Département fédéral de l'interieur DFI
16 septembre 2011
Rapport explicatif relatif à la loi fédérale sur le dossier électronique du patient (LDEP)
1
Condensé
Le 27 juin 2007, le Conseil fédéral a approuvé la « Stratégie Cybersanté (eHealth) Suisse », élaborée conjointement par la Confédération et les cantons, et valable pour les années 2008 à 2015. Le 3 décembre 2010, se fondant sur le rapport du « groupe d’experts cybersanté », le Conseil fédéral a chargé le Département fédéral de l’intérieur (DFI) d’élaborer jusqu’en septembre 2011 un avant-projet des réglementations nécessaires à l’introduction, à la diffusion et au développement d’un dossier électronique du patient. Ce dernier vise à améliorer la qualité des processus thérapeutiques, à augmenter la sécurité des patients et à à accroître l’efficience du système de santé. Le dossier électronique du patient permet aux professionnels de la santé d’accéder aux données pertinentes pour le traitement de leurs patients et établies par d’autres professionnels de la santé participant au traitement. Les patients ont également la possibilité d’accéder eux-mêmes à leurs données et de gérer l’attribution des droits d’accès. Le présent avant-projet de loi sur le dossier électronique du patient (LDEP) doit permettre de déterminer les conditions-cadres, au niveau fédéral, pour rendre accessibles des données pertinentes pour le traitement et pour en faire la requête, dans le cadre d’un dossier électronique du patient uniforme dans tout le pays. Ainsi sera remplie, une condition préalable et importante pour le succès de la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse ». Eléments principaux du projet Domaine d’application : le présent avant-projet de loi vise exclusivement à créer le cadre législatif nécessaire à la mise en place d’un dossier électronique du patient dépassant le cadre des communautés. Il ne concerne pas les prescriptions fédérales et cantonales actuelles sur l’utilisation des données de patients. Il n’a pas non plus pour objet les réglementations relatives à l’échange de données entre les professionnels de la santé et les assurances sociales et celles concernant l’utilisation des données enregistrées dans le dossier électronique du patient pour développer des registres de diagnostic, à des fins de statistiques ou de recherche, ou encore pour optimiser des processus administratifs. Les expériences faites à l’étranger montrent que la sécurité d’investissement atteinte après avoir réglé les conditions techniques et organisationnelles en vue de l’introduction, de la diffusion et du développement, au niveau national, du dossier électronique du patient, ne suffit pas bien qu’elle soit indispensable. C’est pourquoi le présent avant-projet contient également des mesures d’accompagnement. Caractère facultatif : pour que le dossier électronique du patient soit accepté et que sa mise en œuvre soit un succès, il est essentiel qu’il ne revête pas de caractère obligatoire. Dans le but d’appliquer l’autodétermination des patients en matière d’information, chaque personne décide elle-même si elle consent à se faire établir un dossier électronique et, le cas échéant, si les professionnels de la santé en charge de son traitement ont un accès complet ou limité à ses données.
2
Le principe du caractère facultatif s’applique également aux professionnels de la santé, à l’exception des fournisseurs de prestations selon les art. 39 et 49a, al. 4 LAMal (RS 832.10). Les professionnels de la santé sont toujours libres de décider s’ils veulent créer les conditions pour rendre accessibles à leurs pairs, sous forme électronique, les données pertinentes pour le traitement de leurs patients. Toutefois, s’ils ont décidé de devenir membres d’une communauté certifiée, ils sont tenus de rendre accessibles les données pour lesquelles les patients ont donné leur consentement. Consentement et droits d’accès : le traitement de données dans le cadre du dossier électronique n’est autorisé que si le patient y consent. Les dispositions en matière d’accès permettent ainsi aux patients d’attribuer des droits d’accès de manière individuelle et par degrés. Identification et authentification : pour que les données puissent être mises à disposition et faire l’objet de requêtes en toute sécurité, les patients et les professionnels de la santé doivent impérativement disposer d’une identification et d’une authentification univoques. Le présent avant-projet crée la base légale spéciale pour que le Conseil fédéral puisse envisager l’utilisation du numéro d’assuré selon l’art. 50c LAVS (RS 831.10 ; NAVS13) comme l’un des caractères pour l’identification des patients entre les communautés. Cette utilisation est explicitement restreinte à l’identification des patients dans le cadre d’une requête de données dépassant les communautés. Le NAVS13 ne doit donc pas figurer dans les données médicales et il ne doit pas non plus apparaître dans les métadonnées. Certification : pour garantir une mise à disposition et une requête sécurisées des données, tous les participants doivent respecter certaines exigences minimales. Une procédure de certification doit permettre de garantir le respect de ces conditions techniques et organisationnelles. Le Conseil fédéral déterminera dans le droit d’exécution les critères de certification ainsi que la procédure de certification. Les cantons et les organisations concernées recevront à cet égard des possibilités étendues de participation. Mise en œuvre Dans le but de favoriser sa collaboration avec les cantons, la Confédération peut créer un organisme de droit privé ou s’y associer. Il sera dès lors possible de transmettre certaines tâches à cet organisme, qui succèdera à l’organe de coordination Confédération-cantons « eHealth Suisse » actuel. Financement Selon les premières estimations, la préparation et l’exécution des tâches liées à la mise en œuvre du présent avant-projet vont entraîner des coûts périodiques de l’ordre de 4 à 5,4 millions de francs par an. Compte tenu de la compétence des cantons en matière de santé, la Confédération ne doit pas être la seule à supporter cette charge financière. Le Conseil fédéral estime qu’il est justifié que la Confédération et les cantons assument chacun la moitié du financement.
3
Sommaire Condensé 2
1 Contexte 7
1.1 Ancrage dans la politique de la santé 7
1.2 « Stratégie Cybersanté (eHealth) Suisse » 10
1.3 « Architecture eHealth Suisse » 12
1.4 Cadre légal 15
1.5 Travaux préparatoires 18
1.6 Mandat du Conseil fédéral 21
1.7 Méthode d’élaboration de l’avant-projet 22
2 Réglementation proposée 22
2.1 Contexte 22
2.2 Solutions potentielles étudiées 23
2.3 Nouvelle réglementation proposée 25
2.4 Concordance des tâches et des moyens financiers 30
2.5 Développements internationaux et rapports avec le droit européen 30
2.5.1 Développements internationaux 30
2.5.2 Relation au droit européen 34
2.6 Mise en œuvre 36
2.7 Classement des interventions parlementaires 37
3 Commentaire 38
3.1 Section 1 Disposition générales 38
3.2 Section 2 Accès au dossier électronique du patient 41
3.3 Section 3 Certification 48
3.4 Section 4 Tâches de la Confédération 51
3.5 Section 5 Dispositions pénales 54
3.6 Section 6 Dispositions finales 55
4 Conséquences 55
4.1 Conséquences pour la Confédération 55
4.2 Conséquences pour les cantons et les communes 58
4.3 Conséquences pour d’autres acteurs 59
4.4 Conséquences économiques 60
5 Aspects juridiques 65
5.1 Constitutionnalité 65
5.2 Forme de l’acte à adopter 65
5.3 Frein aux dépenses 65
5.4 Délégation de compétences législatives 65
4
Liste des abréviations
AA Assurance-accidents AIR Analyse d’impact de la réglementation Al. Alinéa Art. Article AVS Assurance-vieillesse et survivants CDS Conférence des directrices et directeurs cantonaux de la santé CP Code pénal suisse du 21 décembre 1937, RS 311.0 Cst. Constitution fédérale de la Confédération suisse du 18 avril 1999, RS 101 DFI Département fédéral de l'intérieur DPA Loi fédérale du 22 mars 1974 sur le droit pénal administratif, RS 313.0 eHGI eHealth Governance Initiative ELGA Elektronische Gesundheitsakte (dossier médical électronique, Autriche) epSOS Smart Open Services for European Patients FF Feuille fédérale Gematik Organisation professionnelle pour la carte de santé électronique (Allemagne) GHM Groupes homogènes de malades (nouveau financement hospitalier) HUG Hôpitaux universitaires de Genève LAA Loi fédérale du 20 mars 1981 sur l’assurance-accidents, RS 832.20 LAI Loi fédérale du 19 juin 1959 sur l’assurance-invalidité, RS 831.20 LAMal Loi fédérale du 18 mars 1994 sur l’assurance-maladie, RS 832.10 LAVS Loi fédérale du 20 décembre 1946 sur l’assurance-vieillesse et survivants, RS 831.10 LCo Loi fédérale du 18 mars 2005 sur la procédure de consultation (Loi sur la consultation), RS 172.061 LDEP Loi fédérale sur le dossier électronique du patient let. Lettre LETC Loi fédérale du 6 octobre 1995 sur les entraves techniques au commerce, RS 946.51 LF Loi fédérale LFPr Loi fédérale du 13 décembre 2002 sur la formation professionnelle, RS 412.10 LHES Loi fédérale du 6 octobre 1995 sur les hautes écoles spécialisées, RS 414.71 LOGA Loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration, RS 172.010 LPD Loi fédérale du 19 juin 1992 sur la protection des données, RS 235.1 LPGA Loi fédérale du 6 octobre 2000 sur la partie générale du droit des assurances sociales, RS 830.1 LPMéd Loi fédérale du 23 juin 2006 sur les professions médicales universitaires (Loi sur les professions médicales), RS 811.11
5
LPsy Loi fédérale du 18 mars 2011 sur les professions relevant du domaine de la psychologie (Loi sur les professions de la psychologie), FF 2011 2529 LPTh Loi fédérale du 15 décembre 2000 sur les médicaments et les dispositifs médicaux (Loi sur les produits thérapeutiques), RS 812.21 LSPro Loi fédérale du 12 juin 2009 sur la sécurité des produits, RS 930.11 LSu Loi fédérale du 5 octobre 1990 sur les aides financières et les indemnités (Loi sur les subventions), RS 616.1 NAVS13 Numéro d’assuré en vertu de l’art. 50c LAVS NICTIZ Institut national des technologies d’information pour la santé (Pays-Bas) OAccD Ordonnance du 17 juin 1996 sur le système suisse d’accréditation et la désignation de laboratoires d’essais et d’organismes d’évaluation de la conformité, d’enregistrement et d’homologation (ordonnance sur l’accréditation et la désignation), RS 946.512 OID Identificateurs d’objets RS Recueil systématique du droit fédéral SECO Secrétariat d’Etat à l’économie TIC Technologies de l’information et de la communication UE Union européenne
6
Rapport explicatif
1 Contexte
1.1 Ancrage dans la politique de la santé
Le système sanitaire suisse connaît depuis plusieurs années des progrès marqués dans les technologies appliquées à la médecine ; cette évolution, associée au vieillissement de la population, a conduit à une croissance permanente des coûts de la santé. Afin d’endiguer cette hausse, la stratégie du Conseil fédéral en matière de politique sanitaire mise sur la transparence, le financement de prestations, les soins intégrés ainsi que la concurrence entre acteurs.1 Des prestations efficientes et de haute qualité ainsi que l’optimisation des processus médicaux et administratifs permettraient d’aboutir à des économies importantes. Dans le système de soins actuel, les patients doivent organiser et coordonner en majeure partie eux-mêmes leurs consultations médicales, leurs traitements ou leurs prescriptions de médicaments. De plus, les processus et procédures dans notre système de santé sont souvent fragmentés en raison des structures fédéralistes et, parfois, par la taille des organismes, ce qui est susceptible d’engendrer des erreurs.2 La masse de données s’intensifie constamment, complexifiant l’échange d’informations dans le secteur de la santé. Rechercher et préparer des informations relatives aux patients demande beaucoup de temps aux professionnels de la santé, ce qui est extrêmement coûteux. Pour que la chaîne de soins fonctionne de manière optimale, il est indispensable de pouvoir accéder rapidement aux données importantes. Le professionnel de la santé pourra consacrer le temps ainsi économisé à ses patients. Améliorer les bases décisionnelles pourrait également accroître la sécurité des mesures diagnostiques et thérapeutiques. Sans moyens techniques suffisants, les professionnels de la santé doivent, en cas d’anamnèses répétées, se baser la plupart du temps sur les informations communiquées par le patient lui- même. Il y a un potentiel d’amélioration, principalement pour les traitements impliquant plusieurs professionnels de la santé et ceux administrés à des malades chroniques. Dans ces circonstances, échanger des informations se révèle souvent difficile, ou du moins contraignant. Recourir aux technologies de l’information et de la communication (TIC) est décisif pour la réussite de soins intégrés. Des études de cas empiriques menées de manière approfondie dans des pays européens, en Israël et aux USA montrent que les solutions qui ont recours à la cybersanté pour mettre en réseau les acteurs locaux, régionaux ou nationaux du
1 Plusieurs experts ont étudié en détail les caractéristiques du système sanitaire suisse dans le Handbuch Gesundheitswesen Schweiz et en ont décrit en détail le processus de transformation des années à venir. Cf. OGGIER, Willy, WALTER, Andreas, REICHLIN, Serge, EGLI, Michael (Ed.), Handbuch Gesundheitswesen Schweiz im Umbruch. Sursee : Trend Care 2008 ; cf. également REICHLIN, Serge. Paradigmwechsel im Schweizer Gesundheitswesen. In : Bulletin des médecins suisses. 2008;89:17. p. 757-761 et WALTER, Andreas. Das Schweizer Gesundheitswesen ist ein System. In : Bulletin des médecins suisses. 2008;89:16. p. 704-706. Ces résultats sont confirmés dans : KOCHER, Gerhard, OGGIER, Willy (Ed.). Gesundheitswesen Schweiz 2010-2012: Eine aktuelle Übersicht. 4e édition. Berne : Verlag Hans Huber, 2010. Concernant la Stratégie du Conseil fédéral en matière de politique sanitaire, voir : www.dfi.admin.ch
2 Stratégie Cybersanté (eHealth) Suisse du 27 juin 2007, p. 18 ss.
7
système de la santé recèlent un grand potentiel. Leur principal intérêt ne réside pas dans les économies qu’elles permettent de réaliser, mais plutôt dans l’amélioration de la qualité de la couverture sanitaire et donc dans l’efficience des cabinets médicaux et des hôpitaux. Les solutions de TIC permettent d’accéder à une couverture sanitaire plus sûre, meilleure et plus efficace pour les patients comme pour les professionnels de la santé.3 Services électroniques de santé (cybersanté) Par cybersanté, « eHealth » en anglais, ou « services électroniques de santé », on entend l’utilisation intégrée des TIC pour l’organisation, le soutien et la mise en réseau de tous les processus et participants du système de santé. La plupart des stratégies nationales et les plans d’actions des organisations internationales ont pour principaux objectifs stratégiques d'améliorer l'efficacité, la qualité et la sécurité leurs systèmes de santé, ainsi que de les renforcer sur le plan économique : – cybersanté génère une plus-value, car le système de la santé gagne en efficience avec la coordination des acteurs et des processus ; – les processus électroniques n’étant pas interrompus, cybersanté contribue à réduire les erreurs de diagnostic ou de traitement et, donc, à sauver des vies ; – en tant que nouveau facteur économique, cybersanté peut améliorer la qualité de vie et celle du site économique.4 Une application clé de la cybersanté, le dossier électronique du patient, sera présentée ci-après.
Le dossier électronique du patient Le dossier électronique du patient repose au cœur de la « Stratégie Cybersanté (eHealth) Suisse » (cf. chapitre 1.2) et de sa mise en œuvre. En effet, c’est l’élément décisif, qui permet d’échanger des informations dans le cadre de la prise en charge des patients intégrée et interinstitutionnelle. Le terme « dossier électronique du
3 STROETMANN, Karl, DOBREV, Alexander, et al. Die Planung der Schweizerischen
eHealth-Strategie - zur Zukunft von eHealth unter föderalen Bedingungen. In : Swiss Medical Informatics 2010 ; n° 68, p. 4 (en allemand uniquement) ; sur les bénéfices socio- économiques de la Cybersanté, cf. également la « Fiche d’information : potentiel de la cybersanté » et les liens qu’elle propose vers différentes sources ; téléchargeable sous : http://www.e-health-suisse.ch/umsetzung/00184/index.html?lang=fr. Elle renvoie notamment à une étude de la Commission européenne sur l’introduction du dossier électronique du patient dans 11 pays européens. Cf. DOBREV, Alexander, et al. Report on the socio-economic impact of interoperable electronic health record (EHR) and ePrescribing systems in Europe and beyond. EHR IMPACT study. Bonn : Empirica,
2009 ; FITTERER, René, et al. Was ist der Nutzen von eHealth? Eine Studie zur
Nutzenevaluation von E-Health in der Schweiz. Health Network Engineering. Institut pour l’informatique économique. Haute école de St Gall : mai 2009 ; TEISBERG, Elizabeth. Nutzenorientierter Wettbewerb im schweizerischen Gesundheitswesen : Möglichkeiten und Chancen. Zurich/Bâle/Berne : economiesuisse, Klinik Hirslanden AG, Interpharma, ASA, Swisscom IT Services AG, 2008. ; Sur l'utilité des systèmes d’information clinique, cf. la publication « Cybersanté dans la pratique », p. 9-12 et 28 ss de « eHealth Suisse » (organe de coordination Confédération-cantons), téléchargeable sous : http://www.e-health-suisse.ch/umsetzung/00203/index.html?lang=fr. 4 Pour voir tous les objectifs : Mise en œuvre de la « Stratégie Cybersanté Suisse » : recommandations relatives à la réglementation légale : Rapport du « groupe d’experts Cybersanté » à l’intention du Département fédéral de l’intérieur (DFI). 30 septembre 2010. Téléchargeable sous : http://www.bag.admin.ch/themen/gesundheitspolitik/10357/10359/index.html?lang=fr
8
patient » ne désigne pas l’ensemble de la documentation assemblée par un professionnel de la santé au sujet d’un patient (dossier médical), mais seulement les parties de ce dossier qui sont importantes pour le traitement intégré du patient. Seule cette partie doit pouvoir faire l’objet de requêtes électroniques par d’autres professionnels de la santé. Sans dossier électronique du patient, plusieurs réformes du système de santé suisse seraient difficilement envisageables.
La carte d’assuré Depuis le 1er janvier 2010, les assureurs sont tenus d’éditer une carte munie d’une puce électronique afin de faciliter les procédures administratives entre les assurés, les assureurs et les fournisseurs de prestations. Le nouveau numéro d’assurance sociale (NAVS13) selon l’art. 50c de la loi fédérale du 20 décembre 1946 sur l’assurance vieillesse et survivants5 (LAVS) sert de numéro d’identification de la carte. Si l’assuré le désire, des données médicales d’urgence et d’autres informations, comme le lieu de dépôt d’une directive anticipée, peuvent être enregistrées sur la carte. Celle-ci est également un moyen d'identification possible pour les essais pilotes cantonaux dans le cadre de la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse ».
Le nouveau financement hospitalier repose sur des « applications de cybersanté »
2012 verra l’introduction en Suisse de forfaits par cas harmonisés et liés aux
prestations pour indemniser les prestations hospitalières. Il y aura donc transition vers une facturation liée aux prestations, laquelle reposera sur un système de forfaits par cas selon le modèle des groupes homogènes de malades (GHM/DRG). On en attend une meilleure utilisation des ressources, ainsi que des économies dans le système de la santé. Les hôpitaux doivent utiliser leurs ressources de manière plus efficace et optimiser leurs processus internes. Des « applications de cybersanté » telles que le dossier électronique du patient ou la prescription électronique contribuent à offrir aux patients une prise en charge de qualité équivalente, si ce n’est meilleure, pour un investissement moindre. Les Hôpitaux universitaires de Genève ont pu réaliser de grands progrès, en mettant les informations collectées dans chaque clinique à la disposition de l’ensemble des professionnels de la santé et du personnel soignant dans un système d’information clinique commun à tous les HUG.6
Soutien des modèles de soins intégrés Depuis le 1er janvier 1996, il est possible de proposer des modèles d’assurance alternatifs, en vertu de la LAMal. L’un des objectifs de ces modèles d’assurance est de promouvoir l’intégration des soins. Ce terme désigne divers modèles de regroupement des prestations médicales. Les formes d’organisation suivantes, p. ex., permettraient d’atteindre cet objectif : modèle du médecin de famille, réseau de
5 RS 831.10
6 Cf. http://www.ehr-impact.eu/cases/documents/EHRI_case2_HUG_Geneva.pdf
9
médecins, centres de santé ou instruments d’intégration7. Il s’agit de fournir des traitements médicaux ciblés, adaptés aux besoins et qui utilisent les moyens disponibles le plus efficacement possible, afin d’accroître la qualité de la prise en charge et de réaliser des économies.8 Le dossier électronique du patient soutient le développement de modèles de soins intégrés, car ceux-ci reposent sur un échange intensif de données entre le patient, le médecin, l’hôpital, la pharmacie, le laboratoire et le physiothérapeute.
La prescription médicale électronique : qualité et sécurité L’introduction de la prescription électronique peut permettre d’améliorer nettement l’assurance et le contrôle de la qualité. En effet, l’écriture des médecins ne représente que l’une des nombreuses sources d’erreur : dans l’Union européenne (UE), quelques 100 000 erreurs de médication pourraient être évitées grâce à la prescription électronique.9 Une ordonnance délivrée de cette manière sera toujours lisible. De plus, il est possible d’introduire diverses fonctions, qui pourraient, par exemple, signaler automatiquement les interactions médicamenteuses indésirables ou encore les médications parallèles par plusieurs médecins. La prescription électronique contribue donc aussi à promouvoir la qualité et la sécurité dans le système sanitaire, mais elle n’est pas incluse dans le présent projet.10
1.2 « Stratégie Cybersanté (eHealth) Suisse »
Dans le cadre de l’actualisation de sa « Stratégie pour une société de l’information en Suisse » de 1998, le Conseil fédéral a adopté un nouveau chapitre en janvier 2006, intitulé « Santé et système de santé ». Il a ensuite chargé le Département fédéral de l’intérieur (DFI) de présenter, avant la fin de l’année 2006, un concept de stratégie nationale en matière de cybersanté qui devait apporter notamment des
7 Il s’agit, p. ex., des instruments d’intégration suivants : médecin de premier recours, lignes directrices, gestion des cas (Case Management), gestion des maladies (Disease Management) et Demand Management. En Suisse, on opère une distinction entre les modèles contractuels (réseaux de médecins, HMO, centres d’appel médicaux) et les modèles non-contractuels (modèle avec liste, modèle Light). Les réseaux de médecins et les médecins désignent aussi les modèles avec liste sous le nom de pseudo-modèle ou de modèle Light en raison de l’absence de partenariat contractuel. Cf. document d’information « Integrierte Versorgung in der Schweiz ». Forum Managed Care. Winterthur : 14 avril 2009. p. 2. 8 En ce qui concerne les effets des différentes impulsions de pilotage sur l’optimisation du système global de santé en termes de coûts, cf. BERCHTOLD, Peter, HESS, Kurt. Evidenz für Managed Care, Europäische Literaturanalyse unter besonderer Berücksichtigung der Schweiz: Wirkung von Versorgungssteuerung auf Qualität und Kosteneffektivität. (Pertinence des modèles de managed care. Analyse de la littérature européenne en tenant compte de la situation en Suisse : Effets du pilotage du système des soins sur la qualité et les coûts ; publication en allemand avec résumé en français). Document de travail 16 de l’Observatoire suisse de la santé. Neuchâtel : janvier 2006. 9 Ramené à l’échelle de la Suisse, cela correspond à env. 1 500 erreurs de médication qui pourraient être évitées. Cf. : The Ministry of Health and Social Affairs in Sweden 2009: eHealth for a Healthier Europe! – opportunities for a better use of healthcare resources. Téléchargeable sous : http://www.se2009.eu/polopoly_fs/1.8227!menu/standard/file/eHealth for a Healthier Europe.pdf 10 La « Stratégie Cybersanté (eHealth) Suisse » prévoit comme première étape l’introduction d’un dossier électronique du patient.
