Les données particulièrement sensibles et leur traitement: entretien avec Adrian Lobsiger

Les professionnels de la santé sont-ils autorisés à stocker les données des patients dans un cloud? L’envoi d’une photo d’un dossier de traitement est-il conforme à la protection des données? Et quelles conséquences peuvent avoir les violations de la protection des données? Adrian Lobsiger, Préposé fédéral à la protection des données et à la transparence, nous renseigne.
Monsieur Lobsiger, quelles conséquences peuvent avoir les violations de la protection des données dans le système de santé?Dans le système de santé, outre les attributs personnels tels que le nom, l’âge, l’adresse et le numéro de téléphone, des informations sur la santé et les traitements médicaux de personnes identifiables sont généralement traitées. Ces données personnelles sont considérées comme particulièrement sensibles selon la loi actuelle et la nouvelle loi sur la protection des données (LPD). En effet, si des données sur les maladies, les prédispositions, les dépendances ou les comportements à risque étaient divulguées aux assureurs maladie, les personnes concernées pourraient, par exemple, être exclues des assurances complémentaires ou se voir imposer des primes plus élevées. Ou bien elles pourraient être victimes de maîtres chanteurs menaçant de publier les informations volées sur le darknet. Et quelles conséquences les prestataires de services risquent-ils en cas de violation de la protection des données?Toute personne qui traite des données sensibles doit soit pouvoir prouver le consentement explicite des personnes concernées ou fournir d’autres motifs de justification, soit pouvoir se référer à une base légale suffisamment spécifique. Le haut niveau de protection requis pour les données relatives à la santé doit également être pris en compte dans leur traitement au moyen de précautions de sécurité suffisantes. La nouvelle législation sur la protection des données renforce les exigences en matière de sécurité technique. Les personnes responsables peuvent être condamnées à une amende allant jusqu’à CHF 250 000.– s’il peut être prouvé qu’elles ont ac-cepté une perte prévisible de données personnelles sensibles.
Adrian Lobsiger, EDÖB
Adrian Lobsiger a été élu Préposé fédéral à la protection des données et à la transparence (PFPDT) par le Conseil fédéral en novembre 2015 et confirmé par le Parlement en mars 2016. En 2019, le Conseil fédéral a confirmé sa réélection pour un second mandat jusqu’à fin 2023.

« Le secret professionnel du personnel médical lie aussi les auxiliaires. Les collaborateurs des services de cloud sont également considérés comme tels s’ils ont accès aux données de santé des clients. »

Le traitement et le stockage des données des patients dans le cloud sont un sujet récurrent au sein du système de santé. Que doivent prendre en compte les professionnels de la santé?  Il s’agit ici d’un sujet complexe. L’ordonnance relative à la loi sur la protection des données stipule que les personnes privées qui traitent des données personnelles doivent en assurer la confidentialité. Dans le cas des données sur les patients, le secret professionnel du personnel médical, protégé en vertu du droit pénal, vient s’ajouter. Les auxiliaires du personnel médical y sont également soumis: les collaborateurs des services de cloud, par exemple, sont également considérés comme tels dans la mesure où ils ont accès aux données de santé des clients. La question de savoir si la protection des données et le secret professionnel sont suffisamment protégés par la loi, s’ils sont applicables et s’ils sont étayés par des clauses de responsabilité correspondantes dépend de la forme des accords contractuels que le responsable du traitement des données conclut avec les fournisseurs de services de cloud.

« Nous recommandons d’anonymiser ou de crypter les données personnelles traitées en dehors de Suisse ou d’autres régions disposant d’une protection des données appropriée. »

Que faut-il prendre en compte si l’emplacement du cloud n’est pas en Suisse?Si l’emplacement du cloud se trouve en dehors de la Suisse, il est possible que des autorités étrangères puissent accéder aux données traitées dans ce pays. Dans les pays dont le niveau de protection des données est équivalent à celui de la Suisse – comme les pays de l’Espace économique européen ou le Royaume-Uni –, cet accès n’a lieu que dans le cadre d’une procédure judiciaire sur la base d’une décision de justice. En revanche, lorsque les données sont exportées vers d’autres pays, il faut s’attendre à ce que les autorités de ces pays accèdent aux données traitées dans un cloud de manière non transparente, sans accorder de protection juridique efficace aux opérateurs du cloud ou aux personnes directement concernées. Malheureusement, le cercle de ces pays comprend non seulement des États autoritaires, mais aussi des États démocratiques comme les États-Unis. Cela complique l’exportation de données personnelles vers des clouds exploités sur le sol américain. Il serait bénéfique pour la sécurité juridique qu’un remplacement de l’obsolète bouclier de protection des données UE-États-Unis soit prochainement convenu entre les États-Unis et l’Europe. Tant que ce n’est pas le cas, nous recommandons que les données personnelles traitées en dehors de Suisse ou d’autres régions disposant d’une protection des données appropriée soient anonymisées ou cryptées de sorte que personne ne puisse les lire.
Et comment crypter ou anonymiser les données en conséquence?L’anonymisation des données personnelles les transforme en données factuelles, de sorte qu’il n’est plus possible de tirer des conclusions sur des personnes identifiables. Le cryptage rend les données personnelles illisibles pour les tiers. Ce dernier se heurte aujourd’hui à des limites techniques si les données doivent être non seulement archivées, mais encore modifiées. Mais le développement de technologies qui renforcent la protection des données progresse. La nouvelle technologie de cryptage homomorphe, qui devrait permettre le traitement actif des données même à l’état crypté, est d’ailleurs prometteuse. Pour des informations détaillées sur la problématique de l’externalisation des données à l’étranger, je vous renvoie au site Web du PFPDT.

« Les données de santé issues de l’environnement professionnel ne peuvent être ni copiées sur des supports de données privés, ni transmises via des canaux utilisés à titre privé tels que WhatsApp. »

Un autre scénario qui pourrait constituer un obstacle dans le travail quotidien des professionnels de la santé est le suivant: une assistante médicale envoie une photo du dossier de traitement d’un patient à un médecin via WhatsApp…Les données relatives à la santé traitées sur les supports de données et les infrastructures de l’employeur ne peuvent être ni copiées sur des supports de données privés tels qu’un smartphone, ni transmises par des canaux utilisés à titre privé tels que WhatsApp. Cette action dépasse le cadre du traitement des données autorisé dans le règlement interne d’utilisation et porte atteinte aux précautions techniques de sécurité avec lesquelles les entreprises et les établissements de santé protègent leurs infrastructures.
Adrian Lobsiger parle de ses tâches en tant que PFPDT, des particularités du système de santé et des défis liés au DEP dans la première partie de l’entretien.
La HIN Academy permet de sensibiliserLa HIN Academy de Health Info Net AG (HIN) sensibilise les acteurs du système de santé à la protection des données et aux dangers de la cybercriminalité. Le nouveau module Protection des données est entièrement axé sur la protection des données. Les formations peuvent être personnalisées pour l’ensemble d’une institution ou un seul participant.Découvrir la HIN Academy
HIN Awareness Schulungen