Conservation de dossiers médicaux dans le nuage

De plus en plus de médecins désirent conserver le dossier de leurs patients dans un nuage informatique. Si cette méthode offre maints avantages, elle n’en est pas moins problématique en raison de la protection du secret médical en droit pénal. En cas d’externalisation de la conservation des dossiers, il s’agit surtout d’assurer que des tiers ne puissent traiter indûment les données des patients.

La loi sur la protection des données autorise la transmission à un tiers du traitement de données personnelles et, de ce fait, la gestion de dossiers médicaux. Cela néanmoins uniquement à la condition que les données en question ne soient traitées que comme le mandant (en l'occurrence le médecin) serait en droit de le faire lui-même et qu'aucune obligation légale ou contractuelle de garder le secret ne l'interdise. En vertu du droit pénal, les médecins sont tenus au secret professionnel pour ce qui concerne les antécédents médicaux ou le contenu du dossier médical. Il s'agit d'une obligation légale de garder le secret qui ne peut être déléguée à un tiers, ou uniquement sur la base d'un contrat. La responsabilité du traitement des données de patients demeure ainsi auprès du médecin.

Nous avons enjoint tous les médecins et fournisseurs de services informatiques en nuage qui se sont adressés à nous de se reporter à nos explications concernant l'informatique en nuage (cloud computing) afin de les sensibiliser à cette thématique. Nous avons attiré en particulier leur attention sur ceci: lorsqu'un médecin délègue le traitement des dossiers de ses patients à un tiers, il demeure responsable du respect du secret médical. Il devrait donc veiller à ce que la sécurité des données auprès de tiers, donc dans le nuage (réseau dématérialisé) soit garantie conformément à la loi sur la protection de données. En d'autres termes, les données des patients doivent être protégées par des mesures techniques et organisationnelles adéquates contre tout traitement indu. Le médecin doit contrôler et surveiller la confidentialité, la disponibilité et l'intégrité des données.

Pour cette raison, pour un médecin exerçant en Suisse, il n'y a selon nous que la solution suivante: le fournisseur de services informatiques en nuage et le nuage doivent être en Suisse et garantir de manière contractuelle au médecin que les données des patients ne quittent pas la Suisse. Les données des patients doivent être systématiquement chiffrées de sorte que le médecin en qualité de maître du fichier soit la seule personne à posséder la clé permettant d'accéder aux données se trouvant dans le nuage. Le fournisseur de services en nuage ne doit pas avoir accès à cette clé. Le maître de fichier, soit le médecin, peut transmettre les données à des fins statistiques, mais il doit les avoir totalement anonymisées auparavant. À notre avis, ces mesures sont les seules à garantir totalement que le médecin est à même de respecter le secret médical auquel il est tenu en vertu du droit pénal et qu'à
aucun moment, les données des patients ne sont traitées de manière injustifiée.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/22e-rapport-d-activites-2014-2015/conservation-de-dossiers-medicaux-dans-le-nuage.html