10
éclaircissements sur les objectifs, les domaines d’action, les coûts, les partenariats et la manière de procéder dans ce domaine et fixe un calendrier de réalisation. Le 27 juin 2007, le Conseil fédéral a adopté formellement la « Stratégie Cybersanté (eHealth) Suisse »11 élaborée conjointement par la Confédération et les cantons. La Conférence suisse des directrices et directeurs cantonaux de la santé (CDS) s’est également ralliée aux objectifs fixés. La stratégie suit la vision suivante : « Dans le système de santé suisse, chaque individu peut autoriser les spécialistes de son choix à accéder, à tout moment et en tout lieu, à d’importantes informations pertinentes sur sa personne et bénéficier de prestations. Il participe activement aux décisions concernant son comportement et ses problèmes liés à la santé, renforçant ainsi sa culture sanitaire. Les technologies de l’information et de la communication sont utilisées de manière à assurer la mise en réseau des acteurs du système de santé et à créer des processus de meilleure qualité, plus sûrs et plus efficaces. »12 Le processus de numérisation du système sanitaire s’effectuerait même indépendamment de la « Stratégie Cybersanté (eHealth) Suisse ». Sans coordination ni pilotage, des solutions publiques ou privées insuffisamment interopérables13 risquent d’être mises en œuvre. La « Stratégie Cybersanté (eHealth) Suisse » indique donc comment fixer les lignes directrices pour l’avenir, afin que des services de santé électroniques en réseau puissent être mis en place. Elle indique également les champs d’activité et les objectifs prioritaires. La Confédération et les cantons ont conclu, le 6 septembre 2007, une convention- cadre dans laquelle ils ont inscrit leur détermination à collaborer pour mettre en œuvre les objectifs de la stratégie. Ils ont notamment manifesté leur volonté d’exécuter les décisions dans le cadre de leurs compétences respectives et, au besoin, de créer de nouvelles bases légales. Cette convention-cadre a aussi conduit à la création de l’organe de coordination Confédération-cantons « eHealth Suisse » (comité de pilotage et secrétariat) assumé conjointement par ces acteurs. Mettre en œuvre la stratégie consiste à définir des lignes directrices organisationnelles, juridiques et techniques communes pour le développement des « applications de cybersanté », et en particulier du dossier électronique du patient. Les cantons, les professionnels de la santé et d’autres acteurs privés sont invités à lancer des essais pilotes ou des projets conformes à la stratégie dans le cadre de ces lignes directrices. Cette procédure s’explique par les raisons suivantes :
11 Cf. « Stratégie Cybersanté (eHealth) Suisse » du 27 juillet 2007. A ne pas confondre avec la Stratégie suisse de cyberadministration, adoptée le 24 janvier 2007 par le Conseil fédéral. Cette stratégie suisse de cyberadministration a été conçue en collaboration étroite par les cantons et les communes sous l’égide de l'Unité de stratégie informatique de la Confédération (USIC). Elle fixe des objectifs communs à la Confédération, aux cantons et aux communes et elle définit les principes, les procédures et les instruments pour la mise en œuvre de la cyberadministration. La cyberadministration a pour objectif que la population et l’économie puissent régler leurs affaires importantes avec les autorités par voie électronique. Les autorités doivent quant à elles moderniser leurs processus et communiquer entre elles par voie électronique. Téléchargeable sous : http://www.egovernment.ch/fr/grundlagen/strategie.php.
12 Stratégie Cybersanté (eHealth) Suisse du 27 juin 2007, p. 3.
13 Par « interopérabilité », on entend la capacité, pour des systèmes techniques, à échanger des informations ensemble.
11
– les projets de grande ampleur sont trop complexes : l’expérience réalisée à l’étranger montre que, souvent, les projets nationaux de cybersanté échouent ou prennent un retard excessif, car les acteurs les refusent ou trouvent les tâches trop complexes ; – compétences Confédération / cantons : dans le système de santé fédéraliste de la Suisse, il n’est pas possible de centraliser le pilotage d’un dossier électronique du patient. Il vaut bien mieux soutenir des projets décentralisés, régionaux et conformes à la stratégie, et encourager leur mise en réseau. C’est le seul moyen de développer le système en souplesse et de manière adaptée aux besoins, avec cependant pour corollaire un besoin accru de coordination ; – expériences pratiques : bien des questions ne peuvent être résolues par des études théoriques. Seule l’expérience pratique permet d’en trouver la solution. La « Stratégie Cybersanté (eHealth) Suisse » prévoit que les travaux opérationnels et professionnels soient confiés sous forme projets partiels à des groupes de travail. Il appartient au comité de pilotage d’« eHealth Suisse » (l’organe de coordination Confédération-cantons) de décider lesquels.14 Le projet partiel « Normes et architecture » a été traité en priorité, car ses résultats ont une influence directe sur les travaux dans les autres projets partiels.15
1.3 « Architecture eHealth Suisse »
Le 19 mars 2009, le comité de pilotage « eHealth Suisse » a approuvé les premières recommandations du projet partiel « Normes et architecture ». Les principes et les directives qu’elles contiennent sont déterminants pour définir les principaux volets de l’« Architecture eHealth Suisse ». L’une des premières phases a été consacrée au dossier électronique du patient, qui doit permettre la mise à disposition et la requête de données médicales dépassant le cadre des communautés. Ainsi, les informations pertinentes pour le traitement peuvent être rendues accessibles à d’autres professionnels de la santé, en tout lieu et à tout moment. L’« Architecture eHealth Suisse » ne concerne pas la documentation électronique relative à l’anamnèse qui peut être stockée dans les systèmes d’informations cliniques ou dans les dossiers patient informatisés propres aux hôpitaux ou aux cabinets médicaux. Suite à l'adoption des premières recommandations en mars 2009, les composantes de base de l'« Architecture eHealth Suisse » ont été intégrées dans la planification globale. Dans le cadre de la concrétisation de l’« Architecture eHealth Suisse », l’interaction esquissée dans la figure 1, entre des communautés décentralisées16 de
14 Pour connaître l’état actuel des projets partiels, cf. le rapport du 3 décembre 2010 en réponse au postulat Humbel, téléchargeable sous : http://www.bag.admin.ch/themen/gesundheitspolitik/10357/10359/index.html?lang=fr 15 Liste des autres projets partiels : essais pilotes, bases légales, financement et mesures d’incitation, services en ligne et culture sanitaire, formation. Plus d’informations sur : http://www.e-health-suisse.ch/umsetzung/00146/index.html?lang=fr. Toutes les recommandations ont été diffusées aux cercles concernés et intéressés dans le cadre d’auditions informelles avant d’être adoptées par le comité de pilotage. 16 Par « communautés », on entend des regroupements de professionnels de la santé. Cf. aussi les explications relatives à l’art. 2, al. 1.
12
professionnels de la santé (p. ex., hôpitaux, réseaux de médecins, pharmacies et laboratoires) et les composantes coordonnées sur le plan national, a été élaborée. Outre des règles uniformes relatives à la protection et à la sécurité des données, il faut coordonner au niveau national les moyens d’identification pour les patients et les professionnels de la santé, ainsi que les registres et services de recherche de données nécessaires à la mise à disposition et à la requête de données. L’« Architecture eHealth Suisse » repose sur le principe fondamental de la gestion partagée des données. Chaque communauté conserve sous sa responsabilité les données produites en son sein concernant les patients répertoriées. Si le patient donne son consentement, les données importantes pour le traitement sont enregistrées et mises à disposition de manière décentralisée dans les archives électroniques. Les métadonnées pertinentes17 sont alors saisies dans un registre, que peuvent consulter toutes les autres communautés. Un professionnel de la santé doté des droits d’accès nécessaires peut s’en servir pour accéder aux données enregistrées dans les archives d’une autre communauté. Le 21 octobre 2010, le comité de pilotage a adopté les recommandations II comportant les composantes traitées en priorité : « concept de rôles », « métadonnées » et « points d’accès des communautés ».18 Les recommandations III, qui seront publiées en automne 2011, concrétiseront les thèmes « identification et authentification » ainsi que « système d’autorisation ».
17 Métadonnées : données contenant des informations sur d’autres données. Elles sont nécessaires (comme « en-têtes » au sens conventionnel) pour échanger par voie électronique des informations médicales. 18 eHealth Suisse : Normes et architecture Recommandations II. Adoptées par le comité de pilotage. Berne, le 21 octobre 2010. Document disponible à l’adresse http://www.e-health-suisse.ch/umsetzung/00146/00148/index.html?lang=fr. Pour consulter la figure 1 ci-dessous, cf. page 10.
13
Figure 1
Interaction entre communautés décentralisées de professionnels de la santé et composantes coordonnées au niveau national.
14
1.4 Cadre légal
Généralités La « Stratégie Cybersanté (eHealth) Suisse » vise à coordonner l’introduction des « applications de cybersanté », en particulier du dossier électronique du patient. Par la mise en place de ce dossier, toutes les personnes en Suisse peuvent, indépendamment du temps et du lieu, donner aux professionnels de la santé de leur choix l’accès électronique aux informations nécessaires à leur traitement.19 Le dossier électronique du patient ne constitue donc pas un instrument de l’assurance sociale. Au contraire, il sert à améliorer la sécurité et le traitement des patients. Il contribue donc à la protection générale de la santé et au développement du système de soins.
Constitution fédérale La Confédération a des compétences limitées dans le système sanitaire. L’introduction du dossier électronique du patient vise à améliorer la qualité des traitements, à augmenter la sécurité des patients et à accroître l’efficience du système de santé. Ceci concerne des domaines de la couverture sanitaire en général, dont la réglementation relève en principe des cantons. Les art. 95 et 122 de la Constitution fédérale de la Confédération suisse du 18 avril 199920 (Cst.) reconnaissent à la Confédération tant la compétence de légiférer sur l’exercice des activités lucratives privées que des compétences dans le domaine du droit civil. L’art. 95, al. 1, Cst.21 autorise la Confédération à réglementer toutes les formes et tous les niveaux d’exercice des activités économiques lucratives privées, à condition de respecter, ce faisant, le principe de la liberté économique. Elle peut réglementer aussi bien les conditions de l’exercice de la profession que l’exercice lui-même. Selon l’art. 122 Cst., la Confédération est habilitée à légiférer en matière de droit civil, ce qui comprend aussi la réglementation du rapport de droit privé entre professionnels de la santé et patients (en général, droit du mandat selon les art. 404 ss de la loi fédérale du 30 mars 191122 complétant le code civil suisse [Livre cinquième : Droit des obligations, CO]). Lorsqu’un professionnel de la santé qui fait partie d’une communauté saisit des données dans le dossier électronique du patient, la prescription relative à la forme sous laquelle il doit le faire ou au format technique dans lequel les données doivent être traitées touche aussi la manière dont il exerce sa profession. La définition des standards techniques nécessaires ou du format des données représente donc une prescription relative à l’exercice de la profession. Les dispositions y relatives peuvent être édictées en se fondant sur l’art. 95, al. 1, Cst.23 Celui-ci ne peut en principe servir de base que si la prestation médicale est fournie dans le cadre d’une activité économique lucrative privée. Il ne concerne pas les prestations fournies dans le cadre de l’assurance maladie et accidents. Toutefois, les institutions de droit public (p. ex., les hôpitaux cantonaux) peuvent également mettre à disposition des données dans le dossier électronique du patient, organisé selon le droit privé, ou émettre des requêtes pour de telles données. Pour cela, il est nécessaire que ces
19 Cf. Stratégie Cybersanté (eHealth) Suisse du 27 juin 2007, p. 30
20 RS 101 21 RS 101 22 RS 220 23 RS 101
15
institutions agissent comme des organes privés et qu’elles se fassent certifier en tant que communautés ou membres d’une communauté. Il n’est donc pas nécessaire de s’appuyer sur l’art. 117 Cst., qui donne à la Confédération la compétence de légiférer sur l’assurance maladie et l’assurance accidents, étant donné que ni l’une, ni l’autre n’est concernée directement par le présent avant-projet. Les données établies dans le cadre de prestations de l’une de ces assurances peuvent toutefois être mises à disposition dans le dossier électronique du patient, à condition que les fournisseurs de prestations soient certifiés en tant que communautés ou membres d’une communauté. En outre, le projet de loi ne modifie en rien la répartition des tâches entre la Confédération et les cantons.
Droit fédéral Il existe déjà dans le droit fédéral quelques interfaces avec la cybersanté et le dossier électronique du patient. On trouve notamment dans le droit des assurances sociales, et en particulier dans le domaine de l’assurance-maladie obligatoire (AMal), des règles qui prévoient directement l’utilisation de moyens de communication électroniques, ou alors dont le but peut être réalisé de manière plus efficace grâce à l’emploi de techniques électroniques de communication. On pense ici d’abord aux réglementations relatives à la carte d’assuré et à son utilisation dans le cadre de la facturation électronique des prestations, ou à celles portant sur l’économicité et la qualité de la fourniture des prestations (art. 42a et 56 à 59 LAMal24). Une autre interface se trouve dans la loi du 23 juin 200625 sur les professions médicales universitaires (loi sur les professions médicales ; LPMéd), où sont notamment réglés les devoirs professionnels (art. 40) des groupes professionnels entrant dans son champ d’application (personnes exerçant une profession médicale universitaire à titre indépendant). La loi fédérale du 18 mars 201126 sur les professions relevant du domaine de la psychologie (LPsy) comprend elle aussi des prescriptions sur l’exercice de la profession. La loi fédérale du 15 décembre 200027 sur les médicaments et les dispositifs thérapeutiques (loi sur les produits thérapeutiques, LPTh) comprend, aux art. 23 ss, les conditions de prescription de médicaments. Cependant, il n’existe pour l’instant aucune réglementation spécifique à la prescription électronique.
Compétences fédérales en matière de protection des données La Confédération ne dispose pas de compétences exhaustives pour légiférer dans le domaine de la protection des données. Elle peut réglementer le traitement des données personnelles par les organes fédéraux en s’appuyant sur son autonomie organisationnelle. En outre, elle peut soumettre le traitement des données personnelles par des particuliers à une réglementation en se fondant sur ses compétences relevant du droit civil. En revanche, seuls les cantons sont compétents en matière de réglementation du traitement de données personnelles par des organes cantonaux, et ce, en vertu de la répartition des compétences inscrite dans la Constitution fédérale.
24 RS 832.10 25 RS 811.11
26 FF 2011 2529 ss.
27 RS 812.21
16
S’agissant des domaines dans lesquels la Confédération est matériellement compétente en vertu de la Constitution fédérale, elle est habilitée à édicter également des réglementations concrètes en matière de protection des données, spécifiques au domaine concerné dans la législation spéciale correspondante. Ces réglementations s’appliquent dès lors à tous les organes responsables de l’exécution des lois, indépendamment du fait qu’ils soient fédéraux ou cantonaux. Pour le domaine de la cybersanté, cela signifie que la Confédération peut édicter des réglementations spécifiques à la protection des données qui seraient également contraignantes pour les organes d’exécution cantonaux, pour autant qu’elle possède les compétences techniques correspondantes.
Actes législatifs cantonaux Un inventaire des bases légales existant dans les cantons pour soutenir la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse » a été établi sur mandat d’« eHealth Suisse » (organe de coordination Confédération-cantons).28 Comme seule une minorité de cantons a déjà testé les applications de cybersanté concrètes, il n’existe actuellement (en automne 2011) que peu de bases légales spécifiques à la cybersanté au niveau cantonal. Les projets pilotes qui ont été lancés sont en général fondés sur les bases légales existantes.29 Le canton de Genève, qui a créé une base légale spécifique pour la cybersanté avec sa loi sur le réseau communautaire d’informatique médicale (e-Toile)30, entrée en vigueur le 1er avril 2009, constitue une exception. Cette loi règle les conditions de mise en place d’un réseau communautaire pour le traitement électronique des données médicales et elle constitue la base d’un projet pilote lancé à Genève en 2010 pour tester la création et l’utilisation d’un dossier électronique du patient au sein d’un réseau de professionnels de la santé. Les cantons d’Argovie, de Berne, de Genève et du Valais ont créé des bases légales pour l’utilisation de la carte d’assuré selon l’art. 42a LAMal31 dans le cadre d’essais pilotes cantonaux. Des projets législatifs en la matière sont en cours d’élaboration dans les cantons de Bâle-Ville et de Lucerne. Il existe en outre dans les cantons d’Argovie, de Berne, de Vaud et de Zurich des bases légales qui permettent d'obliger les professionnels de la santé à se coordonner et à exploiter les synergies, p. ex., en utilisant des infrastructures informatiques communes.32
28 Cf. eHealth Suisse : inventaire des bases légales dans les cantons. Berne : 2010. 29 P. ex., le Tessin a mené de 2004 à 2007 un « projet pilote eHealth » intitulé Carta Sanitaria. Ce projet a testé l’utilisation d’une carte d’assuré contenant des données d’urgence. Il est à présent terminé et a fait l’objet d’une évaluation. Il reposait sur les bases légales cantonales en vigueur. Cf. : http://www.retesan.ch/it/125/carta_sanitaria.aspx 30 Loi (9671) sur le réseau communautaire d'informatique médicale (e-Toile : K 3 07). Cf. : http://www.e-toile-ge.ch. 31 RS 832.10 32 Les dispositions cantonales ne seront pas présentées en détail ici. Elles peuvent être consultées dans la base de données de l’institut du fédéralisme : www.lexfind.ch.
17
1.5 Travaux préparatoires
Sur la base des recommandations du projet partiel « bases légales »33 d’« eHealth Suisse » (organe de coordination Confédération-cantons), le Conseil fédéral a chargé le DFI, le 21 octobre 2009, de lui soumettre avant fin 2010 un rapport sur la réglementation nécessaire pour atteindre les objectifs fixés dans la « Stratégie Cybersanté (eHealth) Suisse ». Ce rapport devait notamment indiquer si une nouvelle base constitutionnelle doit être créée. Il devait en particulier aborder les thématiques suivantes : – inscription dans la loi du dossier électronique du patient et d’autres applications de cybersanté ; – inscription dans la loi de l’identification et de l’authentification des participants au système ; – concrétisation de la protection et de la sécurité des données ; – inscription dans la loi des droits et des devoirs des participants au système ; – inscription dans la loi d’« eHealth Suisse » (organe de coordination Confédération-cantons) ; – concrétisation d’autres thèmes tels que la responsabilité, la surveillance, le financement, les sanctions applicables et les mesures ; – interopérabilité des solutions suisses avec d’autres projets internationaux similaires, notamment en Europe.
Proposition du « groupe d’experts cybersanté » Le 8 décembre 2009, le DFI a constitué le « groupe d’experts cybersanté » chargé d’élaborer le rapport demandé par le Conseil fédéral. Ce groupe devait soumettre, avant la fin septembre 2010, un rapport portant sur l’objet, les instruments et les variantes possibles d’une réglementation légale. Il devait notamment établir une distinction entre les domaines qui pouvaient être régis par la Confédération en vertu des bases constitutionnelles en vigueur, et ceux qui relèvent des cantons. Le groupe d’experts a commencé son travail le 2 février 2010 et a développé un premier projet de rapport au cours de six séances, dont la dernière s’est tenue en juin
2010. Conformément au mandat du DFI, ce projet a fait l’objet de discutions au
cours de deux auditions informelles, les 20 et 23 août 2011, respectivement avec les administrations fédérales concernées et avec les milieux concernés et intéressés. Les commentaires émis au cours de ces deux réunions ont été pris en compte pour remanier le rapport. Le groupe d’experts a soumis la version définitive au DFI le 30 septembre 2010.34 Dans sa conclusion, il indique que les trois points suivants sont cruciaux pour que la réglementation juridique permette d’atteindre les objectifs visés :
33 Cf. : http://www.e-health-suisse.ch/umsetzung/00146/00157/index.html?lang=fr
34 Mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse » : recommandations relatives à la réglementation légale : Rapport du « groupe d’experts Cybersanté » à l’intention du Département fédéral de l’intérieur (DFI). 30 septembre 2010. Téléchargeable sous : http://www.bag.admin.ch/themen/gesundheitspolitik/10357/10359/index.html?lang=fr
18
– Se limiter à l’essentiel : la réglementation doit, dans une première phase, se limiter à l’objectif premier d’un dossier électronique du patient, à savoir améliorer et optimiser les processus de traitement. En renonçant à introduire des exigences contraignantes pour les patients et/ou les professionnels de la santé (principe du « caractère doublement facultatif »), on tient également compte de l’autodétermination des patients en matière d’information. Par la suite, la réglementation nécessaire à l’introduction d’un dossier électronique du patient dépassant le cadre des communautés se limitera en particulier à la définition de standards unifiés pour l’échange et la liaison de données concernant les patients, de directives pour certaines composantes d’infrastructure coordonnées au niveau national (p. ex., moyens d’identification, registres et services de référence), ainsi qu’à la mise en place de la protection des données ; – Procéder par étapes : à travers les mesures à court et moyen termes (cf. ci- dessous) proposées pour la première phase de la réglementation légale, la mise en œuvre se limite à l’essentiel. Une réglementation étendue de l’application de la « Stratégie Cybersanté (eHealth) Suisse » ne sera envisagée qu’à un stade ultérieur ; – Mesures d’accompagnement : la sécurité des investissements pouvant être atteinte au moyen d’une réglementation légale ne suffira pas à la généralisation du dossier électronique du patient. Des mesures plus poussées d’encouragement des essais pilotes cantonaux et régionaux, ainsi que des incitations destinées aux patients et aux professionnels de la santé seront nécessaires pour aider le dossier électronique du patient à atteindre une taille critique. Outre un engagement financier de la Confédération et des cantons, cela peut nécessiter des investissements de la part des acteurs privés et des assureurs sociaux.
