La révision totale de la loi vise à garantir les droits fondamentaux et les droits de la personnalité des citoyennes et citoyens. Les nouvelles dispositions visent à accroître la transparence en matière de traitement des données en concrétisant les conditions-cadres applicables à la gestion des données personnelles et en prévoyant une protection adéquate des données grâce à une technologie conçue à cet effet. Les principes en vue d’un traitement licite des données demeurent inchangés. Néanmoins, le maître du fichier ou le « responsable du traitement », comme il est appelé dans la nouvelle loi, doit respecter différentes nouvelles dispositions qui peuvent impliquer une adaptation des processus de traitement des données actuels.
Avertissement : La loi sur la protection des données totalement révisée qui entrera en vigueur le 1er septembre 2023 contient de nombreuses nouveautés concernant le traitement des données personnelles dans les cabinets médicaux. La FMH met à disposition des documents d’aide sous forme de guides et de modèles pour aider les cabinets à mettre en œuvre les dispositions légales. Si les principes généraux en vue d’un traitement licite des données demeurent inchangés, la personne responsable du traitement doit cependant respecter plusieurs nouvelles dispositions qui peuvent impliquer une adaptation des processus actuels de traitement des données. La loi ne prévoit aucune période de transition pour procéder aux changements nécessaires dans les cabinets médicaux.
La fiche d’information sur la protection des données fait le tour des modifications apportées par la LPD révisée et propose un guide sur la manière d’utiliser les outils mis à la disposition de la FMH dans les cabinets médicaux.
Lors de la collecte de données personnelles, les personnes concernées doivent être informées de manière transparente concernant le traitement des données, en particulier la finalité du traitement et, le cas échéant, les destinataires auxquels les données sont transmises. Cela implique dans de nombreux cas une modification de la déclaration de protection des données du cabinet médical. Quoi qu’il en soit, les déclarations actuelles doivent être vérifiées au regard des nouvelles dispositions. La FMH met un modèle à disposition.
En vertu de l’article 321 du Code pénal, les médecins et leurs auxiliaires sont soumis au secret professionnel. La notion d’auxiliaire, définie au sens large, englobe toutes les personnes qui assistent directement ou indirectement le médecin dans son activité professionnelle. Dès qu’un tiers est chargé de traiter des données, il convient de conclure une convention de traitement de données en sous-traitance et une convention de confidentialité. La FMH a élaboré des modèles dans ce sens.
L’ancien registre des fichiers devient un registre des activités de traitement. L’obligation de tenir un tel registre ne s’applique plus à tous les responsables du traitement, mais elle est maintenue dès lors que « le traitement porte sur des données sensibles à grande échelle ». Les cabinets médicaux et leurs dossiers de patientes et de patients sont donc régulièrement soumis à cette obligation. Le registre doit contenir les informations mentionnées de manière détaillée par la loi. Au moyen d’un modèle et d’un guide, la FMH met à disposition des cabinets médicaux la documentation nécessaire pour satisfaire aux exigences légales.
Le document « Guide pour la conservation et l’archivage » permet de savoir quand des données personnelles doivent être effacées ou détruites et ce dont il faut tenir compte.
Un médecin peut donner des informations à des tiers si le patient a donné son consentement, si une loi le prévoit ou s’il a été délié du secret médical par l’autorité cantonale. Les patientes et les patients doivent être informés des données qui sont traitées à leur sujet (« droit d’accès »). Ils ont le droit d’obtenir les copies de leur dossier médical. La FMH a élaboré des instructions concrètes pour le traitement adéquat des demandes de renseignements ou de remise de données personnelles.
Dans certains cas, le cabinet médical doit annoncer une violation de la sécurité des données à l’autorité de surveillance, le Préposé fédéral à la protection des données et à la transparence (PFPDT). Il y a violation de la sécurité des données par exemple lorsqu’une clé USB contenant des données personnelles est perdue ou que le système du cabinet a été « piraté » de l’extérieur. L’obligation d’annoncer n’existe que si la violation entraîne vraisemblablement un risque élevé pour la personnalité de la personne concernée, ce qui ne peut pas être exclu d’emblée s’agissant de données relatives à la santé. Il est donc recommandé aux cabinets médicaux de définir une procédure pour faire face à de telles situations. La FMH met à leur disposition une liste de contrôle et une description de la procédure à suivre en cas de violations de la protection des données.
Dans la mesure où un consentement est requis pour le traitement de données sensibles, dont font partie les données relatives à la santé d’une personne, ce consentement doit être exprès et n’est valable que si la personne concernée exprime librement sa volonté concernant un ou plusieurs traitements déterminés après avoir été dûment informée. La FMH met à disposition un formulaire de déclaration qui permet de recueillir le consentement dans le cadre de l’information aux patientes et aux patients.