25.3836 · Interpellation · 2025-06-20
Département de l'intérieur
L’avis relatif à l’intervention est disponible
Wortlaut
L’informatique en nuage recèle pour le système de santé un potentiel considérable de solutions stables, sûres et économiques : d’une part, les logiciels évolutifs sont presque exclusivement développés en nuage, d’autre part, les services en nuage permettent d’adapter les technologies et les applications d’autres secteurs, ce qui réduit les frais de développement tout en renforçant l’évolutivité. Ces services jouent en outre un rôle clé sur le plan de la qualité puisqu’en matière de disponibilité générale, de sécurité, de latence et de résistance aux pannes, ils font généralement mieux que les applications « maison » abritées dans l’infrastructure informatique interne.
Or la législation en vigueur n’est pas favorable à l’informatique en nuage. Les données relatives à la santé sont protégées par la loi fédérale du 25 septembre 2020 sur la protection des données (LPD ; RS 235.1) et par les lois cantonales correspondantes, qui régissent leur traitement. Par ailleurs, les hôpitaux soumis au droit public et ceux qui bénéficient d’un mandat de prestations cantonal sont tenus de se conformer aux prescriptions en matière de protection des données applicables dans leur canton. Les principes et les prescriptions des cantons et de certaines communes forment cependant un ensemble très disparate, qui engendre des incohérences dans l’action des conseillers à la protection des données. Cette situation est particulièrement pesante pour les établissements de santé qui opèrent à l’échelle nationale et freine l’innovation.
Compte tenu de ces éléments, je prie le Conseil fédéral de répondre aux questions qui suivent :
Est-il lui aussi d’avis qu’il y a lieu d’harmoniser la mise en œuvre des règles de protection des données de santé dans les systèmes en nuage, et qu’il faut notamment uniformiser les exigences auxquelles doivent satisfaire d’une part les hôpitaux et les établissements de soins en matière de sécurité de l’information et, d’autre part, la conservation des données en Suisse ?
Est-il disposé à élaborer, en collaboration avec des spécialistes de la protection des données et de l’informatique, des prescriptions de mise en œuvre uniformes (sous forme de guide ou d’aide à l’exécution) afin d’encourager l’innovation ? La Confédération dispose-t-elle d’organes qui pourraient être mis à contribution ?
La Constitution autorise-t-elle l’assujettissement à la LPD de tous les services en nuage du système de santé ? Si oui, le Conseil fédéral est-il disposé à modifier la LPD ?
Approuve-t-il l’idée de publier une liste de services en nuage certifiés opérant dans le domaine de la santé ? Quel organisme indépendant serait susceptible d’effectuer un audit de ces services et d’en dresser la liste ?
Stellungnahme des Bundesrates
1. Le Conseil fédéral peut comprendre le souhait d’harmonisation. On peut partir du principe qu’uniformiser à l’échelle nationale les exigences en matière de protection des données et de sécurité de l’information simplifierait les processus, réduirait les coûts et accélérerait l’innovation. Cependant, il ne faut pas oublier que les disparités actuelles proviennent moins de la répartition des compétences dans un système fédéraliste que des interprétations et des applications hétérogènes des dispositions légales par les différents acteurs de ce système. La Confédération réglemente la protection des données pour l’administration fédérale, tandis que les administrations cantonales et communales sont compétentes pour les particuliers, les entreprises et les cantons, dont font aussi partie les hôpitaux ayant un mandat de prestations cantonal (hôpitaux répertoriés). 2. Au sein de la Confédération, l’Office fédéral de la cybersécurité (OFCS) pourrait élaborer des recommandations et des outils concernant les mesures techniques et organisationnelles en sécurité des données. Il ne peut toutefois pas les rendre obligatoires, car cette compétence revient au régulateur, c’est-à-dire, dans le secteur de la santé, aux cantons.Dans une optique d’autogestion, le secteur pourrait aussi élaborer lui-même des aides à l’exécution, par exemple via le Healthcare Cyber Security Center (H-CSC). Créée à l’initiative de certains hôpitaux suisses avec le soutien de l’OFCS, cette association a pour but d’encourager de manière ciblée la collaboration et l’échange dans la cybersécurité, de rassembler l’expertise en la matière et de soutenir les hôpitaux dans la gestion des cyberincidents. 3. Les services en nuage sont déjà soumis à la loi fédérale sur la protection des données (LPD ; RS 235.1) ou à une loi cantonale comparable. Les cantons étant responsables dans ce domaine, leurs lois sur la protection des données s’appliquent aux hôpitaux répertoriés.Au-delà même de savoir si la Constitution fournit une base légale à cet effet, question qu’il faudrait régler en détail, modifier la LPD pour réglementer l’utilisation d’une technologie précise (en l’occurrence l’informatique en nuage) représenterait une cassure dans le système en vigueur. En effet, la LPD ne mentionne délibérément pas de technologie en particulier. 4. Les cantons et les fournisseurs de prestations sont libres de tenir de telles listes de leur propre initiative.