Concrètement, le groupe d’experts propose de procéder en trois étapes : – Mesures à court terme : le succès de la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse » dépendra dans une large mesure de la possibilité de fixer des standards techniques et organisationnels pour l’introduction d’un dossier électronique du patient dépassant le cadre des communautés et pour la sécurité des échanges de données qui y sont liés. Il faut examiner s’il est possible d'édicter des dispositions d’exécution pour la fixation et le respect de standards et, si tel est le cas, sur la base de quelle loi fédérale en vigueur.35 De plus, les communautés affiliées et les opérateurs de portails d’accès électroniques doivent garantir le respect des standards fixés. Le contrôle des conditions posées par les autorités devrait, de l'avis du groupe d'experts, être effectué par des organismes de certification privés ; – Mesures à moyen terme : parallèlement aux mesures à court terme, il faut prévoir une loi visant à protéger la personnalité des patients lors du traitement de données sanitaires produites dans le cadre d’examens et de traitements médicaux ainsi que lors de mesures individuelles de prévention
35 P. ex., loi fédérale du 19 juin 1992 sur la protection des données (LPD, RS 235.1) ; loi fédérale du 12 juin 2009 sur la sécurité des produits (LSPro, RS 930.11) ; loi fédérale du 6 octobre 1995 sur les entraves techniques au commerce (LETC, RS 946.51).
19
et de dépistage des maladies et qui sont rendues accessibles, de manière intercommunautaire, aux personnes autorisées dans le cadre du dossier électronique du patient. Cette loi pourrait s’appuyer sur les art. 95 (activité économique lucrative privée) et 122 (droit civil) Cst. ; – Mesures à long terme : seule une compétence fédérale clairement établie garantira que les développements futurs dans le domaine de la cybersanté pourront être pris en compte, ce qui n’est pas possible dans l’état actuel du droit constitutionnel. Aussi le groupe d’experts recommande-t-il, en cas de révision globale des dispositions constitutionnelles relatives à la santé, de créer une base pour le domaine de la cybersanté. Il estime qu’élaborer une « norme constitutionnelle relative à la cybersanté » spécifique ne serait pas réellement approprié : la compétence fédérale nécessaire pour créer réglementation exhaustive devrait plutôt être traitée dans le cadre d’une norme constitutionnelle requise pour édicter une « loi sur la santé » à l’échelon fédéral.
Analyse d’impact de la réglementation (AIR) L'AIR relative à la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse » figure à l'annexe « Evaluations les plus importantes » des objectifs du Conseil fédéral pour 2010 comme une des AIR à mener de manière approfondie. Entre juillet et septembre 2010, soit parallèlement aux auditions informelles conduites par le « groupe d’expert eHealth », une première phase de l'AIR a été menée en collaboration avec le Secrétariat d’Etat à l’économie (SECO) sur la base du projet de rapport du 30 juin 2010 élaboré par le groupe d’experts. Cette AIR, menée dans le cadre d’un mandat externe à l’administration, comportait notamment une modélisation et une évaluation globale des effets que pourraient engendrer une introduction et une mise en réseau accélérées des systèmes d’informations cliniques pour constituer un dossier électronique du patient, analyse déjà réalisée sous une forme similaire dans d’autres pays. Le Conseil fédéral a pris sa décision (cf. chap. 1.6) en se basant notamment sur les trois critères suivants parmi les cinq critères d’examen de l’AIR36 : – Nécessité et possibilité d’une intervention de l’Etat : un marché de la cybersanté qui se développe sans intervention de l’Etat ne verra que tardivement l’introduction et la mise en réseau généralisées des systèmes d'information clinique. Des standards unifiés pour l’échange et la liaison de données concernant les patients offrent de considérables effets de réseau positifs par rapport à des standards non coordonnés : l’utilité du dossier électronique du patient augmente avec le degré de mise en réseau de tous les professionnels de la santé. Une intervention de l’Etat telle que la réglementation légale proposée par le « groupe d’experts cybersanté » favorise une diffusion plus rapide et, ainsi, l’obtention d’une masse critique de participants au dossier électronique du patient. Des effets de réseau ne peuvent être escomptés que lorsque cette masse est atteinte. Dans ce cas, il devient intéressant pour la plupart des acteurs du système sanitaire de participer activement à la mise en place du dossier électronique du patient et
36 Les deux autres critères sont « Effets sur les différents groupes sociétaux » et « Adéquation dans l’exécution ».
20
de soutenir la continuité tout au long de la chaîne de soins. En raison des effets de réseau, il est théoriquement envisageable qu'un standard unifié s’impose à long terme même sans coordination. Enfin, l’application de la protection des données représente un intérêt public légitime. Sans cette protection, le manque de confiance de l’utilisateur potentiel pourrait compromettre la diffusion du dossier électronique et, donc, la réalisation du potentiel économique correspondant. – Conséquences pour l’économie globale : d'un point de vue (socio-) économique, la mise en place des mesures proposées devrait, à long terme, améliorer le traitement des patients et la qualité des soins, et renforcer l’efficience du système de santé. Par contre, la technologie de la cybersanté engendre des coûts d’investissement et de maintenance ainsi que des frais administratifs et des coûts liés à la modification des processus. – Réglementations alternatives : de nombreuses réglementations alternatives ou complémentaires sont concevables, dont l’analyse n’était pas possible dans le cadre de la première phase de l’AIR. Une alternative aux recommandations du « groupe d’experts cybersanté », assortie d’un financement de départ et d’un régime obligatoire, a été étudiée. Les calculs ont montré qu’elle permettrait d’accélérer fortement la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse », avec les bénéfices correspondants. Cette alternative est cependant liée à des coûts d’investissement élevés de la part de l’Etat, présentant donc également des inconvénients pour les pouvoirs publics. Sur le plan socio-économique, le bénéfice net cumulé devrait être à peine plus élevé qu’avec la réglementation proposée. Les ressources financières limitées de l’Etat ne permettent pas de justifier le choix de cette alternative. Le cas de référence (sans réglementation) a également fait l’objet de recherches en même temps que la réglementation alternative. Dans ce cas aussi, les efforts entrepris par certains acteurs pour introduire des systèmes d’information cliniques occasionneraient des coûts, sans pour autant obtenir des bénéfices aussi élevés pour l'ensemble de la société que la réglementation proposée.
1.6 Mandat du Conseil fédéral
Comme mentionné au chiffre 1.5, le rapport du « groupe d'experts cybersanté » daté du 30 septembre 2010 parvenait à la conclusion qu'une réglementation légale pour la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse » devait, dans une première phase, se limiter au but premier du dossier électronique du patient, à savoir améliorer et optimiser les processus de traitement ; cette réglementation devrait également intégrer le caractère facultatif pour les patients comme pour les professionnels de la santé. Par ailleurs, le groupe d’experts propose une procédure en plusieurs étapes, assorties de différentes mesures d’accompagnement. La modélisation effectuée lors de l'AIR démontre que, sans réglementation légale, la diffusion du dossier électronique du patient ne se fera que très lentement. D'un point de vue (socio-) économique, la mise en place des mesures proposées devrait, à long terme, améliorer le traitement des patients et la qualité des soins, et renforcer l’efficience du système de santé.
21
Le Conseil fédéral a suivi ces recommandations et a chargé le DFI, le 3 décembre 2010, de lui soumettre un avant-projet de réglementation fédérale pour l'introduction d’un dossier électronique du patient dépassant le cadre des communautés, assorti d’un rapport explicatif. Ces documents serviront de base pour l’ouverture de la procédure de consultation. Les bases légales spécifiques doivent créer les conditions requises pour garantir un échange de données sécurisé et conforme aux dispositions sur la protection des données, entre les institutions sanitaires et les professionnels de la santé impliqués dans le processus de traitement des patients. Le dossier électronique du patient vise notamment à améliorer la qualité des soins médicaux et la sécurité des patients. La réglementation fédérale (loi spéciale et modification de lois en vigueur) doit notamment couvrir les domaines suivants : – exigences matérielles pour garantir la protection des données : but du traitement de données, réglementations d’accès, etc. ; – réglementation de l’identification et de l’authentification, ainsi que des moyens d’identification nécessaires (y compris les registres et processus d’émission nécessaires) ; – sélection et détermination des normes et exigences pour garantir l’interopérabilité et la sécurité des données ; – exigences pour la certification des communautés et d’autres participants au système ; – structures durables pour encourager la collaboration au niveau national ; – réglementation de la participation des pouvoirs publics au financement.
1.7 Méthode d’élaboration de l’avant-projet
Les travaux préparatoires internes à l’administration concernant l’avant-projet de loi fédérale sur le dossier électronique du patient (LDEP) ont été menés avec le concours des cercles concernés et intéressés, de divers experts, et en étroite collaboration avec le projet partiel « Normes et architecture » d’« eHealth Suisse » (organe de coordination Confédération-cantons). En outre, certains documents de travail ont été soumis pour prise de position début mai 2011 à des représentants des cantons ainsi qu’à des représentants d’organisations et d’institutions publiques et privées choisies, dans le cadre d’une consultation informelle.
2 Réglementation proposée
2.1 Contexte
En Suisse, il n’existe pas encore de réglementation légale fixant des conditions- cadres pour l’introduction d’un dossier électronique du patient dépassant le cadre des communautés. La réglementation proposée doit poser au niveau fédéral les conditions encadrant la mise à disposition et la requête de données importantes pour le traitement, dans le cadre d’un dossier électronique du patient harmonisé à l’échelle nationale. Ainsi, une condition importante pour réussir la mise en œuvre de la « Stratégie Cybersanté (eHealth) Suisse » serait remplie.
22
2.2 Solutions potentielles étudiées
Au cours des travaux préparatoires, il a notamment été question de savoir si les réglementations légales nécessaires à l’introduction d’un dossier électronique du patient dépassant le cadre des communautés pouvaient être directement intégrées dans les lois spéciales en vigueur ou dans le droit d’exécution correspondant, plutôt que de créer une nouvelle réglementation spéciale. Cette variante a dû être rejetée pour les raisons présentées ci-dessous. Réglementation au niveau de l’ordonnance Une étude a été entreprise pour déterminer si les conditions nécessaires au bon fonctionnement de l’échange de données (interopérabilité), de la protection et de la sécurité des données pouvaient être créées sur la base des lois fédérales en vigueur. Il en ressort que le cadre légal existant (loi fédérale du 19 juin 199237 sur la protection des données [LPD], loi fédérale du 12 juin 200938 sur la sécurité des produits [LSPro], loi fédérale du 6 octobre 199539 sur les entraves techniques au commerce [LETC]) ne permet pas d’édicter des ordonnances d’exécution relatives à la définition et au respect de normes et de standards. Intégration dans la LAMal Comme l’« Architecture eHealth Suisse » (cf. chap. 1.3 ci-dessus) prévoit que la carte d’assuré selon l’art. 42a LAMal40 puisse être utilisée comme moyen d’identification pour les patients, constituant ainsi leur clé d’accès au dossier électronique du patient, il a été envisagé d’intégrer la disposition exclusivement à la LAMal41. En vertu de la décision du Conseil fédéral du 3 décembre 2010 et conformément aux recommandations du « groupe d’experts cybersanté », le dossier électronique du patient doit contribuer à améliorer et à optimiser le traitement des patients. Ainsi, il ne constitue pas un instrument d’assurance sociale mais relève de la relation (de droit privé) entre le patient et le professionnel de la santé. Se contenter d’intégrer les dispositions légales prévues à la LAMal42 ne serait donc pas adapté.
Intégration dans la partie générale du droit des assurances sociales La partie générale du droit des assurances sociales43 coordonne le droit des assurances sociales. Elle règle principalement la relation entre l’assuré et ces
37 RS 235.1 38 RS 930.11 39 RS 946.51 40 RS 832.10 41 RS 832.10 42 RS 832.10 43 Loi fédérale du 6 octobre 2000 sur la partie générale du droit des assurances sociales (LPGA, RS 830.1).
23
assurances44. La LPGA45 comporte des règles procédurales multisectorielles, c.-à-d. valables pour toutes les assurances sociales, pour faire valoir les droits et les devoirs (art. 1, LPGA). L’art. 32 LPGA46 régit le recours aux données pour la gestion des processus juridiques d’assurance sociale dans le cadre de l’assistance administrative. En revanche, le traitement des données, y compris leur divulgation, n’est pas régit par la LPGA, mais par les différentes lois sur les assurances sociales, car les prescriptions varient d’une assurance à l’autre. Comme mentionné plus haut, le dossier électronique du patient concerne principalement les relations entre le professionnel de la santé et ses patients : il ne s’agit pas d’un thème juridique commun à plusieurs assurances sociales.
Intégration à la LPMéd Le dossier électronique du patient pourrait également être inscrit dans la LPMéd47, qui se base sur l’art. 95 Cst.48 et qui régit la formation et les conditions pour l’exercice à titre économique privé des professions de la santé. L’art. 40 LPMéd49 fixe les devoirs professionnels associés aux métiers entrant dans son domaine d’application. Il s’agit de clauses générales qui pourraient être concrétisées grâce à une obligation de mettre des données importantes pour le traitement à disposition dans le dossier électronique du patient. Mais le fait que le champ d’application de la LPMéd50 soit limité est problématique. Pour l’instant, il ne concerne que les personnes exerçant une profession médicale universitaire à titre indépendant et à titre économique privé avec une autorisation cantonale. En particulier, elle ne concerne pas les professionnels de la santé qui exercent dans le domaine public, c.-à-d. les employés des hôpitaux cantonaux dans des fonctions non soumises à autorisation, car les hôpitaux publics sont exclus du champ d’application de l’art. 95 Cst.51 Les cantons devraient donc édicter des règles analogues pour les professions dont l’exercice relève de leur compétence. Ainsi, la participation des institutions de soins de droit public au dossier électronique du patient dépendrait de l’adaptation par les cantons de leur législation sanitaire. Les différences cantonales qui en résulteraient contrecarreraient l’objectif d’atteindre un échange de données dépassant le cadre des communautés et unifié pour toute la Suisse.
44 Loi fédérale du 20 décembre 1946 sur l’assurance-vieilleisse et survivants (LAVS, RS 831.10) ; loi fédérale du 19 juin 1959 sur l’assurance-invalidité (LAI, RS 831.20) ; loi fédérale du 6 octobre 2006 sur les prestations complémentaires à l’AVS et à l’AI (LPC, RS 831.30) ; loi fédérale 20 juin 1952 sur les allocations familiales dans l’agriculture (LFA, RS 836.1) ; loi fédérale du 24 mars 2006 sur les allocations familiales (loi sur les allocations familiales, LAFam, RS 836.2) ; loi fédérale du 25 juin 1982 sur l’assurance- chômage obligatoire et l’indemnité en cas d’insolvabilité (loi sur l’assurance-chômage, LACI, RS 837.0) ; LAMal ; loi fédérale du 20 mars 1981 sur l’assurance-accidents (LAA, RS 832.20) ; loi fédérale du 19 juin 1992 sur l’assurance-militaire (LAM, RS 833.1). 45 RS 830.1 46 RS 830.1 47 RS 811.11 48 RS 101 49 RS 811.11 50 RS 811.11 51 RS 101
24
Intégration à la LPD Des réglementations matérielles spécifiques à un domaine ne peuvent être intégrées dans la LPD52. En raison de la répartition des compétences entre la Confédération et les cantons, cette loi porte sur les règles de base pour le traitement des données par les organes fédéraux et par les personnes privées, mais ne régit pas le traitement concret des données dans certains domaines. Lorsque que la Constitution fédérale accorde à la Confédération une compétence en matière d’exécution des tâches, cette compétence doit figurer dans la législation spéciale correspondante. C’est également valable pour les réglementations correspondantes sur la protection des données, qui sont alors contraignantes pour tous les organes d’exécution, fédéraux comme cantonaux, en tant que réglementations matérielles spéciales.
2.3 Nouvelle réglementation proposée
Le dossier électronique du patient permet aux professionnels de la santé d’accéder à des données importantes pour le traitement de leurs patients et qui ont été établies par d’autres communautés. En outre, il devrait permettre aux patients mêmes d’accéder directement à leurs propres données et de gérer l’attribution des droits d’accès. Le présent avant-projet de loi a exclusivement pour objectif de créer les conditions- cadres nécessaires pour un dossier électronique du patient dépassant le cadre des communautés (art. 1, al. 1). Les prescriptions fédérales et cantonales en vigueur relatives à la manipulation des données de patients ne seront pas concernées. Ainsi, p. ex., les règles de responsabilité générales, l’obligation de documentation à laquelle sont soumis les professionnels de la santé, le devoir de discrétion et les dispositions pénales du code pénal suisse du 21 décembre 193753 (CP) ainsi que d’autres dispositions spéciales ne seront pas affectés par l’avant-projet de loi présenté ici. De plus, cet avant-projet ne vise pas à réglementer les échanges de données entre les professionnels de la santé et les assureurs sociaux, c.-à-d. en particulier la facturation ou la garantie de prise en charge électroniques. L’envoi électronique direct de données par des professionnels de la santé à leurs pairs, à des patients ou à des assurances sociales est également exclu du domaine d’application de la loi. De plus, ce projet de loi réglemente exclusivement des exigences pour la mise à disposition et la requête de données entre des communautés. L’organisation interne des communautés est affectée uniquement si elle est l’objet des conditions de certification. Le présent avant-projet n’a pas non plus pour objet les réglementations qui sont nécessaires pour utiliser les données contenues dans le dossier électronique du patient pour développer des registres de maladies ou de diagnostic, à des fins de statistiques ou de recherche, ou encore pour optimiser des processus administratifs. Si des réglementations dans ce sens devaient voir le jour ultérieurement, il faudrait les introduire par voie de droit spécial.
52 RS 235.1 53 RS 311.0
25
Les expériences faites à l’étranger montrent que la sécurité des investissements atteinte grâce à la réglementation des conditions techniques et organisationnelles ne suffira pas bien qu’elle soit indispensable pour introduire, diffuser et continuer de développer le dossier électronique du patient de manière généralisée. L’avant-projet contient donc aussi des mesures d’accompagnement (art. 1, al. 2). En revanche, l’idée de créer un fonds destiné à financer des contributions à l’infrastructure, soutenue par les associations de fournisseurs de prestations, a été abandonnée pour des raisons de politique financière. D’une part, les perspectives financières des pouvoirs publics ne permettent pas de justifier les montants en question. D’autre part, les solutions qu’offre la création d’un fonds présentent le risque que les ressources seront utilisées de manière inefficace. L’objectif du dossier électronique du patient, en matière de politique de la santé, est d’améliorer la qualité des processus thérapeutiques, la sécurité des patients ainsi que l’efficience du système sanitaire (art. 1, al. 3). Caractère facultatif Pour favoriser l’acceptation et le succès du dossier électronique du patient, il est crucial que les « applications de cybersanté » puissent se développer sans contrainte légale (voir également les commentaires relatifs à l’art. 1, al. 1 sous le chap. 3.1). En vertu du principe d’autodétermination en matière d’information, chacun décide s’il souhaite se faire créer un dossier électronique du patient et détermine l’étendue des droits d’accès attribués à ses professionnels de la santé. La participation étant facultative, il est bien entendu possible de la révoquer à tout moment, conformément aux règles habituelles de droit privé. A l’exception des fournisseurs de prestations selon les art. 39 et 49a, al. 4, LAMal54 auxquels renvoie l’art. 18, le principe du caractère facultatif vaut également pour les professionnels de la santé. Ils sont eux aussi libres de choisir s’ils souhaitent créer les conditions nécessaires pour mettre à la disposition de leurs pairs, sous forme électronique, des données importantes pour le traitement de leurs patients. Toutefois, s’ils ont décidé de s’affilier à une communauté certifiée, ils sont tenus de rendre accessibles dans le dossier électronique les données pertinentes pour le traitement du patient, pour autant que celui-ci ait donné son consentement (art. 6). L’obligation faite aux hôpitaux conventionnés et aux maisons de naissance selon l’art. 49a, al. 4, LAMal, ainsi qu’aux fournisseurs de prestations définis à l’art. 39, LAMAL, c.-à-d. aux institutions qui fournissent des prestations hospitalières pour le traitement de maladies aiguës ou des mesures de réadaptation médicale, ou bien les soins adressés à des patients pour une longue durée dans le cadre de l’assurance obligatoire des soins, vise à atteindre dès le début une masse critique d’utilisateurs, afin de permettre au dossier électronique du patient de s’implanter rapidement. Une durée de transition de 5 ans est prévue pour la mise en œuvre de cette condition (art. 19, al. 2).
Consentement et attribution de droits d’accès Les données pertinentes pour le traitement qui peuvent être mises à disposition et faire l’objet de requêtes via le dossier électronique du patient constituent des données sensibles au sens de la LPD55. Ces données ne peuvent être traitées dans le
54 RS 832.10 55 RS 235.1
26
cadre du dossier électronique du patient qu’avec le consentement du patient (art. 3, al. 2). Le succès et l’acceptation du dossier électronique du patient dépendent en grande partie des réglementations relatives aux droits d’accès (art. 4) : elles doivent permettre aux patients d’attribuer les droits d’accès de manière individuelle et par degrés.
Identification et authentification Pour que les données puissent être mises à disposition et faire l’objet de requêtes en toute sécurité, patients et professionnels de la santé doivent impérativement disposer d’une identification et d’une authentification univoques. C’est le seul moyen de garantir que les données soient attribuées sans équivoque à un patient donné et que toutes les données disponibles apparaissent en réponse à une requête. L’art. 5 réglemente les exigences relatives à l’identité électronique des patients et des professionnels de la santé. Conformément à l’art. 50e de la loi fédérale du 20 décembre 194656 sur l’assurance- vieillesse et survivants (LAVS), l’art. 5, al. 3, crée la base légale spéciale nécessaire pour que le Conseil fédéral puisse envisager l’utilisation du numéro d’assuré selon l’art. 50c LAVS (NAVS13) comme l’un des caractères pour l’identification des patients entre les communautés. Cette utilisation est explicitement restreinte à l’identification des patients dans le cadre d’une requête de données dépassant les communautés. Le NAVS13 ne doit donc pas figurer dans les données enregistrées de manière décentralisée dans les archives et il ne doit pas non plus être inscrit dans les métadonnées. Ainsi, il est impossible d'associer des données médicales à d’autres informations personnelles à partir du NAVS13. Plusieurs médias peuvent être utilisés comme moyen d’identification57 ou comme support de l’identité électronique, tels que la carte d’assuré selon l’art. 42a LAMal58, la Suisse-ID, la « carte de professionnel de la santé » (attestation électronique justifiant de la qualité de fournisseur de prestation) ou un autre système. Etant donné qu’ils sont sans cesse soumis à l’évolution technologique, le moyen d’identification n’est pas fixé dans la loi. Au lieu de cela, le Conseil fédéral reçoit la compétence de déterminer les moyens d’identification autorisés et les exigences relatives à leurs procédure d’émission (art. 5, al. 4).
