Lexipedia

16.3462 · Interpellation · 2016-06-15

Département de l'intérieur

Liquidé

Wortlaut

Le Conseil fédéral est chargé de répondre aux questions suivantes :

1. Les données sauvegardées dans les dossiers électroniques des patients au sens de la loi fédérale sur le dossier électronique du patient (LDEP) sont-elles protégées contre les accès abusifs pour éviter que ce qui s'est passé en Valais ne se reproduise ?

2. Les données des patients introduites dans leur dossier médical électronique lors de prestations fournies en ambulatoire ou en milieu hospitalier sont-elles suffisamment protégées contre les accès abusifs pour que les attaques de hackers échouent ?

3. Des bases légales supplémentaires en matière de sécurité des données sont-elles nécessaires sur le plan national ou cantonal pour les dossiers électroniques des patients et les dossiers médicaux électroniques ?

4. La LDEP permet-elle à la Confédération de simuler une attaque de hackers à l'échelon national ? L'exécution de telles attaques relève-t-elle de la compétence des cantons ? Une base légale explicite est-elle nécessaire ?

Begründung

L'introduction obligatoire des dossiers électroniques des patients en milieu hospitalier approche à grands pas. L'entrée en vigueur de la LDEP et de ses ordonnances est prévue pour le premier trimestre de 2017. On a cependant déjà pu observer les problèmes suivants :

1. Contrairement à ce qui était prévu, le canton du Valais n'a pas introduit les dossiers électroniques des patients en septembre 2015, car le préposé cantonal à la protection des données s'inquiétait de la sécurité des informations. De graves problèmes de sécurité avaient été constatés dans le chiffrement des pages Internet.

2. Des cybercriminels ont attaqué des cabinets de médecins selon le mode opératoire suivant : les hackers cryptent les données électroniques des patients pour les rendre inutilisables. Ils ne les rendent à nouveau lisibles que contre une somme d'argent.

Les plus grands avantages du dossier électronique se verront lorsque les professionnels de la santé et les patients l'utiliseront et que les dossiers contiendront des données pertinentes pour des traitements. La confiance des parties envers le système est la condition sine qua non pour que ce dernier soit efficace. Un sondage, dont les résultats ont été publiés dans le "Tages Anzeiger" du 28 mai 2016, montre que plus de 90 % des personnes interrogées estiment que leur médecin ne protège pas suffisamment leurs données médicales. L'échange électronique de ces données pourra être considéré comme réussi lorsque les professionnels de la santé tout comme les patients, ou plutôt la population, seront convaincus que cet échange fonctionne de la meilleure manière possible. Le temps qu'il reste avant l'entrée en vigueur de la LDEP devrait être utilisé pour dissiper les doutes en matière de sécurité.

Stellungnahme des Bundesrates

En matière de protection des données, il faut distinguer les données de patients traitées dans les dossiers médicaux électroniques tenus par les fournisseurs de prestations ambulatoires et hospitalières (systèmes primaires des hôpitaux et des cabinets médicaux) de celles traitées dans le dossier électronique du patient (système secondaire). Dans le premier cas, la procédure de traitement est régie par les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) ou, pour les établissements ayant un mandat de prestations public, par les législations cantonales en la matière (voir réponse à la question 3). Dans le deuxième cas, le traitement des données, effectué via une infrastructure technique séparée, est régi par la loi fédérale du 19 juin 2015 sur le dossier électronique du patient (LDEP ; RS 816.11). A titre de compléments, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié différents guides qui se réfèrent à la LPD et à son ordonnance d'exécution : par exemple, le Guide pour le traitement des données personnelles dans le domaine médical (juillet 2002) ou le Guide relatif aux mesures techniques et organisationnelles de la protection des données (août 2015).

