée, pour éviter de devoir interrompre son activité et se consacrer à des tâches exogènes au cœur de métier avec des conséquences économiques sensibles. La définition de processus, la révision contractuelle, la formation du personnel sont quelques-unes des mesures préconisées.
Cette conférence réunit des experts exerçant dans le secteur privé et le secteur public, qui s’évertueront à vous familiariser avec les nouvelles exigences légales sur la base d’exemples pratiques.
Me Sébastien Fanti présentera à cette occasion le toolkit de mise en conformité développé et implémenté chez un médecin qui partagera son expérience personnelle à cet égard.
La conférence aura lieu à la Clinique de Valère, le 17 mars 2023, de 14 heures à 17 heures. La participation est gratuite. Pour des motifs organisationnels, une inscription est toutefois nécessaire, le nombre de place étant limité.
Notre conseil :
Dans le cadre de l’application du Règlement général sur la protection des données (RGPD), plusieurs hôpitaux européens et / ou plusieurs médecins ont été sanctionnés, sévèrement. Le droit suisse prévoit des sanctions certes moins sévères (250’000 francs au maximum sur le plan pénal), mais dans un domaine tel que celui de la santé, elles peuvent, en sus de mettre en difficulté financière l’entité concernée, saper la confiance essentielle à l’exercice serein de cette activité. Ces décisions sont donc à appréhender et à réfléchir pour éviter de commettre les mêmes erreurs.
- Le 7 décembre 2020, par deux délibérations de la formation restreinte, la CNIL a prononcé des amendes d’un montant de 3 000 € et 6 000 € à l’encontre deux professionnels de santé libéraux pour défaut de sécurité et pour ne pas avoir notifié une violation de données. L’autorité avait constaté que des milliers d’images médicales étaient en libre accès sur Internet via des serveurs non sécurisés appartenant aux médecins. Pour de plus amples informations, vous pouvez consulter cet article.
- Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société Dédalus Biologie d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.
- La CNDP (soit l’autorité portugaise de protection des données) a condamné un hôpital au paiement d’une amende de 150.000 euros pour violation des principes d’intégrité et de confidentialité des données, 150.000 euros pour violation du principe de limitation d’accès aux données et 100.000 euros en raison de l’incapacité du responsable du traitement des données à garantir l’intégrité de celles-ci. Cette amende correspond donc à un montant total de 400.000 euros. Plusieurs personnels administratifs avaient des accès réservés normalement aux médecins. En sus, 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l’établissement ne comprenait que 296 médecins.
- L’autorité suédoise de protection des données a infligé une amende de 1 200 000 euros à la société MedHelp AB. Dans les 21 régions de Suède, un service d’assistance téléphonique offrant des conseils sur divers sujets liés à la santé peut être joint en composant le 1177. Chaque région gère son propre service de conseil en matière de santé, en interne ou par le biais de sous-traitants sous contrat, mais ensemble, ils forment un réseau national. En 2019, les médias ont rapporté que les appels enregistrés au service d’assistance téléphonique 1177 étaient disponibles sur un serveur web sans protection par mot de passe ou autres mesures de sécurité. L’incident a résulté de la mauvaise configuration d’un dispositif de stockage rattaché au réseau qui était accessible publiquement sur Internet et n’utilisait pas de communications cryptées. La vulnérabilité a permis d’accéder à un grand nombre d’appels. L’autorité suédoise de protection des données a constaté que MedHelp n’avait pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat afin de protéger les données personnelles de manière à ce que des personnes non autorisées ne puissent y accéder.
- L’autorité roumaine de protection des données a infligé une amende de 1 000 euros à Dent Estet Clinic SA (cabinet dentaire). Un dentiste employé par le cabinet avait publié des informations médicales concernant un patient, telles que des photos et des radiographies, dans un article publié sur un blog médical. Cependant, le dentiste n’avait pas obtenu le consentement du patient avant de publier les données médicales. Bien que le patient ait informé la clinique, celle-ci n’a pas notifié la violation de données à l’autorité en temps utile.
Vous pouvez consulter d’autres décisions sur ce site.
Plusieurs démarches doivent être accomplies rapidement, dès lors que le nouveau droit ne prévoit pas de disposition transitoire. En clair, le 1er septembre 2023, vous devez être en conformité.
Voici quelques-unes des démarches que nous proposons dans le cadre du toolkit qui sera présenté :
- établir le registre de vos traitements effectués
- sécuriser et négocier les différents contrats pour être en conformité avec les réglementations topiques
- former votre personnel au traitement et à la protection des données médicales
- sécuriser la collecte, l’analyse et le stockage de données sensibles (par ex. biométriques ou génétiques)
- encadrer le transfert de vos données, notamment dans/hors l’Union européenne
- vous représenter lors de contrôles et/ou lors de procédures