Certification Pour garantir une mise à disposition et une requête sécurisées des données, tous les participants (communautés, portails d’accès pour les patients, éditeurs de moyens d’identification électronique pour les patients et les professionnels de la santé, fournisseurs de plates-formes de communication entre les communautés) doivent respecter certaines exigences minimales. Le respect de ces conditions techniques et organisationnelles sera garanti à l’aide d’une procédure de certification menée par des organismes de certification accrédités (art. 7 à 9).
56 RS 831.10 57 Un moyen d’identification ou security token (ou token) est un composant informatique servant à identifier et authentifier des utilisateurs. Cf. Normes et architecture – Recommandations III : Identification de personnes et système d’autorisation. Rapport en vue de l’audition. Berne : 8 juin 2011, p. 9. Téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr. 58 RS 832.10
27
Le Conseil fédéral déterminera dans le droit d’exécution les critères de certification (art. 8) ainsi que la procédure de certification (art. 9). Les exigences à l’égard des organismes de certification (accréditation) seront également régies par le droit d’exécution (art. 9, let. a). Les travaux préparatoires nécessaires à l’élaboration des dispositions d’exécution (détermination de normes, de standards et de profils d’intégration) jouent un rôle capital pour la mise en œuvre et le succès de la loi. La Confédération s’assurera auprès de tiers de disposer des connaissances techniques nécessaires à cet égard, par le biais de mandats de prestations. En effet, ces travaux peuvent être qualifiés de tâches administratives de soutien. Ils seront financés conjointement par la Confédération et les cantons. L’art. 10 règle les possibilités étendues de participation des cantons et des organisations concernées, qui s’écartent du droit habituel de la consultation. Tâches de la Confédération En vertu de l’art. 11, la Confédération gère les registres nécessaires pour garantir que la mise à disposition et la requête de données soient sécurisées et exploite les services de recherche de données ainsi qu’un point de contact national pour la requête transfrontalière de données. L’une des mesures d’accompagnement consiste à mettre à la disposition de la population des informations et des bases décisionnelles adéquates pour l’utilisation du dossier électronique du patient. Par le biais d’activités d’information spécifiques à des groupes cibles, la Confédération encourage une diffusion aussi large que possible du dossier électronique du patient (art. 12). En outre, la Confédération doit promouvoir la collaboration entre les cantons et d’autres milieux intéressés, en encourageant le transfert des connaissances et l’échange d’expérience entre ces acteurs (art. 13).
Mise en œuvre Afin de promouvoir la collaboration entre elle et les cantons, la Confédération peut, en vertu de l’art. 13, al. 2, créer un organisme de droit privé ou s’y associer. En outre, le Conseil fédéral peut (en vertu de l’art. 16, al. 1) charger des tiers de remplir les tâches visées à l’art. 11, al. 1 et 2 ainsi qu’aux art. 12 et 13. Les bases légales nécessaires pour transférer à des tiers spécialisés des tâches techniques telles que la gestion et l’exploitation de registres et de services de recherche de données sont ainsi créées. Elles permettent également de confier à un organisme de droit privé l’exécution de tâches nécessitant une collaboration étroite entre la Confédération, les cantons et les acteurs du domaine de la santé. Ce même organisme peut également reprendre la coordination des travaux préparatoires en vue de déterminer les critères de certification, étant donné qu’il s’agit de tâches administratives de soutien qui peuvent être attribuées par le biais d’un mandat de prestations. Le transfert de certaines tâches à un comité national de coordination devant dans tous les cas encore être créé permet d’associer étroitement les cantons et, si nécessaire, d’autres acteurs importants du domaine de la santé aux travaux de préparation et d’exécution liés au dossier électronique du patient et de proposer ainsi des solutions adaptées aux utilisateurs. L’énumération ci-après donne un aperçu des
28
tâches qui peuvent être prises en charge par l’organisation qui succèdera à l’organe de coordination Confédération-cantons « eHealth Suisse ».59 La personne morale à créer serait responsable de la coordination de la préparation en vue de la détermination de normes, de standards et de profils d’intégration (art. 8, al. 1, let. a). Le droit d’exécution ne pourrait évidemment pas les édicter lui-même ; cette tâche incombe au Conseil fédéral. Les organisations de standardisation existantes doivent prendre part à l'exécution des tâches. Par ailleurs, le comité de coordination aurait la possibilité d’octroyer des mandats pour élaborer, compléter et mettre à jour les normes, les standards et les profils d'intégration. Ceci permet de tenir compte des spécificités propres à chaque pays si, par exemple, certains points doivent s’écarter des normes internationales ou si de nouvelles dispositions sont nécessaires dans un domaine particulier. En outre, l’information selon l’art. 12 et la promotion de la collaboration selon l’art. 13 pourraient également être transmises à la personne morale de droit privé à créer. La transmission de ces tâches correspond à la nature de l’organe de coordination Confédération-cantons « eHealth Suisse » actuel, qui sert de passerelle entre la Confédération et les cantons et contribue à ce que ces mesures soient mieux acceptées au niveau politique. Les particularités liées à la forme juridique de droit privé du comité national de coordination, à l’organisme responsable et à son financement ainsi que la participation des cantons aux tâches et au financement de ce dernier, seront précisées sur la base des résultats de la procédure de consultation. Comme c’est déjà le cas actuellement, le financement de l’organisme qui succèdera à l’organe de coordination et des tâches qui lui seront transférées ne doit pas être supporté uniquement par la Confédération. Vu la compétence fondamentale des cantons en ce qui concerne les soins de base et les tâches centrales confiées à cet organe, le Conseil fédéral estime qu'il est justifié que la Confédération et les cantons assument chacun la moitié du financement. Les modalités de financement seront réglées conjointement avec les cantons.
Autres dispositions L’avant-projet de loi règle en outre les points suivants, qui sont nécessaires à l’introduction du dossier électronique du patient : – les compétences du Conseil fédéral pour conclure des accords internationaux sur la participation à des programmes et des projets internationaux promouvant le traitement électronique de données dans le domaine de la santé ainsi que l’adhésion à des comités internationaux promouvant la mise en réseau électronique dans le domaine de la santé (art. 14) ; – l’évaluation de la loi (art. 15) ; – les dispositions pénales nécessaires pour punir les accès non autorisés aux données (art. 17).
59 Cette personne morale de droit privé peut prendre en charge d’autres tâches n’entrant pas dans le domaine d’application, pour autant que les bases légales correspondantes existent.
29
2.4 Concordance des tâches et des moyens financiers
L’avant-projet de loi décrit les tâches qui incomberaient à la Confédération si cette loi était promulguée. En plus de la certification selon les art. 7 à 9, elle devrait gérer les registres (art. 11, al. 1) et exploiter les services de recherche de données nécessaires ainsi que le point de contact national pour la requête transfrontalière de données (art. 11, al. 2). Relèveraient également de sa compétence l’information à la population (art. 12) et la promotion de la collaboration (art. 13). Les conséquences financières de ces tâches sur le budget de la Confédération et les alternatives de financement sont détaillées au chiffre 4.
2.5 Développements internationaux et rapports avec le droit
européen
2.5.1 Développements internationaux
Allemagne Le système allemand repose sur une forte régulation nationale du volet technologique (effet « top down »). La loi sur la modernisation de l’assurance maladie légale (Gesetz zur Modernisierung der gesetzlichen Krankenversicherung, GMG) du 14 novembre 200360 contraint les caisses-maladies à transformer la carte d’assurance-maladie en carte de santé électronique. En effet, le développement de la cybersanté en Allemagne repose sur cette carte électronique : elle constitue la clé d’accès des patients à toutes les offres de cybersanté. La carte de santé électronique a pour priorités la gestion sécurisée des données-clé des assurés et la mise à disposition des informations médicales les plus importantes en cas d’urgence (données d’urgence). Une communication sécurisée entre médecins a également été mise en place. La carte de santé électronique, la pièce d’identité électronique des professionnels de la santé remise aux fournisseurs de prestations ainsi que l’infrastructure télématique permettent d’encoder les données des patients et de contrôler efficacement les accès. Elles constituent ainsi la base nécessaire à une mise en réseau électronique avec accès contrôlé. Les associations faîtières du système sanitaire, qui regroupent des fournisseurs de prestations et les acteurs le finançant, assument la responsabilité politique pour l’introduction de la carte de santé électronique. Comme le prescrit la loi (§ 291b, SGB V), ils ont fondé un organisme professionnel pour la carte de santé électronique (Gematik), sise à Berlin et dans laquelle ils font office de sociétaires. « Gematic » est chargée de la mise en œuvre technique du projet et gère certaines composantes d’infrastructure centrales. Elle surveille l’exploitation de l’infrastructure télématique et élabore des concepts et des spécifications nécessaires pour définir des composantes, des services et des processus. Grâce à une procédure d’autorisation réglementée, elle s'assure que seuls des composantes et les services conformes aux spécifications et aux exigences soient utilisés dans l’infrastructure télématique. A sa demande, de vastes essais pilotes ont été lancés dans six régions, au sein de cabinets médicaux, de cliniques et de pharmacies. Gematik coordonne les activités dans les régions modèles et introduit les résultats dans ses concepts.
60 BGBl. I p. 2190 / http://www.bgbl.de/Xaver/start.xav?startbk=Bundesanzeiger_BGBl
30
L’introduction de la carte de santé électronique et de l’infrastructure télématique est inscrite dans la loi. Les réglementations correspondantes sont principalement rassemblées dans le code de la sécurité sociale. La promulgation de la GMG a apporté à ce dernier, ainsi qu’à d’autres lois et ordonnances, les modifications et ajouts nécessaires à la mise en réseau des soins. Gematik dispose de 130 à 150 postes à temps plein. Près de la moitié des collaborateurs s’occupent des cahiers des charges définis depuis mars 2011, et qui se divisent en 5 sous-domaines.61 L’autre moitié continue de développer les spécifications, gère la documentation déjà élaborée et s’occupe des tests d’autorisation, de l’assurance de la qualité et des ressources humaines.
Autriche En Autriche, les travaux sur la cybersanté sont désignés par l’acronyme ELGA (elektronische Gesundheitsakte, dossier médical électronique). Avant que ce projet ne soit lancé, une carte électronique d’assurance-maladie (e-Card) a été introduite en 2005, permettant la facturation électronique des prestations d’assurance. Le projet a plusieurs applications fondamentales : un portail d’accès, la lettre électronique aux médecins, les rapports électroniques pour les laboratoires et la radiologie ainsi que la prescription électronique. La coordination est assurée par la société ELGA SARL, qui remplace depuis fin 2009 la plateforme de coordination gérée par le Bund (les autorités nationales), les Lands et l'assurance sociale. Elle dispose de 21 postes à temps pleins. Cette société est chargée de mettre en œuvre le dossier ELGA (architecture et applications fondamentales). Il est nécessaire d’obtenir le consentement du patient pour créer un tel dossier. L’Autriche a édicté une législation complexe sur la cybersanté62. La loi sur la télématique de la santé et l’ordonnance du Bund sur la télématique comportent des réglementations sur la sécurité des données lors de la transmission de données sanitaires par voie électronique (il s’agit de garantir que les processus de communication soient confidentiels, infalsifiables et traçables). De plus, la loi prévoit que des informations et des services fondamentaux pour eHealth soient mis à disposition (p. ex., « service de registre eHealth » et registre des rôles des fournisseurs de prestations sanitaires). Le ministère de la santé autrichien fait office de bureau d’enregistrement. Il a recommandé des standards unifiés pour tout le pays afin de garantir l'interopérabilité.
France Avec la Carte Vitale, la France dispose déjà d’une carte d’assuré permettant la facturation électronique des prestations médicales. Toutefois, aucune donnée d’ordre médical n’est enregistrée dessus. Un précédent projet de dossier électronique du patient a été rouvert en avril 2008. L’objectif est d’introduire le « dossier médical personnel » (DMP). Avec l’Agence des systèmes d’informations partagés de santé (ASIP Santé63), l’élaboration de l’infrastructure du DMP a été transmise à un organe
61 Les cinq domaines partiels sont les suivants : infrastructure télématique de base, carte des données-clés des assurés, gestion des jeux de données d’urgence et gestion des urgences, communication entre les fournisseurs de prestations, dossiers de cas.
62 http://www.bmgfj.gv.at/cms/site/thema.html?channel=CH0708
63 STROETMANN, Karl A., et al. European countries on their journey towards national eHealth infrastructures – Final european progress report – eHealth Strategies Report. Bonn : 2011.
31
nouvellement créé. Plusieurs projets pilotes ont été menés au niveau régional, et le dossier sera introduit par étapes dans tout le pays au cours de l’année 2011. De plus, les professionnels de la santé se verront remettre une nouvelle « carte de professionnels de santé ». Une nouvelle Carte Vitale, qui comportera désormais une photographie de la personne autorisée, sera également distribuée. Associées, ces deux cartes donneront accès au dossier électronique du patient. Dans un premier temps, cet accès ne sera possible qu’en présence du patient. Quant à ce dernier, il aura à tout moment accès à son dossier par le biais d’un portail internet. Les données sont enregistrées de manière centralisée sur des « hébergeurs de données de santé à caractère personnel ». Le patient peut choisir librement son hébergeur et en changer à tout moment. Le dossier communicant de cancérologie (un dossier électronique récapitulatif établi pour les patients atteints d’un cancer), qui existe déjà depuis longtemps dans plusieurs régions françaises, sera également intégré au projet actuel du « dossier médical personnel ». Au cours des dernières années, la France a édicté de nombreuses dispositions juridiques pour promouvoir la communication électronique et la télémédecine, en particulier dans le code de la sécurité sociale. Une législation stricte sur la protection des données accorde au patient de vastes droits en matière d’information, d’accès et de blocage et exige pour tous les participants au système une grande sécurité des données.
Danemark La stratégie de cybersanté danoise remonte à 1996. Depuis, elle est régulièrement remaniée. L’Etat a participé aux coûts d’investissement, et les dossiers électroniques sont devenus une condition nécessaire pour contracter avec l’assurance-maladie. Plusieurs éléments de cybersanté sont aujourd’hui en place. Le Danemark dispose d’un portail de santé national géré en partenariat avec diverses organisations (www.sundhed.dk), d’un organe de coordination (www.medcom.dk) responsable, entre autres, des questions de standardisation, de plusieurs systèmes interopérables de dossier électronique du patient et d’un nombre de prestations de télémédecine en augmentation constante. Pour la population, l’accès en ligne est facultatif. Ce portail offre diverses fonctions : dossiers du patient, informations des patients, conseils de télémédecine, prise de rendez-vous avec les médecins et les hôpitaux, et service d’échange de données. Pour pouvoir accéder à son propre dossier, il est nécessaire de disposer d’une signature électronique et d’un numéro de sécurité sociale. Les accèssont historisés et le patient peut les contrôler. Aujourd’hui, les échanges de données avec les hôpitaux (rapports d’activité), avec les laboratoires et les pharmacies (prescriptions électroniques) ont lieu de manière électronique. Le Danemark évite d’élaborer une législation spécifique à la cybersanté. Cette thématique est plutôt développée dans la législation générale sur la santé, en particulier dans le Health Act édicté en 2008, qui pose également les règles de base pour la communication électronique (telles que les droits des patients en matière de protection des données, de personnalité, d’information et de droits d’accès, etc.). Pour éviter des solutions isolées et afin de garantir que les différentes applications numériques soient développées de manière à être uniforme et compatibles dans tout
32
le pays, une National Strategy for Digitalisation of the Health Sector 2008-2012 est entrée en vigueur le 1er janvier 2008 au Danemark64.
Pays-Bas Au cours des dernières années, une infrastructure nationale a été élaborée aux Pays- Bas pour introduire le dossier électronique du patient de manière généralisée. Les normes et standards internationaux (p. ex., HL7) ont été pris en compte. L’institut national des technologies d’information pour la santé (NICTIZ) fait office d’organe de coordination. La plateforme « Aorta » permet d’échanger des données décentralisées. Au total, les effectifs se montent à 90 temps pleins. Environ 10 de ces postes sont dédiés aux travaux d’information et de conseil, près de 40 sont attribués à la définition de solutions et de standards spécifiques au pays, et 40 autres sont chargés de mettre en place et de gérer l’infrastructure « Aorta ». Grâce au code individuel (numéro de citoyen), il est possible de déterminer où sont stockées les différentes données des patients (index de renvoi), à l’aide d’une interface nationale (National Switch Point). En principe, tous les médecins ont accès aux données. Toutefois, le patient a la possibilité d’interdire l’accès à un médecin donné. Juridiquement, l’accès n’est autorisé qu’aux médecins traitants et avec le consentement du patient. Tout les accès peuvent être contrôlés, grâce à une consignation détaillée dans des procès-verbaux. Lorsqu’ils accèdent au dossier d’un patient, les médecins ne peuvent consulter que les données pour lesquelles le patient leur a donné une autorisation dans un profil d’autorisation. Sur demande, un centre de contact des autorités peut mener une enquête que l’on soupçonne un accès abusif à des données. Si la participation au système est obligatoire pour les médecins et les pharmaciens, elle est en revanche facultative pour les citoyens, pour qui le principe du consentement présumé s’applique. Quiconque refuse d’avoir un dossier médical électronique doit le faire savoir de manière active. Autrement, on considère par défaut qu’il y a consentement. Aux Pays-Bas, l’échange de données électronique est encadré par une législation stricte. L’utilisation du numéro de citoyen dans le secteur de la santé et le dossier médical électronique sont régis par des lois spécifiques. D’autres règlementations sont également prévues par la loi sur la protection des données ainsi que dans la législation sur l’assurance-maladie et sociale.
Suède En Suède, l’introduction d’un dossier médical électronique fait partie d’une vaste stratégie nationale de cybersanté. Suite à un projet pilote couronné de succès, le dossier médical électronique a été généralisé dans deux régions fin 2010, et les autres régions doivent suivre d’ici à la fin 2011. On accède au dossier électronique du patient par le biais d’une plateforme Internet. La prescription électronique, une autre application de cybersanté, a déjà été implémentée avec succès. Le Center for Health in Sweden coordonne les travaux de mise en œuvre. La Suède n’a édicté que peu de réglementations juridiques concernant la cybersanté. Le Patient Data Act revêt une importance primordiale : il régi, en particulier, les prescriptions relatives à la protection et à la sécurité des données dans le cadre de l’utilisation des dossiers médicaux, ainsi que les droits d’accès. Ainsi, le personnel
64 https://www.sundhed.dk/Artikel.aspx?id=10129.105
33
médical est, par exemple, autorisé à consulter l’historique médical d’un patient, sans être cantonné à un secteur particulier, pour autant que celui-ci ait donné son consentement explicite. Le droit du patient à accéder de manière électronique à ses données sanitaires est également reconnu.
2.5.2 Relation au droit européen
Actuellement, notre pays n’est tenu par aucune obligation légale internationale dans le domaine de la cybersanté. Les directives et les recommandations internationales (européennes, p. ex.) sont toutefois utilisées à des fins d’orientation. La recommandation de la Commission européenne sur l’interopérabilité transfrontalière des systèmes de dossiers informatisés de santé, en particulier, revêt une grande importance.65 En outre, les recommandations et les directives suivantes doivent être prises en compte : – la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;66 – la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ;67 – la directive 2009/136/CE modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs ; – la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.68 Union européenne (UE)
La cybersanté figure déjà sur l’agenda politique de l’UE depuis la fin des années 90. Les technologies de l’information et de la communication sont plus ou moins utilisées selon les pays membres. En 2004, la Commission européenne a publié un
65 Recommandation 2008/594/CE de la Commission du 2 juillet 2008 sur l’interopérabilité transfrontalière des systèmes de dossiers informatisés de santé, JO L 190 du 18.7.2008, p. 37. 66 JO L 281 du 23.11.1995, p. 31 ; modifié par le règlement (CE) n° 1882/2003, JO L 284 du 31.10.2003, p. 1. 67 JO L 201 du 31.07.2002, p. 37 ; modifié en dernier lieu par la directive 2009/136/CE, JO L 337 du 18.12.2009, p. 11.
68 JO L 088 du 4.4.2011, p. 45.
34
« plan d’action pour un espace européen de la santé en ligne »69, et la cybersanté a été l’un des points forts du programme européen i201070 pour la promotion de l’innovation et de l’emploi. La cybersanté a pour objectif de mettre à disposition des systèmes d’information faciles d’utilisation et interactifs dans le secteur de la santé. Ces dernières années, les pays membres de l’UE et la Commission européenne se sont engagés à promouvoir l’interopérabilité et la standardisation afin de créer les bases nécessaires à la prestation de services de cybersanté. Les principales directives européennes sont la directive 95/46/CE71 et la directive 2002/58/CE72.
La directive 95/46 CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été édictée en 1995, et protège la vie privée des personnes physiques lors du traitement des données à caractère personnel. En 2002, la directive vie privée et communications électroniques 2002/58/CE est venue compléter la directive mentionnée ci-dessus. Ces deux directives fixent un standard minimal pour la protection des données, à mettre en œuvre dans les pays membres en promulguant les législations nationales adéquates. En novembre 2010, la Commission européenne a établi un concept pour réformer les prescriptions européennes existantes en matière de protection des données73. De plus, des mesures non législatives ont été adoptées, comme p. ex., la promotion de l’autorégulation et l’introduction de sigles européens de protection des données. Cette réforme vise à harmoniser les dispositions dans les Etats membres pour, d'une part, garantir le libre échange des données à caractère personnel et, d'autre part, renforcer le respect des droits des individus. En font notamment partie le principe de l’économie de donnée, les droits personnels d’accès, d’autorisation, de suppression et de blocage de l’accès aux données personnelles, ainsi que le droit au rappel de ces dernières. La Suisse n’a aucune obligation juridique envers l’UE concernant l’introduction d’un dossier électronique du patient. Pour des raisons pratiques, il faut toutefois s’assurer que le système suisse soit suffisamment compatible avec les systèmes européens pour que, le moment venu, les échanges de données électroniques internationaux puissent devenir possibles.
