Dispositions d’exécution de la loi fédérale sur le dossier électronique du patient

La loi fédérale sur le dossier électronique du patient (LDEP) a été adoptée par le Parlement le 19 juin 2015. Le délai référendaire a expiré le 8 octobre 2015. L’identifiant sectoriel pour le dossier électronique du patient est donc devenu réalité. Mais de nombreux points délicats doivent encore être clarifiés.

La LDEP doit entrer en vigueur mi-2017. Elle régit les principes tels que le fait que l'identification des patients se fasse non seulement par le numéro d'assurance sociale, mais aussi via un identificateur sectoriel eHealth. Nous avons œuvré et plaidé pendant plusieurs années pour arriver à cette étape importante. Pourtant, de nombreux points déterminants ne seront clarifiés que dans les ordonnances connexes. Durant l'année sous revue, nous nous sommes exprimés en détail sur les projets présentés, dans le cadre de la consultation des offices. Parmi les principaux points de notre prise de position, on peut citer le droit de la protection des données qui s'applique aux communautés de référence et eHealth, les conditions de certification et les autorisations d'accès.

Concernant le droit de la protection des données qui s'applique aux communautés et aux communautés de référence, nous estimons que la loi sur la protection des données (LPD) s'applique au traitement de données personnelles et que nous sommes l'autorité de surveillance compétente en la matière. Cette conclusion doit être énoncée dans les commentaires relatifs à l'ordonnance. Les communautés doivent se constituer en tant que personnes morales de droit civil, indépendamment du type de participants, et la relation entre patients et communautés/communautés de référence doit être de nature privée. C'est ainsi que la LPD s'applique. Indépendamment de cette motivation purement juridique, l'application de la LPD s'impose également pour des raisons pratiques. Il est important, dans l'optique de la sécurité juridique des patients et des autres participants au système eHealth Suisse, que les mêmes dispositions de protection des données s'appliquent au dossier électronique du patient dans toute la Suisse et qu'une autorité de surveillance en garantisse l'application uniforme. En ce sens, l'application de la LPD et la surveillance par nos soins servent également de pérennisation des investissements aux communautés et communautés de référence ainsi qu'à leurs organisations d'exploitants. L'Office fédéral de la santé publique (OFSP) interviendra en tant que propriétaire du schéma de certification et devra s'assurer du respect des prescriptions de certification, en collaboration avec les certificateurs accrédités. Nous restons toutefois compétents pour la surveillance de la protection des données.

Concernant les conditions techniques et organisationnelles de certification pour les communautés et communautés de référence, nous avons regretté une focalisation excessive sur la sécurité des données et le fait que les aspects de la protection des données soient insuffisamment pris en compte. Une telle approche contredit d'une part la disposition de la LDEP qui prévoit une certification tenant compte à la fois de la protection et de la sécurité des données et d'autre part, le respect de la protection des données représente une exigence centrale du dossier électronique du patient. Il convient d'accorder à ce point un poids suffisant dans le cadre des prescriptions de certification.

De même, nous avons pris position sur la possibilité de donner à des groupes de professionnels de la santé l'accès au dossier électronique du patient. À cet égard, nous avons souligné que les dispositions d'ordonnance ne prévoyaient pas l'accès de ces groupes de manière restrictive, comme nous l'avions demandé. Au contraire, elles doivent donner lieu à des autorisations globales de groupe. Selon nous, l'octroi d'autorisations représente une déclaration d'intention qui ne peut avoir un effet juridique que si elle est émise à l'égard d'une personne ou d'un service possédant une personnalité juridique. Une déclaration d'intention adressée à un groupe de personnes, par exemple les collaborateurs d'un service dans un hôpital, ne constitue pas selon nous une attribution d'autorisation juridiquement valable puisque ce groupe ne possède aucune personnalité juridique en soi.

Dans ce sens, nous aurions attendu que l'autorisation de groupes soit consignée dans l'ordonnance de sorte qu'il s'agisse en principe d'une attribution d'autorisation à des personnes individuelles. Celles-ci seraient ensuite représentées en tant que groupe dans les différents registres de la communauté ou communauté de référence. Mais le projet d'ordonnance va exactement dans la direction opposée. Il établit expressément que les patients peuvent accorder des autorisations à des groupes de professionnels de la santé. La composition de ces groupes doit simplement être claire à tout moment.

L'OFSP est manifestement conscient que cette approche peut devenir problématique. Car d'une part, les communautés doivent s'assurer que les groupes ne sont pas démesurés et, d'autre part, le commentaire sur les conditions techniques et organisationnelles de certification souligne qu'il ne faut pas accorder d'autorisation à un nombre disproportionné de professionnels de la santé hors contexte thérapeutique. La disposition établissant que les groupes ne doivent pas être trop importants nous paraît peu appropriée. Personne ne pourra définir ici une échelle de la taille du groupe pour l'évaluation de la proportionnalité. Une règle pourrait en principe être trouvée avec le contexte thérapeutique, mais l'ordonnance et la remarque susmentionnée la vident totalement de sens. Une autorisation qui ne serait pas délivrée expressément par le patient à des professionnels de la santé extérieurs au contexte thérapeutiques devrait être totalement exclue.

L'un des principes définis pour eHealth Suisse énonce que seuls les professionnels de la santé participant au traitement doivent avoir accès au dossier électronique du patient. L'indication de l'OFSP selon lequel le nombre de professionnels de la santé disposant d'un droit d'accès alors qu'ils ne participent pas au traitement ne devant pas être important n'est pas compréhensible. En outre, cette problématique est accentuée par le fait qu'il peut s'agir d'un groupe fluctuant. On peut donc supposer qu'un professionnel de la santé entrant dans le groupe obtiendra automatiquement les autorisations d'accès correspondantes. Dès lors, on ne peut plus parler d'une attribution d'autorisation par le patient.

Il convient également de prêter une attention particulière au rôle des assistants des professionnels de la santé. Ces personnes doivent également avoir accès au dossier électronique du patient, bien que cela ne soit mentionné ni dans la loi, ni dans le projet d'ordonnance. Le cercle des détenteurs de l'autorisation d'accès s'élargit donc encore. Par conséquent, les données du protocole doivent permettre aux patients de savoir quels assistants accèdent à leur dossier électronique et pour quels professionnels de la santé ils travaillent. Car au final, c'est bien le professionnel de la santé qui est responsable de ses assistants.

D'une manière générale, l'analyse des dispositions d'exécution relatives à la LDEP nous a donné l'impression qu'on ne visait plus clairement une séparation stricte des systèmes primaires (p. ex. système d'information sur les patients d'un hôpital ou d'un cabinet) et secondaires (p. ex. service de consultation de la communauté). Ce qui montre peut-être déjà que le dossier électronique du patient évoluera vers une sorte de système primaire.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/23e-rapport-d-activites-2015-2016/dispositions-d_execution-de-la-loi-federale-sur-le-dossier-elect.html