1. Il est impossible de garantir avec une certitude absolue la sécurité des systèmes de traitement des données électroniques, y compris des données du dossier électronique du patient. Les avant-projets d'ordonnances d'exécution de la LDEP (www.admin.ch > Droit fédéral > Procédures de consultation > Procédures de consultation terminées > 2016 > DFI) ont été soumis à audition entre le 22 mars 2016 et le 29 juin 2016. Ils contiennent les prescriptions techniques et organisationnelles (critères de certification sur la base de l'art. 12 al. 1 let. b LDEP) permettant d'atteindre les objectifs primaires de protection des données (confidentialité, intégrité, disponibilité et authenticité des données). Ces prescriptions exigent des futures communautés et communautés de référence certifiées qu'elles prévoient des mesures de prévention ainsi que des mesures de détection et de gestion des incidents de sécurité, telles que le contrôle régulier des failles de sécurité ou la détection des cyberattaques. Les risques et les menaces identifiés dans le canton du Valais ont aussi été pris en compte. Des organismes de certification accrédités contrôleront que les communautés, les communautés de référence et les éditeurs de moyens d'identification respectent les critères en question. En outre, eHealth Suisse, l'organe de coordination de la Confédération et des cantons, élaborera à l'attention des acteurs concernés des recommandations pour que la protection et la sécurité des données soient conformes à la LDEP.

2./3. Les dossiers médicaux électroniques (systèmes primaires) sont soumis aux dispositions fédérales ou cantonales sur la protection des données. D'après les informations dont dispose le Conseil fédéral, le niveau général de sécurité dans le domaine de la santé n'égale pas encore celui d'autres secteurs (finances, assurances, administration, par ex.). Selon lui, il est donc nécessaire d'agir à ce niveau.

Concernant le dossier électronique du patient (système secondaire), les prescriptions relatives à la protection et à la sécurité des données sont réglées au niveau national dans la LDEP et dans le droit d'exécution, qui devraient entrer en vigueur l'année prochaine (voir réponse à la question 1). Le respect de ces exigences, entre autres, sera régulièrement contrôlé via la procédure obligatoire de certification des acteurs (communautés, communautés de référence, éditeurs de moyens d'identification ; voir réponse à la question 1). En outre, pour autant qu'elles soient applicables, les dispositions de la LPD doivent être respectées. Le 15 mai 2013, le Conseil fédéral a par ailleurs adopté le plan de mise en oeuvre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Dans ce cadre, il s'agissait de vérifier si le droit existant contenait les bases légales requises pour la protection contre ce genre de risques (mesure 16 de la SNPC). La procédure de vérification s'est achevée en 2014 et n'a révélé aucune nécessité de prendre des mesures de coordination. Le Conseil fédéral considère qu'il n'est, pour l'heure, pas nécessaire d'édicter d'autres bases légales.

Il convient par ailleurs de mentionner que le Conseil fédéral a chargé, le 1er avril 2015, le Département fédéral de justice et police (DFJP) de lui soumettre d'ici la fin août 2016, un avant-projet de révision de la LPD dans le but de renforcer le contrôle des personnes sur leurs propres données et d'augmenter la transparence dans le traitement des données personnelles.

4. La LDEP ne contient aucune base permettant à la Confédération de vérifier la protection et la sécurité des données directement auprès des acteurs du dossier électronique du patient. Dans le cadre de la procédure de certification (voir réponse à la question 1), l'organisme responsable peut procéder à des tests de vulnérabilité pour rechercher les failles de sécurité. À l'exception de cette procédure, la Confédération ne dispose d'aucun moyen de mener de telles activités. Il n'empêche que la LPD reste applicable aux communautés et communautés de référence, qui relèvent du droit civil. En sa qualité d'autorité chargée de la surveillance, le PFPDT est habilité par la LPD à mener des investigations et à émettre des recommandations. La révision de la LPD prévoit de confier davantage de compétences décisionnelles au PFPDT. Partant, les lois cantonales sur la protection des données ne s'appliquent pas au dossier électronique du patient, et les autorités cantonales de surveillance de la protection des données n'ont aucune compétence en la matière.

Réponse du Conseil fédéral.

Garantir la sécurité des données électroniques des patients | Lexipedia | Lexipedia