Projet epSOS Le projet epSOS (Smart Open Services for European Patients)74 a été lancé le 1er juillet 2008 dans l’UE. Pour l’instant, 20 pays membres y participent (et plus particulièrement des ministères de la santé, des centres de compétences nationaux et de nombreuses entreprises), ainsi que trois pays non membres.75 L’objectif est de créer les bases nécessaires au développement d’une infrastructure européenne de technologies de l’information et de la communication, permettant d’accéder à des informations électroniques sur les patients dans différents systèmes de santé
69 Plan d’action pour un espace européen de la santé en ligne, communication de la Commission du 30.4.2004, COM (2004) 356 final
70 http://ec.europa.eu/information_society/eeurope/i2010/index_en.htm
71 JO L 281 du 23.11.1995, p. 31.
72 JO L 201 du 31.7.2002, p. 37.
73 Communication COM(2010) 609 final
74 http://www.epsos.eu/epsos-home.html
75 Etat au 1.1.2011 ; cf. http://www.epsos.eu/home/about-epsos/epsos-extension.html
35
européens. epSOS se concentre sur la compatibilité ou l’interopérabilité transfrontalière des systèmes nationaux. Deux applications sont au cœur de ce projet : un « Patient Summary » (un jeu défini de données électroniques sur chaque patient) et le « ePrescription and eDispensation » (prescription électronique et envoi électronique d’informations sur les médicaments dispensés). Avec cette dernière application, le médecin envoie électroniquement la prescription à la pharmacie, qui documente, toujours électroniquement, la remise des médicaments prescrits. Participer à epSOS permettrait à la Suisse de collecter des enseignements importants sur l’échange transfrontalier de données avec d’autres pays européens. C’est pourquoi la Suisse réfléchit à une participation des HUG (Hôpitaux Universitaires de Genève). Les points relatifs à la création des conditions cadre nécessaires sur le plan juridique sont actuellement en cours de discussion.
« e-Health Governance Initiative » (eHGI) En 2010, la Commission européenne a invité la Suisse à participer à l’eHGI. L’eHGI doit assurer la coordination globale de tous les projets et initiatives européens dans le domaine de la cybersanté (parmi lesquels figure également epSOS) et garantir ainsi une approche groupée des questions de l’interopérabilité et de la gouvernance. Il s’agit d’un projet stratégique et conceptuel, dont les objectifs principaux sont l’échange d’informations et l’élaboration de concepts et recommandations communs. Ce projet vise à renforcer les travaux législatifs de l’UE dans ce domaine, par le biais d’une coopération étroite entre les Etats membres ou les Etats participants. Grâce à ce projet, la question délicate de la réglementation transfrontalière dans le domaine de la cybersanté trouvera une assise politique.76
2.6 Mise en œuvre
Plusieurs parties de l’avant-projet de loi devront être concrétisées par voie d’ordonnances. Le Conseil fédéral doit édicter des dispositions en particulier pour les droits d’accès selon l’art. 4 et la certification en vertu des art. 7 à 9. De nouvelles tâches relatives à la certification réglée à la section 3 incomberont à l’Etat. En vertu de l’art. 11, la Confédération devra également gérer des registres ainsi que des services de recherche de données et exploiter un point de contact national pour la requête transfrontalière de données. La compétence de la Confédération lui permettant de créer des personnes morales de droit privé ou de s’y associer (art. 13), en vue de promouvoir la collaboration entre les cantons et d’autres organisations intéressées joue un rôle important dans la mise en œuvre du projet. Ainsi, l’art. 16, al. 1, confère à la Confédération le droit de charger une organisation de droit privée similaire à l’organe de coordination actuel Confédération-cantons « eHealth Suisse » de remplir certaines tâches. Parmi celles-ci figurent les travaux préparatoires en vue de déterminer les critères de certification selon l'art. 8, al. 1, let. a, les tâches d'information selon l'art. 12 ainsi que la promotion de la collaboration selon l’art. 13.
76 http://ec.europa.eu/information_society/activities/health/policy/ehealth_governance_ initiative/index_en.htm
36
En vertu de l’art. 16, le Conseil fédéral aura également la possibilité de transférer à des tiers des tâches selon l’art. 11, al. 1 et 2. Il devra alors exercer une surveillance sur les organismes qu’il aura mandatés. L’avant-projet de loi doit en outre être soumis à une évaluation (art. 15).
2.7 Classement des interventions parlementaires
Parallèlement aux travaux préparatoires du DFI pour une nouvelle législation sur le dossier électronique du patient, la motion Noser 04.3243 « E-Health. Utilisation des moyens électroniques dans le domaine de la santé » a été déposée au Conseil national. Cette motion a pour objectif que toutes les personnes habitant en Suisse possèdent un passeport de santé électronique, qui soit compatible avec les systèmes qu’il est prévu de mettre en œuvre dans les Etats membres de l’UE, simplifie l’identification des patients, contienne les données médicales nécessaires en cas d’urgence et permette un accès sécurisé aux informations personnelles sur la santé. La motion vise également le développement de réseaux d’informations sur la santé, p. ex., par le biais des technologies à large bande passante, entre les différentes institutions fournissant des services de santé (hôpitaux, laboratoires, soins à domicile), afin d’améliorer l’information entre tous les acteurs du système de santé suisse, de sorte qu’ils tiennent à jour les données sur l’état de santé de la population, permettant ainsi de coordonner une réaction rapide face aux dangers connus ou aux sources de danger dans le domaine de la santé. Enfin, les personnes habitant en Suisse doivent avoir accès à des services de santé en ligne. Ces derniers proposent, par exemple, des informations sur les habitudes de vie favorisant la santé et sur la prévention des maladies, des données électroniques relatives à la santé et du conseil à distance.77 Le message a été transmis et il a été proposé de classer cette motion. L’initiative parlementaire Noser 07.472 « Attribution d’une identité numérique à chaque assuré » demande que soit modifié l’art. 42a LAMal78 afin de créer une identité numérique pour toute personne assujettie à l’assurance obligatoire des soins. La Commission de la sécurité sociale et de la santé publique a ajourné le traitement de l’initiative le 4 mai 2009. Le 16 février 2011, elle a proposé à l’unanimité de prolonger de deux ans, soit jusqu’au printemps 2013, le délai imparti pour traiter l’initiative.79 De plus, la motion Graf-Litscher 11.3034 « Encouragement et développement de la gestion informatique du système de cybersanté » est en suspens au Parlement. Cette motion demande au Conseil fédéral d’examiner les mesures suivantes visant à introduire et à encourager la cybersanté : financement initial des infrastructures relatives aux TIC dans les cabinets médicaux ; mise en place de mesures incitant les médecins, par le biais des points de taxation, à saisir et à échanger par voie électronique les informations sur les patients ; établissement de règles pour fixer des standards obligatoires ; soutien aux études et aux efforts visant à trouver des
77 Cf. http://www.parlament.ch/afs/data/d/bericht/2004/d_bericht_s_k19_0_20043243 _0_2 0070108.htm 78 RS 832.10
79 Cf. http://www.parl.ch/afs/data/d/bericht/2007/d_bericht_n_k6_0_20070472_0_
20110216.htm
37
solutions interdisciplinaires. Le 18 mai 2011, le Conseil fédéral a proposé d'accepter la motion.80
3 Commentaire
3.1 Section 1 Disposition générales
Art. 1 Objet Comme mentionné au chiffre 1.1, le dossier électronique du patient doit permettre d’accéder en tout lieu et à tout moment aux données pertinentes pour le traitement81, permettant ainsi d’accroître la qualité et la sécurité du traitement des patients. L’objectif n’est pas de créer une réglementation exhaustive82 du dossier électronique du patient, mais de poser les conditions-cadres indispensables à l’introduction et à l’utilisation d’un tel dossier83. Selon l’al. 1, let. a, l’avant-projet règle les conditions techniques et organisationnelles auxquelles des communautés certifiées et des patients peuvent rendre accessibles à des communautés et à leurs professionnels de la santé des données pertinentes pour le traitement des patients au moyen d’un dossier électronique. Selon la let. b, l’avant-projet fixe en outre les conditions auxquelles un professionnel de la santé ou le patient peut accéder lui-même aux données. Les patients n’ont aucune obligation de se faire constituer un dossier électronique. Ils sont libres de décider s’ils souhaitent rendre leurs données accessibles aux professionnels de la santé au moyen d’un tel dossier. De même, aucune obligation n’est faite aux professionnels de la santé de se faire certifier en tant que communauté ou de s’affilier à une telle communauté, et donc de créer les conditions pour que les données des patients puissent être mises à disposition dans un dossier électronique. Un professionnel de la santé choisit donc en toute liberté s’il souhaite proposer un dossier électronique à ses patients. En revanche, s’il choisit de s’affilier à une communauté certifiée, il a alors le devoir de mettre à disposition dans le dossier électronique les données relatives au traitement, pour autant que le patient ait donné son consentement (art. 6). Seuls les fournisseurs de prestations visés aux art. 39 et 49a, al. 4, LAMal ne sont pas concernés par ce caractère facultatif. Ils ont cinq ans à compter de l’entrée en vigueur de la loi pour se faire certifier comme communauté ou comme membre d’une communauté selon l’art. 7 (art. 18 et art. 19, al. 2). D'après l’al. 1, let. a, les conditions suivantes doivent être remplies pour que les données puissent être rendues accessibles dans le dossier électronique du patient : le
80 Cf. http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20113034
81 Sur la définition des données, cf. Normes et architecture –
Recommandations III : Identification de personnes et système d’autorisation. Rapport en vue de l’audition. Berne : 8 juin 2011, p. 9. Téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr. 82 Une réglementation exhaustive qui porterait, p. ex., également sur l’organisation interne des communautés, aurait pour effet de freiner les essais pilotes cantonaux ou régionaux déjà existants. C’est pourquoi cette loi vise exclusivement à réglementer les éléments nécessaires à l’échange de données entre les communautés. 83 Cette loi ne porte pas sur la transmission point-à-point de données sur les patients. Les conditions juridiques valables jusqu’à présent continuent de s’appliquer à ce type de transmission de données.
38
professionnel de la santé doit faire partie d’une communauté certifiée et les données mises à disposition doivent avoir un intérêt pour d’autres traitements. Un professionnel de la santé non affilié à une communauté certifiée n’est pas autorisé à mettre des données à disposition dans le dossier électronique du patient ni à émettre des requêtes sur de telles données. La constitution d’un dossier électronique requiert le consentement écrit du patient (art. 3, al. 1). Une fois le dossier constitué, rendre des données accessibles requiert seulement le consentement explicite du patient (art. 3, al. 2). En plus des documents et des données produits par les professionnels de la santé, les patients devraient avoir la possibilité d'enregistrer dans le dossier électronique du patient des données qu'ils jugent importantes pour leur traitement. Ils devraient également pouvoir les rendre accessibles aux professionnels de la santé en charge de leur traitement. Il peut s'agir, par exemple, de mesures du taux de glycémie ou de la tension. Les processus nécessaires à cet égard passent par un portail d'accès électronique certifié (art. 7, let. b). La let. b prévoit que les professionnels de la santé et les patients ne puissent accéder au dossier électronique que sous certaines conditions contraignantes. Les patients sont autorisés à accéder à tout moment à leurs propres données, au moyen d’un portail d’accès électronique certifié (art. 4, al. 1, let. a et art. 7, let. b). Les professionnels de la santé doivent disposer de droits d’accès en vertu de l’art. 4 pour pouvoir accéder aux données mises à disposition dans le dossier électronique. Les patients et les professionnels de la santé doivent disposer d'une identité électronique sécurisée pour pouvoir accéder au dossier électronique de leurs patients (art. 5). Les expériences faites à l’étranger montrent que la sécurité des investissements atteinte grâce à la réglementation des exigences techniques et organisationnelles ne suffit pas pour introduire le dossier électronique du patient de manière généralisée. L’al. 2 souligne donc que le projet de loi prévoit également des mesures d’accompagnement (activité d’information selon l’art. 12 et promotion de la collaboration selon l’art. 13). Ces mesures doivent créer des incitations pour l’installation et l’utilisation d’un dossier électronique du patient, atteindre une masse critique d’utilisateurs permettant au dossier électronique du patient de s’établir et de se développer à long terme. L’al. 3 définit les objectifs de politique sanitaire poursuivis par le dossier électronique du patient. Conformément aux recommandations du « groupe d'experts cybersanté », l’avant-projet fixe les conditions requises pour que le dossier électronique du patient puisse permettre d’accroître la qualité des processus thérapeutiques, la sécurité des patients et l’efficience du système sanitaire. Le présent avant-projet n’a pas pour objet de créer les réglementations nécessaires pour utiliser les données contenues dans le dossier électronique du patient afin de développer des registres de maladies ou de diagnostic, ou à des fins de statistiques ou de recherche, ou encore pour optimiser des processus administratifs. Si des réglementations dans ce sens devaient voir le jour ultérieurement, il faudrait les introduire dans la législation spéciale. Le présent avant-projet ne porte pas non plus sur l’obligation de documentation relative aux patients84, sur la facturation électronique85, ni sur l’échange de données par voie électronique au sein d’une même communauté86.
84 La documentation relative au patient au sens de dossier médical personnel dépend du droit cantonal.
39
Art. 2 Définitions La let. a définit le terme « dossier électronique du patient ». Le dossier électronique du patient ne contient pas l’ensemble de la documentation médicale d’un professionnel de la santé (dossier médical) : il rassemble uniquement les informations importantes pour que d’autres professionnels de la santé puissent poursuivre le traitement.87 Cette partie du dossier médical peut être mise à la disposition de professionnels de la santé appartenant à une communauté certifiée, sous forme électronique dans le dossier électronique du patient. Il peut s’agir de documents électroniques (format pdf, images) ou des enregistrements de données structurées (p. ex., données sur la médication). En outre, une sélection de données tirées du dossier médical peut être mise à disposition sous forme condensée via le dossier électronique du patient (p. ex., données d’urgence ou carnet de vaccination). En tant que dossier virtuel88, le dossier électronique du patient permet aux professionnels de la santé autorisés et au patient d’accéder en ligne à des données enregistrées de manière décentralisée. Ces données pertinentes pour le traitement auront été mises à disposition dans le dossier électronique par des professionnels de la santé appartenant à une communauté certifiée, après consentement du patient. La let. b définit le terme « professionnels de la santé ». Contrairement à la LAMal89, qui régit l’autorisation des fournisseurs de prestations à exercer à la charge de l’assurance obligatoire des soins, l’avant-projet de loi ne fait pas partie du droit des assurances sociales et les qualifie donc de « professionnels de la santé ». Ce terme désigne tous les groupes professionnels du secteur sanitaire dont la formation est reconnue par le droit fédéral ou cantonal, qui procèdent à des examens, appliquent des traitements ou des mesures de prévention, ou remettent des produits à cet effet. La plupart de ces groupes professionnels ont besoin, pour exercer en tant qu’indépendant, c.-à-d. sous leur propre responsabilité technique et économique, d’une autorisation cantonale. D’une part, cette définition regroupe les professions médicales universitaires mentionnées à l’art. 2, al. 1, LPMéd90, c.-à-d. les médecins, les dentistes, les chiropracticiens et les pharmaciens, ainsi que les psychologues selon la LPsy91. D’autre part, elle englobe également les personnes formées dans le domaine de la santé qui font l’objet de la loi fédérale du 6 octobre 199592 sur les hautes écoles spécialisées (LHES) – p. ex., infirmiers titulaires d’un diplôme d’une haute école spécialisée, physiothérapeutes, ergothérapeutes ou sages-femmes – ou de la loi fédérale du 13 décembre 200293 sur la formation professionnelle (LFPr) – p. ex., sauveteurs professionnels, infirmiers titulaires d’un diplôme d’une école
85 L’échange de données électroniques entre les professionnels de la santé et les assurances sociales n’entrent, de façon générale, pas dans le domaine d’application de l’avant-projet de loi. C’est entre autres le cas de la facturation électronique et de la garantie électronique de prise en charge des frais.
86 L’organisation interne est laissée à la discrétion des communautés.
87 Exemple de données qui seront documentées en premier lieu dans le dossier médical : tension relevée toutes les minutes en unité de soins intensifs. 88 « Virtuel » n’est pas le contraire de « réel », mais de « physique ». Le dossier électronique du patient n’est pas un dossier que l’on peut attraper physiquement : les documents importants sont virtuellement mis à disposition par une procédure de requête. Les documents physiques restent dans leur lieu de stockage décentralisé. 89 RS 832.10 90 RS 811.11
91 FF 2011 2529 ss
92 RS 414.71 93 RS 412.10
40
supérieure ou podologues. Enfin, cette définition couvre le diplôme d’ostéopathie réglé par un accord intercantonal. Toutefois, l’appartenance à l’un de ces groupes professionnels n’est pas l’unique condition à satisfaire pour pouvoir rendre accessibles des données dans le dossier électronique du patient ou émettre des requêtes en tant que professionnel de la santé : comme l’indique la définition, il faut également exercer l’une des fonctions mentionnées plus haut dans le cadre du traitement du patient. Les gestionnaires de cas ou les médecins-conseils des assurances-maladies ne sont donc pas des professionnels de la santé au sens de la LDEP. Ils ne peuvent accéder au dossier électronique d’un patient que si ce dernier les y a expressément autorisés dans le cadre de l’attribution des droits d’accès individuels selon l’art. 4, al. 1, let. b à e. La définition du terme « traitement » donnée à la let. c est volontairement large. Elle regroupe l’ensemble des mesures destinées à guérir un patient, atténuer ses symptômes ou le soigner. Le traitement comprend donc également toutes les mesures dans le domaine de la réadaptation ou des soins palliatifs. Les actes de prévention et de dépistage d’une maladie entrent aussi dans cette définition. Il peut notamment s’agir de vaccinations ou de mesures nationales de dépistage du cancer (p. ex., mammographies). La let. d définit le terme « communauté ». Comme indiqué au chiffre 1.3, l’« Architecture eHealth Suisse » repose sur le concept de « communautés ». Une communauté est un regroupement de professionnels de la santé et de leurs organisations, regroupement qui est impliqué dans le traitement de patients, qui produit ou utilise des informations sur les patients, qui met de telles informations à la disposition d’autres communautés ou qui émet des requêtes pour les informations d’autres communautés. Une communauté peut être un hôpital ou un groupement d’hôpitaux, des groupes de cabinets médicaux ou de pharmacies, ou encore des regroupements d'organisations de soins à domicile (Spitex), de laboratoires ou d’instituts de radiologie, etc. On peut également envisager qu’un regroupement de professionnels de la santé dans un réseau de soins local ou régional forme une communauté. Un professionnel de la santé peut être affilié à plusieurs communautés, et la définition ne fixe aucune exigence quant à la taille, à la localisation géographique ou à la structure organisationnelle de ces dernières. Un professionnel de la santé exerçant sous sa propre responsabilité professionnelle peut également constituer une communauté au sens de la présente loi. Ce peut être, p. ex., un médecin qui gère seul son cabinet (cabinet individuel) et souhaite que ses patients puissent accéder au dossier électronique. L’obligation de certification (art. 7) et les critères de certification (art. 8) s’appliquent aussi aux cabinets individuels.
3.2 Section 2 Accès au dossier électronique du patient
Art. 3 Consentement Pour favoriser l’acceptation et le succès du dossier électronique du patient, il est crucial que les applications de cybersanté puissent se développer sans contrainte légale. C’est pour cela que l’on s’efforce d’atteindre une utilisation maximale du dossier électronique du patient par les patients et par les professionnels de la santé en respectant le principe du caractère facultatif, conformément aux directives de l’organe de coordination « eHealth Suisse » et aux recommandations du « groupe
41
d'experts cybersanté ». Le succès du dossier électronique du patient dépendra principalement de son utilisation par tous les participants. En vertu du principe d’autodétermination en matière d’information, chacun décide s’il souhaite se faire créer ce dossier électronique et détermine l’étendue des droits d’accès attribués à ses professionnels de la santé. La participation étant facultative, il est bien entendu possible de la révoquer à tout moment, conformément aux règles habituelles de droit privé. Le principe du caractère facultatif ne change rien au fait que les obligations fixées dans d’autres dispositions légales en vigueur ou à venir doivent être respectées. De telles obligations, qui reposent sur une base légale, ne constituent pas un écart au caractère facultatif. Elles découlent simplement des possibilités qui existent dans un Etat de droit de modifier le droit en vigueur. Le droit à l’autodétermination en matière d’information confère à toute personne le droit de décider elle-même de ce qui est fait de ses données. Cela doit lui garantir de garder une vue d’ensemble sur la diffusion et le traitement de ses données personnelles. Ce principe reste valable lorsqu’une personne consent au traitement de ses données. Dans le cas du dossier électronique du patient, des données sensibles au sens de la LPD94 sont rendues accessibles au moyen d’une procédure de requête. Lorsqu’il est nécessaire d’obtenir le consentement d’une personne pour traiter des données sensibles la concernant, la LPD prévoit qu’il doive être explicite.95 L’al. 1 de l’avant-projet impose de recueillir un consentement par écrit avant de créer un dossier électronique du patient. Un consentement établi par voie électronique est considéré de forme écrite dans la mesure où il est signé au moyen d’une signature électronique conforme aux exigences du code des obligations96. En vertu de l'al. 2 et conformément à la LPD97, il suffit de recueillir l’expression de la volonté sous une forme orale, mais expresse, pour rendre accessibles des données relatives à un traitement concret. La personne concernée donne ainsi son accord spécialement aux données qui sont aujourd’hui habituellement envoyées de manière conventionnelle, c.-à-d. par la poste ou par télécopie, soient mises à la disposition d’autres professionnels de la santé par le biais du dossier électronique du patient, et à ce que d’autres professionnels de la santé puissent émettre des requêtes à ce sujet s’ils disposent des droits d’accès nécessaires (cf. art. 4). La portée, et donc la validité, peut être mesurée en observant si son auteur l’a donné librement et après avoir été dûment informé (« consentement éclairé »). L’al. 3 pose explicitement ce principe. En l’occurrence, cela signifie que la personne concernée a été informée des données qui feraient l’objet d’un traitement, des fins visées, des services chargés de ce traitement et de la manière dont les données seraient traitées. Elle doit avoir été informée de tous les points importants, et ce, d’une manière qui lui soit compréhensible, de sorte à ce qu’elle comprenne les principes régissant les flux de données. Dans le cas présent, elle doit notamment pouvoir évaluer dans quelles circonstances les données du dossier électronique du patient pourront faire l’objet de requêtes. La personne concernée doit donc également avoir été informée de la manière dont les droits d’accès sont attribués (cf. commentaires sur l’art. 4) et de la possibilité d’émettre des requêtes transfrontalières des données (cf.
94 Cf. art. 3, let. c, ch. 2, loi sur la protection des données, LPD ; RS 235.1.
95 Cf. art. 4, al. 5, loi sur la protection des données, LPD ; RS 235.1.
96 Cf. art. 14, al. 2bis, code des obligations, CO ; RS 220.
97 RS 235.1
42
commentaires sur l’art. 11, al. 2, let. b). L’information des patients devra être évaluée au niveau de la forme et du contenu dans le cadre de la procédure de certification prévue par les art. 7 à 9. Le fait que le consentement décrit aux al. 1 et 2 soit révocable en tout temps et sans motif constitue un point important du droit à l’autodétermination (al. 4). Dans le cas du dossier électronique du patient, cela signifie que les droits d’accès peuvent être retirés, auquel cas les possibilités d’émettre des requêtes doivent être immédiatement supprimées techniquement.98 La traçabilité des données qui étaient mises à disposition au cours d’une période donnée et des accès qui ont eu lieu doit être garantie au moyen d’une historisation (cf. art. 8, al. 1, let. d). Cette traçabilité est non seulement requise pour des raisons de transparence, mais aussi pour des raisons relatives au droit de la preuve. Les déclarations et les révocations de consentement sont gérées par le professionnel de la santé appartenant à la communauté dans laquelle le patient a donné son consentement à la constitution d’un dossier électronique (« communauté de référence »). Les règles de droit civil habituelles s’appliquent aux possibilités et aux devoirs de représentation pour les personnes incapables de discernement et les mineurs. A cet endroit, il faut également se référer aux modifications du code civil relatives à la protection de l’adulte, au droit des personnes et au droit de la filiation99 apportées avant l’entrée en vigueur du présent projet de loi. Dans le cadre de l’attribution individuelle des droits d’accès en vertu de l’art. 4, le patient peut en outre déterminer en détail la portée du droit de représentation que détiendra le professionnel de la santé auquel il aura attribué des droits d’accès. Il pourra, p. ex., déterminer si cette personne est autorisée à déléguer à son tour les droits qui lui auront été accordés (pendant ses vacances, ou plus généralement à ses auxiliaires, etc.).
Art. 4 Droits d’accès Dans le dossier électronique du patient, des données sont mises à disposition au moyen d’une procédure de requête. On entend par procédure de requête un processus automatisée grâce à laquelle un tiers reçoit des droits d’accès qui lui permettent d’accéder aux données sans devoir recueillir un nouveau consentement avant chaque requête. Un principe continu d’autodétermination régi par des règles spécifiques s’applique ainsi à la procédure de requête. Lorsque le patient attribue les droits d’accès, l’obligation de recueillir un consentement explicite est aussi considérée comme remplie pour la requête de données, par analogie avec l’art. 3. En ce qui concerne l’attribution des droits d’accès, l’avant-projet de loi fixe les règles de base suivantes à l’al. 1 : Let. a : le patient peut à tout moment accéder lui-même à ses propres données. Dans la pratique, ce droit d’accès direct sera garanti par la mise en place de portails d’accès électroniques certifiés. Pour cela, l’« Architecture eHealth Suisse » prévoit un portail d’accès sécurisé sur Internet. Il permettra aux utilisateurs de gérer nommément les droits d’accès. Conformément aux recommandations émises par le « groupe d’experts cybersanté » en septembre 2010, les portails d’accès
98 Les documents restent bien entendu dans le dossier médical du médecin traitant. Les principes habituels relatifs à l’archivage et à l’élimination continuent de s’appliquer.
99 Cf. FF 2009 139 ss
43
électroniques seront exploités par des fournisseurs privés, et non par l’Etat.100 Grâce à la possibilité d’accéder en tout temps à ces données, le droit d’accès visé à l’art. 8 LPD101 est respecté pour les données contenues dans le dossier électronique du patient. Il n’est pas possible de faire une exception au sens de l’art. 8, al. 3, LPD (droit d’accès indirect par l’intermédiaire d’un médecin)102 pour les données contenues dans le dossier électronique du patient. Si un professionnel de la santé ressent la nécessité de se prévaloir de l’art. 8, al. 3, LPD, il doit le faire avant de rendre des données accessibles dans le dossier électronique du patient. Il doit alors communiquer ces données à d’autres professionnels de la santé d’une autre façon. Dans ce cas, le patient dispose des voies de recours habituelles pour faire valoir ce droit d’accès. Let. b : le patient doit pouvoir attribuer différents niveaux de confidentialité à ses données dans le dossier électronique du patient. De cette façon, chaque professionnel de la santé pourra y avoir accès de manière plus ou moins restrictive. Comme le préconisent les recommandations III du projet partiel « Normes et architecture » du 8 juin 2011103, cinq degrés de confidentialité sont prévus : données administratives, utilitaires, médicales, stigmatisantes et secrètes. Let. c : le patient doit pouvoir attribuer individuellement les droits d’accès. En particulier, des droits d’accès pourront être attribués ou retirés individuellement à des professionnels de la santé. Il sera également possible de mettre des personnes sur des listes dites d’inclusion. Il est aussi envisageable que les patients inscrivent les « gestionnaires de cas » ou les médecins-conseils des assurances-maladies, p. ex., sur une liste d’inclusion, leur permettant ainsi d’accéder au dossier électronique du patient. Let. d : un patient peut interdire à un professionnel de la santé donné d’accéder à son dossier électronique quelles que soient les circonstances, en l’inscrivant sur une liste d’exclusion. Tout accès lui est alors impossible. Let. e : le patient peut en outre interdire a priori l’accès en cas d’urgence médicale. Les patients doivent être informés des conséquences que peut avoir une telle interdiction lorsqu'ils reçoivent les informations relatives au traitement des données en vertu de l’art. 3, al. 3 (consentement éclairé). L’al. 2 habilite le Conseil fédéral à préciser dans le droit d’exécution les règles relatives à la procédure de requête. Il s’agira de définir un système d’autorisations d’accès détaillé qui permette un accès pratique aux données, tout en garantissant au patient la confidentialité qu’il souhaite donner à ses informations personnelles. Le système d’autorisation d’accès doit garantir cette condition en associant des rôles définis pour les personnes autorisées et divers niveaux de confidentialité pour les données pouvant faire l’objet de requêtes. La Confédération exploite un registre
100 Mise en œuvre de la « Stratégie Cybersanté Suisse » : recommandations relatives à la réglementation légale : Rapport du « groupe d’experts Cybersanté » à l’intention du Département fédéral de l’intérieur (DFI). 30 septembre 2010. Téléchargeable sous : http://www.bag.admin.ch/themen/gesundheitspolitik/10357/10359/index.html?lang=fr
101 Cf. art. 3, let. c, ch. 2, loi sur la protection des données, LPD ; RS 235.1
102 Cela peut s’avérer nécessaire, p. ex., lorsqu’un patient suicidaire doit être informé qu’il est atteint d’une maladie incurable. 103 Normes et architecture – Recommandations III : Identification de personnes et système d’autorisation. Rapport en vue de l’audition. Berne : 8 juin 2011. Téléchargeable sous : http://www.e-health-suisse.ch/umsetzung/00146/00148/index.html?lang=fr.
44
accessible à tous sur les rôles autorisés104. Les droits d’accès sont historisés dans la communauté de référence du patient. L’avant-projet de loi prévoit, comme règle de base, qu’il ne soit possible d’accéder aux données du dossier électronique du patient qu’avec le consentement préalable du patient. L’al. 3 prévoit une exception à ce principe de base : l’accès en cas d’urgence médicale. Lorsqu’il est impérieux d’accéder aux données du patient pour des raisons médicales, mais que ce dernier n’est pas en mesure de donner son consentement (p. ex., lorsqu’il n’est pas lucide, suite à un grave accident, à un infarctus ou à une attaque cérébrale), les professionnels de la santé sont exceptionnellement autorisés à accéder à son dossier électronique sans consentement. De tels accès doivent être techniquement possibles, mais le patient peut les bloquer par anticipation lorsqu’il attribue les droits d’accès (cf. commentaires sur l’al. 1, let. e). Il faut garantir que si une situation d'urgence médicale venait à se produire qui nécessiterait d’accéder au dossier électronique sans consentement préalable du patient, ce dernier en serait informé. Ces accès doivent également être historisés. Si le patient estime l’accès injustifié, il y aurait, outre les voies de recours habituelles prévues par le droit de la personnalité dans le code civil, la possibilité de porter plainte au pénal en vertu de l’art. 17.
Art. 5 Identification Pour que les données puissent être mises à disposition et faire l’objet de requêtes de manière sécurisée, il est indispensable que patients et professionnels de la santé disposent d’une identification et d’une authentification univoque. D’une part, c’est le seul moyen de garantir que les données sont attribuées sans équivoque à un patient donné et que toutes les données disponibles apparaissent en réponse à une requête. D’autre part, une identification et une authentification univoques des professionnels de la santé garantissent que seules les personnes disposant des droits d’accès nécessaires puissent mettre des données à disposition ou émettre des requêtes. L’al. 1 pose que les patients et les professionnels de la santé ont besoin d’une identité électronique sécurisée pour accéder au dossier électronique du patient. En ce qui concerne les patients (let. a), on entend par là l’association d’une combinaison de certains caractères d’un patient à la personne réelle (cf. les commentaires relatifs aux al. 2 et 3). Les données constituant l’identité électronique seront enregistrées sur un support (moyen d’identification105). Avant d’accéder aux données, l’identité électronique avancée par le patient est vérifiée au cours d’un processus d’authentification pour déterminer si elle peut être considérée comme
104 Le concept de rôle est à la base d’un concept d’autorisation, et donc aussi d’un processus de gestion et de contrôle des accès à des données ou à des services. Dans le cadre d’un tel concept, une personne peut se voir attribuer un ou plusieurs rôles concrets. Cf. « eHealth Suisse » - Normes et architectures – Recommandations II. Adoptées par le comité de pilotage. Berne : 21 octobre 2010. Consultable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr 105 Un moyen d’identification ou security token (ou token) est un élément du matériel informatique servant à identifier et authentifier des utilisateurs. Cf. Normes et architecture – Recommandations III : Identification de personnes et système d’autorisation. Rapport en vue de l’audition. Berne : 8 juin 2011, p. 9. Téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr.
45
valable. Grâce au moyen d’identification, les patients peuvent prouver leur identité auprès des communautés et des portails d’accès électroniques. Comme les patients, les professionnels de la santé ont besoin d’une identité électronique univoque (let. b). C’est le seul moyen de mettre en œuvre les droits d’accès attribués nommément visés à l’art. 4 et de tracer de manière fiable et incontestable les accès aux données. L’identification des documents ne sera pas réglementée au niveau de la loi. Ils seront décrits à l’aide de métadonnées (cf. également ch. 1.3).106 L’al.2 pose que le Conseil fédéral détermine les caractères selon l’al. 1 pour l’identification des patients et des professionnels de la santé. L’identification habituellement utilisée jusqu’à présent dans le système sanitaire, qui repose sur des caractères démographiques (nom, prénom, date de naissance, etc.) ne répond pas aux exigences d’une identification sécurisée dans le cadre du dossier électronique du patient. En effet, elle livre trop souvent des résultats équivoques, tels que des erreurs de classification des données ou des réponses incomplètes aux requêtes, qui nécessitent un important travail manuel de correction. Pour que les données puissent être mises à disposition ou que des requêtes puissent être émises de manière électronique et avec efficacité, les patients doivent pouvoir être identifiés rapidement et de manière univoque. Pour cela, il faut pouvoir utiliser, outre les caractères démographiques, un autre caractère fiable pour l’identification des patients entre les communautés (cf. commentaires ci-dessous sur l’al. 3). Le numéro GLN107 pourrait être utilisé en complément des autres caractères démographiques pour identifier les professionnels de la santé. Conformément aux exigences de l’art. 50e LAVS108, l’al. 3 crée la base légale nécessaire pour utiliser systématiquement le NAVS13 comme caractère pour l’identification de personnes. Cette base légale doit déterminer l’objectif de l’utilisation ainsi que les personnes autorisées à l’utiliser. La réglementation légale proposée prévoit de n’utiliser le NAVS13 que pour le processus administratif d’identification des patients au cours d’une requête de données dépassant les communautés, en tant qu’attribut de l’index des patients (Master Patient Index, MPI)109. Le NAVS13 ne doit donc pas figurer dans les données médicales enregistrées dans les archives de manière décentralisée ni être contenu dans les métadonnées.110 Ainsi, il est impossible d'associer des données médicales à d’autres informations personnelles à partir du NAVS13.
106 Cf. Normes et architecture – Recommandations III : Identification de personnes et système d’autorisation. Rapport en vue de l’audition. Berne : 8 juin 2011, p. 9. Téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr 107 Global Location Number, identificateur univoque déjà utilisé sur l’ensemble du territoire, p. ex., dans le cadre de l’exécution de la loi sur les produits thérapeutiques pour les personnes exerçant une profession médicale et les entreprises dans le domaine de la santé. Anciennement : numéro EAN. 108 RS 831.10 109 Le MPI (Master Patient Index) est un index référençant tous les indices d’un patient quelle que soit leur provenance (hôpitaux, services hospitaliers, cabinets médicaux, etc.). Un MPI sert à regrouper sous une identité commune (un index) les informations provenant de sources différentes. 110 Cf. « eHealth Suisse » : Normes et architecture Recommandations II. Adoptées par le comité de pilotage. Berne : 21 octobre 2010. Téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr
46
Comme le NAVS13 ne constitue qu’un caractère pour l'identification des patients, le système proposé peut également être utilisé pour les personnes qui n’en disposent pas, comme les nouveau-nés ou les patients étrangers. Il n’est pas prévu d’emblée d’utiliser le NAVS13 dans le cadre de l’identification des patients dépassant le cadre des communautés. Le Conseil fédéral décidera dans le droit d’exécution si le NAVS13 sera utilisé comme caractère de l'index des patients (Master Patient Index, MPI). Il est ainsi garanti que le numéro ne sera utilisé que s’il satisfait à l'ensemble des exigences posées à un caractère d’identification sécurisé conformément aux progrès techniques. Pour l’heure, cette solution semble constituer la réglementation la plus facile et la plus avantageuse financièrement. En amont de la consultation, la possibilité de créer un numéro remplaçant le NAVS13 pour identifier les patients dans le cadre du dossier électronique a été étudiée. Conformément aux remarques formulées dans le message relatif à la modification de la loi fédérale sur l’assurance-vieillesse et survivants (nouveau numéro d’assuré AVS) du 23 novembre 2005111, le Conseil fédéral est arrivé à la conclusion que, dans le cas présent, le potentiel du NAVS13 à être utilisé comme numéro administratif d’identification de personnes doit être exploité. Depuis l’introduction du NAVS13, environ 20 millions de francs ont été investis pour s’assurer de son univocité et de sa diffusion sur tout le territoire. Ainsi, ce numéro est à présent l’identificateur de personnes le plus répandu et le plus fiable de Suisse. Divers médias peuvent être utilisés comme moyen d'identification ou comme support de l’identité numérique, tels que la carte d’assuré en vertu de l’art. 42a LAMal112, la Suisse-ID ou encore un autre système. En vertu de l’al. 4, le Conseil fédéral détermine les moyens d’identification autorisés et les règles à respecter lors de leur procédure d’émission. Cette dernière doit être organisée de manière à permettre une authentification fiable. Il est prévu d’introduire, au cours d’une première phase, une carte d’assuré plus élaborée destinée à servir de moyen d’identification pour les patients. Pour les professionnels de la santé, il est recommandé d’utiliser et de développer l’attestation électronique justifiant de la qualité de fournisseur de prestations visée à l’art. 8 de l’ordonnance du 14 février 2007 sur la carte d’assuré pour l’assurance obligatoire des soins113. Le Conseil fédéral prévoira en particulier que seules les personnes reconnues par le droit fédéral ou cantonal au sens de l’art. 2, let. b pourront recevoir un moyen d’identification pour les professionnels de la santé. Pour garantir que les procédure d’émission soient harmonisées, les éditeurs de moyens d’identification électronique doivent être certifiés en vertu de l’art. 7, let. c.
Art. 6 Obligation des communautés En s’affiliant à une communauté certifiée, les professionnels de la santé s’engagent à rendre accessibles dans un dossier électronique les données pertinentes pour le traitement de leurs patients, pour autant que ces derniers y aient consenti en vertu de l’art. 3, al. 2. Le patient a ainsi droit à ce que les professionnels de la santé
111 FF 2006 515 112 RS 832.10 113 RS 832.105
47
enregistrent et rendent accessibles leurs données au moyen de ce dossier, dans la mesure où elles sont nécessaires à la poursuite du traitement (cf. art. 1, al. 1, let. a).
3.3 Section 3 Certification
Art. 7 Obligation de certification Pour garantir l’interopérabilité, ainsi qu’une mise à disposition et une requête sécurisées des données, les communautés, en particulier, doivent respecter des exigences techniques et organisationnelles minimales. Conformément aux recommandations II du projet partiel « Normes et architecture » d’octobre 2010, une procédure de certification garantira que ces règles soient respectées.114 Outre les communautés (let. a), les portails d’accès électroniques pour les patients (let. b), les éditeurs de moyens d’identification électroniques pour les patients et les professionnels de la santé (let. c) ainsi que les plateformes de communication entre communautés (let. d) devront être certifiés. Ces certifications seront menées par des organismes reconnus, c.-à-d. accrédités. Le principe du caractère facultatif vaut également pour les professionnels de la santé : ils sont libres de choisir s’ils souhaitent se faire certifier ou s’affilier à une communauté certifiée et donc créer les conditions nécessaires pour mettre à la disposition de leurs pairs des données pertinentes pour le traitement de leurs patients. Cette liberté de choix ne s’applique pas aux fournisseurs de prestations visés aux art. 39 et 49a, al. 4, LAMal115, qui sont obligés de se faire certifier en tant que communauté ou membre d’une communauté selon l’art. 7, en vertu de la modification de la LAMal (cf. commentaires sur l’art. 18).
Art. 8 Critères de certification En vertu de l’al. 1, le Conseil fédéral devra fixer les critères à remplir pour obtenir une certification. Selon la let. a, ces exigences portent en particulier sur les normes et standards techniques applicables, ainsi que sur le respect des profils d’intégration nécessaires pour garantir l’interopérabilité. Etant donnée la complexité technique de cette tâche, le Conseil fédéral associera les organisations de standardisation et de normalisation déjà existantes aux travaux de préparation des ordonnances d’exécution. Il délèguera vraisemblablement la coordination de ces travaux à une personne morale de droit privé analogue à l’organe de coordination Confédération-cantons « eHealth Suisse » actuel (cf. les commentaires sur les art. 13, al. 2, et art. 16). Etant donné qu’il s’agit d’une tâche administrative de soutien, elle peut être attribuée par le biais d’un mandat de prestations et ne nécessite aucune base légale explicite dans l’art. 16. Pour s’assurer de l’acceptation des normes, des standards et des profils d’intégration choisis, les cantons et les organisations concernées disposent en outre de droits de participation étendus (cf. art. 10). Selon la let. b, le Conseil fédéral fixe également les critères de protection et de sécurité des données, qui peuvent être de nature technique ou organisationnelle.
114 Cf. « eHealth Suisse » : Normes et architecture Recommandations II. Adoptées par le comité de pilotage. Berne : 21 octobre 2010. 115 RS 832.10
48
En vertu de la let. c, le Conseil fédéral peut créer des prescriptions organisationnelles supplémentaires, en particulier pour les communautés. On peut, entre autres, envisager des prescriptions relatives au respect de l’information des patients selon l’art. 3, al. 3, à la mise en œuvre des droits d’accès selon l’art. 4, à l’obligation faite aux communautés de rendre accessibles des données relatives aux patients selon l’art. 6 et à l’historisation des accès selon la let. d. La let. d prévoit que tous les accès au dossier électronique du patient doivent être historisés. Cette disposition sert à protéger les personnes dont on traite les données. Elle est également nécessaire pour des raisons relatives au droit de la preuve. Toute communauté doit exploiter son propre système d’historisation, lequel sera contrôlé dans le cadre de la procédure de certification visée à l’art. 9. Les données historisées sont en premier lieu destinées à vérifier que les prescriptions relatives à la protection des données sont bien respectées. Elles ne doivent donc être accessibles qu’aux personnes ou aux organes chargés de surveiller la mise en œuvre de ces prescriptions. Les données historisées ne doivent contenir aucune donnée médicale : seules les informations relatives aux accès qui ont eu lieu (références des personnes et type de données consultées) doivent y figurer. Le patient peut également consulter à tout moment les données historisées concernant son dossier électronique. Elles doivent être mises à sa disposition sur demande, sous une forme adaptée et compréhensible. Le Conseil fédéral fixe dans le droit d’exécution la durée de conservation des données historisées. L’al. 2 comporte un élément important pour la procédure de certification. Pour que les normes, les standards et les profils d’intégration initialement fixés soient adaptés au plus vite et avec le plus de flexibilité possible aux progrès techniques, le Conseil fédéral est habilité à charger l’Office fédéral de la santé publique de mettre à jour les critères posés en vertu de l’al. 1, let. a.
Art. 9 Procédure de certification En vertu de l’art. 9, le Conseil fédéral règle les détails de la procédure de certification dans le droit d’exécution. Il devra déterminer en particulier les points mentionnés aux let. a à d. La reconnaissance des organismes de certification (accréditation, let. a) sert à évaluer la compétence d’un organisme de certification à l’aide de principes et de procédures étayés le plus largement possible au niveau international. Lorsque l’Etat accrédite un organisme, il ne lui délègue aucune compétence qui relève de sa souveraineté. L’accréditation constitue plutôt une sorte de certificat de capacité, qui confère à ces organismes le droit d’agir en tant que fournisseur de prestations qualifié par l’Etat dans le domaine du contrôle ou de la certification, sous certaines conditions et sur un marché libre. La relation entre les organismes de certification accrédités et les organes d’accréditation relève du droit public. La relation juridique entre les organismes qui doivent être certifiés et les organismes de certification accrédités continue, en revanche, de faire l’objet de contrats privés. En Suisse, les exigences relatives à l’accréditation sont fixées dans la LETC116. Sur la base de l’art. 10 LETC, le Conseil fédéral a édicté l’ordonnance du 17 juin 1996117 sur le système suisse d’accréditation et la désignation de laboratoires d’essais et
116 RS 946.51 117 RS 946.512
49
d’organismes d’évaluation de la conformité, d’enregistrement et d’homologation (ordonnance sur l’accréditation et la désignation, OAccD). Cette ordonnance fixe que le SECO gère le Service d’accréditation suisse (SAS). En outre, le respect des critères de certification visés à la let. b sera régulièrement réévalué par des organismes de certification, dans le cadre de son renouvellement. En vertu de la let. c, il faudra fixer les conditions de retrait d’un certificat accordé. Pour participer à l’échange de données dépassant les communautés, il est indispensable d’acquérir un certificat (art. 6).118 En vertu de la let. d, le Conseil fédéral peut reconnaître des procédures de certification régies par d’autres lois. Ceci concerne principalement la procédure de certification visée à l’art. 11 LPD119.
Art. 10 Participation des cantons et consultation des organisations concernées Les principes du droit de la consultation s’appliquent à l’élaboration et à la modification des ordonnances d’exécution de l’avant-projet de loi. Les art. 3 et 4 de la loi fédérale du 18 mars 2005120 sur la procédure de consultation (loi sur la consultation, LCo), en particulier, s’appliquent à tout ce qui concerne le déroulement des consultations ou des auditions, ainsi que la consultation d’autres interlocuteurs. Toutefois, l’art. 10 fixe que les dispositions d’exécution adoptées pour les art. 8 et 9 doivent toujours, c.-à-d. aussi dans des domaines très techniques, faire l’objet d’une consultation des cantons et des organisations concernées. Cette disposition vise à garantir que les critères de la procédure de certification ainsi que les normes, les standards et les profils d’intégration applicables, en particulier, soient harmonisés à grande échelle. L’intégration doit être menée de manière appropriée, c.-à-d. en adaptant le processus à l’importance du contenu des dispositions d’exécution. Cela peut se faire par le biais d’une procédure de consultation écrite ou d’une audition sous forme de conférence, ou encore en combinant ces deux possibilités. La complexité technique des ordonnances d’exécution justifie l’aménagement de droits de participation allant au-delà de ceux, plus généraux, prévus à l’art. 45 Cst121. Cette disposition répond à une revendication politique de poids et a une grande importance pour la suite de la collaboration entre la Confédération, les cantons et les organisations concernées. En outre, ces dernières, et plus particulièrement les organisations de standardisation et de normalisation déjà existantes, ont déjà été associées aux travaux préparatoires des ordonnances d’exécution. Le Conseil fédéral délèguera vraisemblablement la coordination de ces travaux à une personne morale de droit privé analogue à l’organe de coordination Confédération-cantons « eHealth Suisse » actuel.
118 L’échange de données à l’intérieur d’une communauté n’est pas concerné par le processus de certification. L’avant-projet de loi n’apporte donc aucune modification à ce sujet. De plus, il n’est pas exclu de proposer des sécurités spéciales, plus poussées que les critères de certification. 119 RS 235.1 120 RS 172.061 121 RS 101
50
3.4 Section 4 Tâches de la Confédération
Art. 11 Composantes techniques En vertu de l’art. 11, la Confédération doit gérer les registres et services de recherche de données nécessaires pour garantir que la mise à disposition et la requête de données soient sécurisées. En vertu de l’al. 1, let. a, elle tient un registre des organismes certifiés conformément à l’art. 7. Les patients pourront ainsi savoir quelles communautés sont à même de fournir un dossier électronique du patient dans un environnement sécurisé. Ils seront également en mesure de savoir quel portail d’accès électronique leur offre un accès sécurisé à leur dossier électronique du patient. Le registre livrera aussi des informations importantes aux communautés ou aux professionnels de la santé qui ne sont pas encore affiliés à une communauté. Ils pourront trouver des fournisseurs certifiés de plateformes de communication entre communautés, ou voir quels fournisseurs de preuves d’identité respectent les normes et les standards en vigueur, garantissant ainsi l’interopérabilité. En vertu de l’al. 1, let. b, la Confédération tient un registre national des identificateurs d’objet (OID). Un OID se présente sous la forme d’une chaîne de chiffres et permet d’attribuer un code unique à des objets et à des informations dans un échange standardisé de données entre des logiciels. Utiliser ces OID garantit qu’une information puisse être créée et traitée correctement, sans concertation particulière entre l’expéditeur et le destinataire. Pour que le traitement de l’enregistrement, de l’attribution et de l’utilisation de tels OID ait lieu de manière ciblée et la plus harmonisée possible, la fondation RefData assume depuis le début de l’année 2011 la gestion du nœud OID « eHealth » pour la Suisse.122 Le système élaboré jusqu’à présent continuera d’être développé avec le nouvel avant-projet de loi. Le Service d’index de professionnels de la santé (service HPI), en particulier, compte au nombre des services de recherche de données définis à l’al. 2, let. a. Un service HPI vérifie et confirme de manière fiable l’appartenance des professionnels de la santé au groupe professionnel correspondant, en se basant sur des registres des professionnels de la santé reconnus.123 Le service HPI doit en outre pouvoir accéder aux registres existants tels que le registre des professions médicales (MedReg) et à des registres mis en place ultérieurement, tels que le registre des professions de la santé (NaReg).124 Toute requête transfrontalière de données doit passer par un canal technique défini, désigné sous le terme de « point de contact national » (al. 2, let. b). Il n’y a pas d’échange de données systématique. Il peut, par exemple, être nécessaire de recourir à une requête transfrontalière de données lorsqu’une personne qui possède un
122 La fondation RefData assume depuis le 1er janvier 2011 la gestion du nœud OID « eHealth-CH; 2.16.756.5.30 » pour la Suisse, administré jusqu’alors par le groupe d’utilisateurs HL7. Cf : http://www.hl7.ch/oid-verzeichnis.html 123 Cf. la publication « Cybersanté dans la pratique », p. 16 ss, de « eHealth Suisse » (organe de coordination Confédération-cantons), téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00203/index.html?lang=fr. 124 Cf. « eHealth Suisse - Normes et architecture Recommandations II ». Approuvé par le comité de pilotage. Berne: 21 octobre 2010. Téléchargeable sous : http://www.e-health- suisse.ch/umsetzung/00146/00148/index.html?lang=fr, p.15.
51
dossier électronique du patient en Suisse se fait soigner à l’étranger. Dans une telle situation, les professionnels de la santé doivent également pouvoir émettre des requêtes sur les données du patient. On peut aussi envisager le cas inverse, dans lequel une personne traitée en Suisse dispose d’un dossier électronique du patient à l’étranger. Ce type de requêtes transfrontalières n’a lieu que dans les conditions fixées aux art. 3 et 4, c.-à-d. avec le consentement de la personne concernée ou, en cas d’urgence médicale, dans le respect des conditions prévues pour ces situations. La Confédération ne gèrera vraisemblablement pas elle-même les registres et services de recherche de données : il est probable que, selon l’art. 16, al. 1, elle délègue cette tâche à des tiers. Le Conseil fédéral reçoit donc, à l’al. 3, la compétence de fixer au préalable les exigences techniques et organisationnelles de base pour leur développement et leur exploitation. En outre, il désignera un point national de contact pour la Suisse et fixera les exigences techniques et organisationnelles nécessaires pour garantir que les données puissent faire l’objet de requêtes transfrontalières sécurisées. Il fixera également les exigences nationales et internationales de nature technique et juridique.
Art. 12 Information La population doit disposer des informations, des possibilités d’action et des bases décisionnelles adéquates pour utiliser le dossier électronique du patient. Promouvoir les activités d’information et de conseil visées à l’al. 1 et orientées vers des groupes spécifiques constitue pour la Confédération un moyen d’encourager une diffusion aussi large que possible du dossier électronique du patient. Afin de garantir la cohérence des informations diffusées et un processus harmonisé, l’al. 2 pose que la Confédération doit coordonner ses activités d’information avec celles des cantons.
Art. 13 Collaboration En vertu de l’al. 1, la Confédération encourage la collaboration, en soutenant le transfert des connaissances et l’échange d’expérience. Cela doit permettre de garantir que les cantons, mais aussi les communautés et les professionnels de la santé déjà actifs puissent se mettre en réseau, surtout au cours de la phase d’introduction. Dans ce cadre, elle soutient la participation à des programmes internationaux comme, par exemple, epSOS125 ou eHGI126 (cf. ch. 2.5). En vertu de l’al. 2, la Confédération reçoit la compétence de créer des personnes morales de droit privé pour promouvoir la collaboration ou de s’y associer. Ceci concerne principalement l’organisation qui succèdera à l’actuel organe de coordination Confédération–cantons « eHealth Suisse ». Il est prévu que cette organisation coordonne les travaux de préparation pour fixer les critères de certification (art. 8, al. 1, let. a) et élabore les bases pour remplir les tâches visées à l’art. 11, al. 1 et 2. En outre, elle devra assumer les activités d’information selon l’art. 12 et promouvoir la collaboration entre les cantons et les milieux intéressés selon l’art. 13.
125 Smart Open Services for European Patients. Cf. www.epsos.eu.
126 European eHealth Governance-Initiative Cf. :
http://ec.europa.eu/information_society/activities/health/policy/ehealth_governance_initia tive/index_en.htm
52
Art. 14 Accords internationaux L’art. 14 permet de tenir compte de l’importance internationale, en constante croissance, de la cybersanté ainsi que de l’évolution rapide de la technologie dans ce domaine. Le Conseil fédéral peut ainsi prendre en compte les développements internationaux dans un délai utile et garantir la participation de la Suisse à des projets tels qu’epSOS ou eHGI (cf. les commentaires sur l’art. 13 et le ch. 2.5). Participer à epSOS permettrait à la Suisse de collecter des enseignements importants sur l’échange transfrontalier de données avec d’autres Etats européens. Ces enseignements devront être pris en compte dans la gestion du point de contact national visé à l’art. 11, al. 2, let. b. En vertu de l’art. 7a, al. 1, de la loi du 21 mars 1997127 sur l’organisation du gouvernement et de l’administration (LOGA), le Conseil fédéral peut conclure seul des traités internationaux lorsqu’une telle compétence lui est attribuée par une loi fédérale. L’art. 14 lui aménage cette compétence pour la participation à des programmes et des projets internationaux promouvant le traitement électronique de données dans le domaine de la santé (let. a) ainsi que pour l’adhésion à des comités internationaux promouvant la mise en réseau électronique dans le domaine de la santé (let. b). En vertu de l’art. 48a LOGA, le Conseil fédéral peut aussi déléguer la compétence de conclure des traités internationaux de contenu technique ou administratif au département ou à l’office fédéral compétent. Ceci correspond aux pratiques actuelles en matière de conclusion de traités internationaux.
Art. 15 Evaluation Le mandat posé par l’art. 170 Cst.128, selon lequel l’efficacité des mesures prises par la Confédération doit faire l’objet d’une évaluation, s’adresse en premier lieu à l’Assemblée fédérale. Mais cela concerne aussi indirectement l’administration. En référence à cela, l’art. 15 détermine que le DFI s’assure que l’adéquation, l’efficacité et l’économicité des mesures prises en vertu de cette loi soient évaluées périodiquement. Il n’est pas défini s’il appartient au département de mener à bien cette évaluation ou s’il la délègue à des tiers. L’évaluation doit indiquer si cette loi et les mesures qui en découlent contribuent de manière adéquate, efficace et économique à améliorer la qualité des processus de traitement, la sécurité des patients ainsi que l’efficience du système de santé, et ce, sans engager de moyens économiques disproportionnés. L’évaluation porte en particulier sur les exigences techniques et organisationnelles pour la mise à disposition et la requête de données par les professionnels de la santé, ainsi que, et cela constitue un élément central, sur les mesures qui contribuent à promouvoir et coordonner l'introduction, la diffusion et le développement du dossier électronique du patient. L’al. 2 fait obligation au DFI de soumettre au Conseil fédéral un rapport fondé sur l’évaluation. S’il parvient à la conclusion que des mesures plus poussées ou différentes sont nécessaires, il lui soumet des propositions pour la suite des travaux.
127 RS 172.010 128 RS 101
53
Art. 16 Transfert de tâches Cet article crée – conformément à la LOGA129 – la base légale nécessaire pour externaliser des tâches d’exécution. Pour transférer des tâches, à titre d’exception à l’organisation ordinaire des autorités, le législateur doit avoir prévu une habilitation spéciale. En vertu de l’al. 1 le Conseil fédéral peut transmettre à des tiers les tâches visées à l’art. 11, al. 1 et 2 (registres, services de recherche de données et point de contact national) et aux art. 12 (information) et 13 (collaboration). Il s’agit, d’une part, de tâches particulièrement techniques (art. 11, al. 1 et 2) dans lesquelles des organisations existantes ainsi que des experts qui ne dépendent pas de l’administration fédérale disposent d’un très haut niveau de compétence. De plus, dans de tels domaines, il peut être approprié et économique de transmettre certaines tâches d’exécution à des organisations ou à des personnes externes possédant un savoir technique spécial. D’autre part, l’exécution des tâches sera mieux acceptée si certaines d’entre elles sont confiées à un comité national de coordination auquel sont notamment rattachés les associations de fournisseurs de prestations et les cantons, ces derniers étant responsables de la garantie et de l’organisation des soins de santé. Il incombe à la Confédération de surveiller les tâches déléguées à des tiers. L’al. 2 crée la base légale nécessaire pour que des tiers puissent percevoir, auprès de leurs bénéficiaires, des émoluments pour les tâches visées aux art. 11, al. 1 et 2, qui leurs sont dévolues. L’al. 3 crée la base légale pour que la Confédération puisse allouer une indemnité aux tiers qu’elle a mandatés si ces derniers n'étaient pas en mesure de couvrir leurs dépenses en percevant des émoluments. Toutefois, la Confédération n’est pas tenue de couvrir un tel déficit. En outre, comme mentionné au ch. 4.1, il est prévu que les cantons participent au financement des tâches déléguées, en tant que responsables de l’organisation de la couverture médicale et donc en tant que bénéficiaires importants de la mise en œuvre de la LDEP.
3.5 Section 5 Dispositions pénales
Art. 17 En vertu de l’al. 1, le fait d’accéder intentionnellement et sans droit au dossier électronique du patient est punissable. Cette disposition vise en particulier à combattre des accès en cas d’urgence injustifiés : il s’agit d’éviter qu’un professionnel de la santé ne simule un accès en cas d’urgence pour accéder au dossier électronique du patient. Cette disposition pénale vise également tous les autres accès non autorisés. On peut aussi envisager des cas dans lesquels l’accès est commis par une personne affiliée à une communauté certifiée mais qui n’est pas un professionnel de la santé au sens de la LDEP. La peine est une amende de 100 000 francs au plus. Cet écart à l’art. 106, al. 1, CP130, qui prévoit que le montant maximum d’une amende soit de 10 000 francs est justifié, car seul un tel élargissement de la sanction peut permettre d’éviter efficacement les abus liés au dossier électronique du patient.
129 RS 172.010 130 RS 311.0
54
En vertu de l’al. 2, un acte commis par négligence est également répréhensible. Il est puni d’une amende de 10 000 francs au plus. Le montant de l’amende infligée sera fixé en vertu des règles générales du CP131. La loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA)132 n’est pas applicable.
3.6 Section 6 Dispositions finales
Art. 18 Modification du droit en vigueur Avec les modifications apportées aux art. 39 et 49a, al. 4, LAMal133, les fournisseurs de prestations visés dans ces articles (hôpitaux contractants ou figurant sur une liste cantonale, cliniques de réadaptation, établissements médico-sociaux et maisons de naissance) sont tenus de se faire certifier conformément à l’art. 7 ou de s'affilier à une communauté certifiée. Cette obligation vise à atteindre dès le début une masse critique d’utilisateurs, permettant au dossier électronique du patient de s'établir rapidement. Comme la plupart des hôpitaux, en particulier, disposent aujourd’hui de systèmes électroniques d’information clinique, l’introduction d’un dossier électronique du patient et la mise en réseau dépassant le cadre des communautés avec d’autres professionnels de la santé constituent simplement l’étape logique suivante.134 En outre, procéder de la sorte permet de répondre aux demandes des cantons.
Art. 19 Référendum et entrée en vigueur L’avant-projet de loi est sujet au référendum facultatif conformément à l’art. 141, al. 1, let. a, Cst135. Le Conseil fédéral fixe la date de l’entrée en vigueur. En outre, l’al. 2 pose que les fournisseurs de prestations visés aux art. 39 et 49a, al. 4, LAMal136, disposent d’une période transitoire de cinq ans après l’entrée en vigueur de la LDEP pour se faire certifier.
4 Conséquences
4.1 Conséquences pour la Confédération
Le présent avant-projet de loi doit favoriser l’introduction, la diffusion et le développement du dossier électronique du patient. Ceci implique, d’une part, de
131 RS 311.0 132 RS 313.0 133 RS 832.10 134 D’après le sondage SIH (système d’information hospitalier) mené par la Haute école spécialisée bernoise, section Technique et informatique, 90 % des hôpitaux interrogés exploitent un SIH. 54 % de ces systèmes sont opérationnels, et les 46 % restants sont encore en phase d’installation. Cf. HOLM, Jürgen. KIS-Umfrage Schweiz 2011. Datamaster 2 : 27-30, 2011 ; DERS. IT und Qualitätsmanagement. 4ème symposium national pour la gestion de la qualité dans le secteur de la santé suisse. Exposé Berne : 12.05.2011 ; DERS. Ergebnisse der Umfrage Studie – Kommentare und Einschätzungen. Conférence systèmes d’information clinique Suisse 2011. Exposé Berne : 27.01.2011 135 RS 101 136 RS 832.10
55
fixer des exigences techniques et organisationnelles contraignantes pour la mise à disposition et la requête de données des patients importantes pour le traitement, de vérifier, lors de la procédure de certification, qu’elles sont bien respectées (cf. commentaires sur les art. 7 à 9), et de gérer les composantes techniques nécessaires, comme les registres, les services de recherche de données et le point de contact national pour la requête transfrontalière de données (art. 11). D’autre part, il s’agit de promouvoir l’information de la population (art. 12) et la collaboration entre les cantons et d’autres milieux intéressés (art. 13). La création d’un organisme de droit privé, qui succèdera à l’organe de coordination Confédération-cantons « eHealth Suisse » et sera chargé de la coordination nationale de ces tâches, permettra d’atteindre ces objectifs. La mise en œuvre de la loi impliquerait donc de nouvelles tâches, dont le financement doit être assuré à la fois par la Confédération et les cantons. En vertu de la répartition actuelle des tâches et des compétences dans le domaine de la santé, il incombe aux cantons d’assurer et donc d’organiser la couverture sanitaire. Le dossier électronique du patient contribuera, sur le long terme, à améliorer la qualité et l’efficience des soins (cf. chap. 4.4 ci-après). Il est donc justifié que les cantons participent au financement en prenant à leur charge la moitié des coûts. Les détails afférents à ce financement par les cantons seront discutés en temps voulu par ceux-ci et la Confédération et fixés dans une convention-cadre. Les tableaux 1 et 2 présentent une évaluation sommaire des ressources supplémentaires nécessaires pour les nouvelles tâches d’exécution, le calcul se basant sur les expériences faites par d’autres organisations de mise en œuvre à l’étranger (Allemagne, Autriche et Pays-Bas, cf. commentaires au chap. 2.5.1). Il s’agit de la meilleure estimation possible à l’heure actuelle. Compte tenu notamment du besoin en ressources humaines, ces chiffres représentent pour le Conseil fédéral la limite supérieure. En vue de l’élaboration du message, il convient d’examiner les possibilités en matière de priorisation, de redimensionnement ou, le cas échéant, la mise en place progressive d'une organisation de droit privé similaire à l'organe de coordination Confédération-cantons « eHealth Suisse ». Dans ce cadre, les chiffres donnés seront une nouvelle fois examinés sous un angle critique. Actuellement, la Confédération contribue à hauteur de 600 000 francs par an à « eHealth Suisse » et les cantons à hauteur de 300 000 francs. Le budget total de l’organe de coordination se monte donc à 900 000 francs. Ces fonds servent, entre autres, à financer 2,7 postes à temps plein.
56
Tableau 1
Estimation (en francs) des ressources financières nécessaires pour remplir les tâches selon les art. 8 et 11 à 13
Ressources Ressources humaines2 par an Tâche financières par an Total (TP = poste à temps plein)
– Préparation des normes à fixer selon 1,5 à 2,0 millions 1,4 à 1,6 millions 2,9 à 3,6 millions les art. 8 et 11 et actualisation des (7 à 8 TP) normes – Activités d’information selon l’art. 121 1,5 à 2,0 millions 0,2 million 1,7 à 2,2 millions (1 TP) – Collaboration selon l’art. 13 0,5 à 1,0 million 0,6 à 0,8 million 1,1 à 1,8 million (3 à 4 TP) Total par an : pour les trois premières années suivant l’entrée en vigueur de 3,5 à 5,0 millions 2,2 à 2,6 millions 5,7 à 7,6 millions la loi
Total par an : à partir de la 4e année 2,0 – 3,0 millions 2,0 à 2,4 millions 4,0 à 5,4 millions suivant l'entrée en vigueur de la loi
1 Pour environ 3 années suivant l’entrée en vigueur de la loi.
2 Calcul des frais relatifs aux salaires se basant sur une somme moyenne de 200 000 francs par poste à temps plein et par an (valeur de référence pour les médecins titulaires d’une formation complémentaire en informatique de la médecine, charges sociales incluses).
Au cours de la suite des travaux sur le présent projet, les alternatives de financement suivantes seront examinées : – Activité d’information selon l’art. 12 : outre le cofinancement par les cantons, il serait envisageable de recourir à une contribution financière par des entreprises privées ou par des organismes à but non lucratif (p. ex., ligues de santé ou organisations de patients). Il reste à étudier si l’information de la population a une telle importance pour les fournisseurs de systèmes d’information des cabinets et des cliniques, que l’on peut considérer comme acquise leur participation au financement. – Autres tâches de l’organisation qui succèdera à l’organe de coordination Confédération-cantons « eHealth Suisse » : il faut prévoir de poursuivre le cofinancement par les cantons, en particulier afin de promouvoir la collaboration nationale par le biais du transfert des connaissances et de l’échange d’expérience, mais également pour la coordination des travaux préparatoires en vue de déterminer les normes, les standards et les profils d’intégration. Actuellement, la contribution annuelle des cantons au financement de « eHealth Suisse » (organe de coordination Confédération- cantons) se monte à 300 000 francs. Selon les estimations présentées dans le tableau 1, celle-ci atteindra désormais de 2,0 à 2,7 millions de francs. Là aussi, il serait possible de faire appel à un cofinancement par des entreprises privées sous la forme de partenariat. Cette possibilité sera
57
envisagée. Il s’agit donc de soupeser soigneusement les opportunités et les risques dans la suite des travaux. Ce point s’applique également à un cofinancement par les associations des assureurs maladie et accidents. De plus, il convient encore de financer la mise en place et la gestion des composantes techniques selon l’art. 11. Le tableau 2 récapitule les moyens financiers nécessaires. Etant donné que les exigences détaillées s’appliquant aux services de recherche de données et au point de contact national ne seront définies que lors de l'élaboration des dispositions d'exécution, une estimation des coûts d'investissement nécessaires n'est pour l'heure pas possible. Malgré cela, le Conseil fédéral estime que le financement de ces coûts sera assuré, d'une part et autant que possible, par la perception d’émoluments (cf. art. 16, al. 2) et, d'autre part, par les cantons, qui cofinanceront la moitié des coûts restants. Tableau 2
Estimation (en francs) des coûts pour la mise en place et la gestion des composantes techniques selon l’art. 11
Composantes techniques Coûts d’investissement Coûts d’exploitation
– Registre des organismes certifiés en --- extrêmement faibles vertu de l’art. 7 – Registre des identificateurs d’objet déjà investis 30 000 à 40 000 – Services de recherche de données inconnus env. 50 000 – Point de contact national inconnus inconnus
4.2 Conséquences pour les cantons et les communes
La mise en œuvre du présent avant-projet peut engendrer un accroissement des coûts financiers et en personnel pour les cantons pour les raisons suivantes : – contribution des cantons au financement des tâches de l’organisation qui succèdera à l’organe de coordination Confédération-cantons « eHealth Suisse » (art. 13, al. 2 - voir à ce propos les remarques sous le chiffre 4.1) et à la mise en place et à l’exploitation des composantes techniques selon l’art. 11 ; – participation à l’élaboration des dispositions légales de la Confédération (art. 10) ; – développement et mise en œuvre des « initiatives eHealth » cantonales, dont l'information destinée à la population ; – mise en place d’un registre national pour les professions de la santé non- universitaires, utilisant la législation cantonale comme base de l'édition des moyens d'identification pour les professionnels de la santé à remettre aux groupes professionnels concernés (art. 5). Comme indiqué au chiffre 1.4, le présent avant-projet ne modifie en rien la répartition des tâches et des compétences entre la Confédération et les cantons dans le domaine de la santé. Ces derniers sont chargés de garantir et d'organiser la couverture sanitaire. Partant, ils sont responsables, tant pour les tâches que pour le
58
financement, de créer les conditions afin qu'un nombre croissant d'institutions hospitalières (hôpitaux contractants ou figurant sur une liste cantonale, cliniques de réadaptation, établissements médico-sociaux et maisons de naissance) et de professionnels de la santé, notamment les médecins, se fassent certifier en tant que communautés ou s'affilient à une communauté certifiée. A cet égard, les cantons doivent agir dans leur domaine de compétence pour développer et mettre en œuvre des « initiatives eHealth », comme mentionné plus haut. A cette fin, ils sont libres de choisir la manière de procéder.
4.3 Conséquences pour d’autres acteurs
La mise en œuvre d’autres éléments centraux du présent avant-projet aura également des conséquences financières : – Certification : en vertu de l’art. 7, les données sur les patients importantes pour le traitement ne pourront être rendues accessibles ou faire l’objet de requêtes que par des communautés certifiées. Comme les frais de certification dépendent en très grande partie des exigences relatives à cette dernière, qui ne seront fixées en détail que dans le droit d’exécution, les coûts présentés dans le tableau 3 ne constituent également que des estimations grossières.
Tableau 3 Estimation (en francs) des coûts pour une certification selon l'art. 7, pour les communautés
Type de communauté Première certification Audits annuels de Re-certification la 3e renouvellement année
Médecins individuels ou réseaux de médecins 9 000 à 15 000 8 000 7 000 à 11 500 Petites communautés rassemblant 30 000 à 45 000 10 000 à 14 000 22 500 à 35 000 plusieurs professionnels de la santé Petits réseaux d’hôpitaux 40 000 à 60 000 12 000 à 18 000 30 000 à 45 000 Réseau avec un hôpital universitaire 80 000 à 16 000 à 60 000 à 100 000 22 000 75 000
Contrairement aux hôpitaux, dont les frais de certification peuvent être considérés comme insignifiants par rapport aux coûts annuels d'infrastructure et d’exploitation, les frais de certification pour les cabinets de médecins individuels ou pour les petits réseaux de médecins peuvent, en s’ajoutant aux investissements nécessaires pour installer un système électronique d’informations du cabinet (cf. chiffre 4.4), représenter un obstacle supplémentaire. – Moyens d’identification pour les patients : en vertu de l’art. 5, al. 4, le Conseil fédéral fixera les moyens d’identification autorisés (support de l’identité électronique) pour les patients, ainsi que les exigences relatives à leur procédure d’émission. Les coûts relatifs à l’émission et à la gestion des identités électroniques et des moyens d’identification dépendent en grande partie des exigences concrètes quant aux processus d’édition et aux quantités
59
de production. Les coûts devraient s’échelonner entre 5 francs (coûts d’une carte d’assuré selon l’art. 42a LAMal137 complétée d’un certificat d’authentification) et 35 francs (Suisse-ID) par moyen d’identification et par an (édition et administration des certificats incluses). – Moyens d’identification pour les professionnels de la santé : le Conseil fédéral délèguera probablement la tâche d’éditer les moyens d’identification pour les professionnels de la santé (art. 5, al. 4) aux associations professionnelles. Les exigences relatives au processus d’édition seront également fixées dans le cadre du droit d’exécution. Il n’est donc pas possible pour l’instant d’estimer précisément les coûts. Les coûts supportés par la Fédération des médecins suisses (FMH) pour la « carte de professionnel de la santé » peuvent servir d’ordre de grandeur : ils se montent à environ 18 francs par carte et par an et comprennent les coûts d’édition et d’administration des certificats.
4.4 Conséquences économiques
Comme mentionné au chiffre 1.5, une première AIR globale a déjà été menée entre juin et septembre 2010, sur recommandation du « groupe d’experts cybersanté ». Les modélisations et estimations des conséquences qu’aurait une réglementation juridique sur l’introduction et la diffusion d’un dossier électronique du patient utilisées dans cette AIR ont été élaborées et affinées sur la base du présent avant- projet et avec la contribution des acteurs concernés. Les principaux résultats sont résumés ci-après, selon les cinq critères d’examen de l’AIR : Nécessité et possibilité d’une intervention de l’Etat Sans intervention de l’Etat, la mise en réseau des pharmacies et des hôpitaux avec d’autres professionnels de la santé sur tout le territoire ne se ferait que très lentement. Les pharmacies et les hôpitaux investissent déjà dans des systèmes électroniques d’information locaux (indépendamment du dossier électronique du patient), mais la mise en réseau de ces systèmes locaux n’a lieu, dans le meilleur des cas, qu’au niveau régional. En ce qui concerne les cabinets médicaux, il faut s’attendre à une stagnation des investissements s'il n'y a pas de réglementation de l'Etat. C’est notamment dû au fait que le corps médical craint de devenir dépendant, à long terme, d’un fournisseur de systèmes d’information de cabinet faute de standards techniques. Bien souvent, les formats de données actuellement utilisés dans les systèmes d’information des cabinets ne sont pas compatibles entre eux. Les données déjà stockées de manière électronique ne peuvent donc pas être transférées telles quelles d’un système à un autre. Cette situation limite la compétition et contraint les médecins à rester longtemps chez leur fournisseur d’origine, même si ce n’est pas forcément économique. Il en résulte une insécurité des investissements qui freine la saisie électronique volontaire des données des patients et gêne le regroupement en communautés. En revanche, si le législateur fixait des standards pour la mise à disposition et la requête de données sur les patients, et pour l'identification des patients et des professionnels de la santé, alors l’introduction et la diffusion du dossier électronique
137 RS 832.10
60
du patient en seraient accélérées. Les procédures de certification prévues accroissent la sécurité des investissements, promeuvent le regroupement volontaire des professionnels de la santé en communautés et facilitent la mise en œuvre des obligations posées par l’art. 18 du présent avant-projet138 aux fournisseurs de prestations selon les art. 39 et 49a, al. 4, LAMal. Ainsi, la masse critique de communautés nécessaires pour que les effets de réseau soient sensibles peut être atteinte plus vite. Ce n’est qu’à partir du moment où ces effets seront tangibles qu’il deviendra intéressant pour les professionnels de la santé et les communautés de mettre à disposition des données médicales sur leurs patients importantes pour le traitement, sous forme électronique. L’utilité du dossier électronique du patient augmente donc avec le nombre de professionnels de la santé affiliés à des communautés certifiées. Enfin, l’application de la protection des données représente un intérêt public légitime. La diffusion du dossier électronique du patient et donc la réalisation du potentiel économique correspondant pourraient être remises en question si la protection des données n’est pas appliquée, étant donné le manque de confiance de l’utilisateur éventuel. Effets sur les différents groupes sociétaux Dans le cadre des modèles de calcul pour les années 2011 à 2031, les coûts et bénéfices financiers, en personnel et autres coûts et bénéfices matériels ainsi qu’immatériels ont été estimés pour les hôpitaux, les médecinstraitants, les pharmaciens et la population. 2015 a été prise comme année d’entrée en vigueur de la loi et du droit d’exécution correspondant. – Ces dernières années, presque toutes les pharmacies ont investi dans des systèmes d’information électroniques locaux. Pour certaines, la mise en réseau est déjà bien avancée. Toutefois, le regroupement en communautés nécessaire pour renforcer la mise en réseau avec d’autres professionnels de la santé et la mise à disposition des moyens d’identification nécessaires vont à nouveau requérir des investissements, qui dépasseront au début les bénéfices. On peut cependant s’attendre à une augmentation rapide du bénéfice dans les pharmacies. D’après les calculs modèles, l’année 2018 devrait déjà apporter un bénéfice net annuel positif. Le bénéfice net cumulé jusqu’en 2031 est estimé à 89 millions de francs pour les pharmacies. – Dans les hôpitaux, il est probable que des systèmes d’information cliniques électroniques locaux s’installent relativement vite au niveau national, indépendamment du dossier électronique du patient, en raison de l’introduction des forfaits par cas, uniformes et liés aux prestations pour indemniser les prestations hospitalières (système DRG). Lescoûts et les bénéfices de ces systèmes d’information ne doivent ainsi pas être attribués aux conséquences du présent texte de loi. L’exigence inscrite à l’art. 18 peut être mise en œuvre rapidement à l’aide des systèmes d’information cliniques locaux, car aucun frais d’investissement élevés ne s’ajouteraient aux frais de certification. Utiliser les informations à disposition dans le dossier électronique du patient permettrait de réaliser rapidement un bénéfice annuel net (matériel ou immatériel), notamment grâce aux actes de diagnostic et de traitement qui pourraient être ainsi évitées (p. ex., rapports radiologiques ou
138 RS 832.10
61
laboratoires). Le bénéfice global annuel dépasse pour la première fois les coûts globaux annuels seulement trois à quatre ans après le début des investissements nécessaires. D’ici à l’année 2031, le bénéfice net annuel cumulé devrait se monter à 150 millions de francs. – Pour les cabinets médicaux, seule une tendance vers un bénéfice net positif est à attendre au cours de la période examinée. Contrairement aux pharmacies et aux hôpitaux, la majeure partie d’entre eux ne dispose pas encore d’un système électronique d’information de cabinet facilitant les traitements. Les médecins craignent de devenir dépendants de leur fournisseur d’outils informatiques. Si fixer des standards techniques obligatoires peut permettre de dépasser cette crainte, il n’en reste pas moins que les cabinets médicaux auront à débourser des frais d’investissement et de certification élevés, qu’ils n’amortiraient pas financièrement au cours de la période considérée par l’AIR, soit avant 2031. Il faut donc considérer que, d’un point de vue économique, les cabinets médicaux ne seraient que faiblement disposés à se regrouper volontairement en communautés. C’est problématique dans la mesure où, comme expliqué plus haut, le bénéfice économique global et le bénéfice pour les cabinets médicaux dépendent du nombre de professionnels de la santé regroupés en communautés. Bien que la tendance générale soit positive, le bénéfice net cumulatif est, selon le modèle de calcul, toujours négatif à la fin de la période considérée par l’AIR (-439 millions de francs). – C’est la population qui retirera le plus grand bénéfice du dossier électronique du patient est maximal. Le groupe de patients atteints d’une maladie chronique (environ 1,7 millions de personnes) peut escompter un bénéfice net clairement positif dès 2016. Ces patients sont immédiatement gagnants, puisqu’ils sont généralement suivis par plusieurs institutions, et que la mise en réseau et la disponibilité des informations médicales les concernant amélioreront notablement la qualité de leurs soins. Dès que les professionnels de la santé le long de la chaîne de soins commenceront à se mettre en réseau, le bénéfice net augmentera jusqu’à 145 millions de francs par an pour le groupe des malades chroniques. On escompte également un bénéfice net clairement positif dès 2016 pour le reste de la population. Même si les individus qui ne sont pas atteints de maladies chroniques ont moins besoin de suivi médical, ils bénéficieront aussi de la disponibilité des informations par le biais du dossier électronique du patient lorsqu’ils auront besoin d’un traitement, puisque cela contribue, par exemple, à prévenir le risque de complication due à des médicaments, et donc à éviter les consultations médicales et hospitalisations qui pourraient en résulter. Le bénéfice net cumulé escompté pour l’ensemble de la population s’élève à 3,569 milliards de francs. Même si cette valeur représente presque exclusivement un bénéfice immatériel, il est évident que la plus grande partie des bénéfices tirés de la présente réglementation reviendra à la population, conformément aux objectifs fixés par la « Stratégie Cybersanté (eHealth) Suisse » (cf. chap. 1.2).
Conséquences pour l’économie globale D'un point de vue économique, la mise en œuvre des mesures proposées devrait, à long terme, améliorer la qualité des soins et la sécurité des patients, et renforcer
62
l’efficience du système de santé. Par contre, la technologie de la cybersanté engendre des coûts d’investissement, de certification et de maintenance ainsi que des frais administratifs et des coûts liés à la modification des processus. Selon les évaluations réalisées dans le cadre des modèles de calcul pour la période 2011 – 2013, il faut escompter des coûts totaux de près de 4,147 milliards de francs, pour un bénéfice d’environ 7,669 milliards de francs (cf. tableau 4). Le rapport coûts-bénéfices financiers est négatif (-270 millions de francs). En revanche, le rapport coûts-bénéfices économiques (conséquences financières et matérielles et en personnel) est légèrement positif (57 millions de francs139). En ce qui concerne les bénéfices immatériels, on peut escompter, d’ici à 2031, un bénéfice net économique cumulé de 3,522 milliards de francs au total ou près de 176 millions de francs par année en moyenne140. Ce montant correspond environ au 0,3 % des 61 milliards de francs dépensés en 2009 dans le domaine de la santé. Les coûts et bénéfices essentiels commenceront à se mettre en place en 2016 et 10 ans plus tard, le bénéfice net économique atteindra, selon le modèle de calcul, un niveau stable de plus de
330 millions de francs par an.
Tableau 4
Coûts et bénéfices financiers, matériels et immatériels de la mise en œuvre de la LDEP, cumulés jusqu’en 2031, en milliards de francs
Catégorie de bénéfices Coûts Bénéfice Bénéfice net
financier1) 1,559 1,289 -0,270 matériel/personnel2) 0,375 0,702 0,327 immatériel3) 2,213 5,678 3,465 Total 4,147 7,669 3,522 1) Ce poste contient tous les coûts financiers induits (p. ex., frais d’investissement, achat de licences pour les logiciels). 2) Ce poste comprend en particulier les coûts personnels (p. ex., temps consacré à informer les patients) et les bénéfices personnels (p. ex., gain de temps grâce à la modification des processus cliniques). Il s’agit donc de conséquences économiques, mais pas directement financières. 3) Ce poste comprend toutes les conséquences qui n’engendrent ni coûts ni bénéfices financiers ou matériels directs. Pour les coûts, il s’agit, p. ex., de la restriction de la marge de manœuvre entrepreneuriale, et pour les bénéfices, d’un meilleur respect des directives thérapeutiques ou d’une qualité de traitement accrue, grâce à une meilleure collaboration de différents professionnels de la santé.
Scénario alternatif Afin d’évaluer les effets d’une réglementation très étendue sur les modèles de calcul appliqués, une autre réglementation a été choisie qui prévoit, outre les éléments déjà régis par le présent avant-projet, un financement de départ et un régime obligatoire selon lequel les cabinet médicaux sont tenus de s’associer à une communauté. Lors
139 Résulte des 327 millions de francs de bénéfice matériel net et des -270 millions de francs de bénéfice financier net. 140 Ce montant correspond à la valeur moyenne pour la période examinée. Le bénéfice net annuel augmente avec le temps, étant donné que les coûts d'investissement sont supérieurs à la moyenne les premières années.
63
de la modélisation des coûts et des bénéfices de cette alternative, il a été considéré que l’Etat ne prendrait en charge les coûts d’investissement des cabinets médicaux que pour les sept années suivant l’entrée en vigueur de la loi. On peut supposer qu’une grande partie des cabinets investiraient dans des systèmes locaux d’information du cabinet au cours de cette période, de sorte à bénéficier de ce soutien financier. L’introduction des systèmes locaux d’information du cabinet nécessaires pour échanger des données entre communautés serait plus rapide, ce qui accélèrerait le regroupement de cabinets médicaux en communautés et donc la mise en réseau avec d’autres professionnels de la santé. Le volume d’informations, et par conséquent, l’utilité d’un dossier électronique du patient augmenteraient d’autant plus vite. Cependant, si l’Etat prenait à sa charge les frais d’investissement, il devrait assumer des coûts considérablement plus élevés. D’après les calculs modèles, ces coûts ont été estimés entre 11 et 65 millions de francs par an, soit un total d’environ 290 millions de francs. Le bénéfice net cumulé pour l’Etat (y compris les économies réalisées dans le système sanitaire, qui ne sont pas versées directement dans les caisses de l’Etat) passerait de 131 millions de francs (avec le présent avant-projet) à environ -61 millions de francs (scénario alternatif). Déchargés de ces frais, les cabinets médicaux verraient leur bénéfice net cumulé passer de -439 millions de francs (avec le présent avant-projet) à 90 millions de francs (scénario alternatif). Le scénario alternatif prévoit, pour l’économie globale, un bénéfice net économique cumulé d’environ 4,116 milliards de francs (cf. tableau 5), dépassant ainsi le bénéfice net de la réglementation proposée de quelques 594 millions de francs. D’un point de vue purement économique (conséquences financières et matérielles/personnelles), à l’issue de la période considérée, le bénéfice dépasse les coûts de plus de 282 millions de francs, soit plus que dans le scénario de la réglementation proposée. De plus, d’un point de vue économique, la réglementation alternative permet d’atteindre le seuil de rentabilité environ deux ans plus tôt (vers 2028).
Tableau 5
Coûts et bénéfices financiers, matériels et immatériels, cumulés jusqu’en 2031 du scénario alternatif, en milliards de francs Catégorie de bénéfices1) Coûts Bénéfices Bénéfices nets
financier 1,555 1,379 -0,176 matériel/personnel 0,400 0,858 0,458 immatériel 2,310 6,144 3,834 Total 4,265 8,381 4,116 1) Cf. exemples relatifs aux différentes catégories de bénéfices dans le tableau 4.
En plus du scénario alternatif, le cas de référence (pas de réglementation) a été étudié. Dans ce cas aussi, les efforts des différents acteurs engendreraient des coûts, sans que cela ne permette d’atteindre les bénéfices pour l’ensemble de la société que vise la réglementation proposée.
64
Adéquation dans l’exécution Comme les détails du droit d’exécution ne sont pas encore connus, il n’est à ce jour pas possible pour le moment de tirer de conclusions sur l’« adéquation de l’exécution ».
5 Aspects juridiques
5.1 Constitutionnalité
L’avant-projet de loi se fonde sur les articles 95, al. 1 et 122, al. 1, Cst.141, qui habilitent la Confédération à légiférer dans le domaine les activités lucratives relevant de l’économie privée et du droit privé.
5.2 Forme de l’acte à adopter
En vertu de l’art. 164 Cst.142, toutes les dispositions importantes qui fixent des règles de droit doivent être édictées sous la forme d’une loi fédérale. Cette exigence est remplie par la promulgation de la présente loi. Conformément à l’art. 141, al. 1, let. a, Cst.143, les lois fédérales sont soumises au référendum facultatif. En l’occurrence, la LDEP prévoit explicitement un référendum facultatif (art. 19).
5.3 Frein aux dépenses
En vertu de l’art. 159, al. 3, let. b, Cst.144, les dispositions relatives aux subventions, ainsi que les crédits d’engagement et les plafonds de dépenses, s’ils entraînent de nouvelles dépenses uniques de plus de 20 millions de francs ou de nouvelles dépenses périodiques de plus de 2 millions de francs, doivent être adoptés à la majorité des membres de chaque conseil. L’indemnisation selon l’art. 16, al. 3, prévue pour les tâches externalisées d’exécution, devrait conduire à un dépassement de la limite de 2 millions de francs par année pour les dépenses périodiques, même en cas de cofinancement à hauteur de 50 % par les cantons. Pour cette raison, l’art. concerné doit être soumis au frein aux dépenses.
5.4 Délégation de compétences législatives
Une loi fédérale peut déléguer des compétences législatives, à moins que la Cst. ne l’exclue (art. 164, al. 2, Cst.145). La Constitution fédérale pose une restriction générale à la possibilité de déléguer, en particulier en créant l’obligation d’édicter
141 RS 101 142 RS 101 143 RS 101 144 RS 101 145 RS 101
65
les dispositions fondamentales importantes sous la forme d’une loi fédérale (art. 164, al. 1, Cst.146). Le Conseil fédéral peut édicter des ordonnances législatives dans la mesure où la transmission de cette compétence est prévue formellement dans une loi, où elle se limite à un objet précis et où, en cas d’interventions importantes sur les droits individuels, les grandes lignes sont définies formellement dans ladite loi (cf. art. 182, al. 1, Cst.147). Dans plusieurs dispositions, l’avant-projet de loi confère au Conseil fédéral la compétence d’édicter des dispositions d’exécution148. Cela se justifie parce que l’avant-projet de loi règle déjà dans de nombreux cas des principes qui fixent le cadre dans lequel devra s’inscrire la législation édictée par le Conseil fédéral. De plus, il est pertinent de prévoir d’habiliter le Conseil fédéral à édicter des dispositions d’exécution dans tous les domaines où une adaptation rapide à de nouvelles évolutions techniques et à une harmonisation internationale peut s’avérer nécessaire. Les réglementations qui entraînent des coûts de concrétisation élevés doivent s’inscrire au niveau de l’ordonnance. Pour plus de détails concernant les différentes normes de délégation, se reporter aux commentaires au chiffre 3. Seul l’art. 8, al. 2, prévoit de manière explicite la possibilité de sous-déléguer des tâches à l’Office fédéral de la santé publique. En vertu de cette disposition, le Conseil fédéral peut le charger de mettre à jour les exigences initialement posées en matière de certification, pour les adapter à l’état de la technique.
146 RS 101 147 RS 101 148 C’est principalement le cas dans le domaine de la certification (art. 7 à 9).
66