Atousante

Protection des données de santé, secret professionnel

Marie-Thérèse Giorgio
Chapitres
  1. Données personnelles, données de santé : définition
  2. Devoir professionnel de discrétion dans la santé: bases légales
  3. Secret professionnel et de fonction pour les assureurs, les médecins experts
  4. Traitement des données relatives à la santé du patient dans le Canton de Genève
  5. La Suisse et le RGPD

Indépendamment de la nature et du lieu de leur activité, les professionnels de la santé sont tenus à la discrétion, selon le Code pénal et selon la législation sur la santé. C’est ainsi que toutes les informations concernant les patients ( données de santé) qu’ils apprennent au cours de leur travail relèvent du secret professionnel. Et ils doivent, avant de les transmettre à des tiers, obtenir le consentement de ces derniers. Les données personnelles de santé sont des données dites sensibles et à ce titre exigent une protection renforcée. Le RGPD, Règlement sur la Protection des données en vigueur depuis le 24 mai 2016 sera applicable dès le 25 mai 2018 (art. 99 RGPD). Rappelons que le droit à la protection des données personnelles, qui est bien ancré dans le droit fédéral, ne vise pas à assurer la protection des données mais bien la personnalité. En plus de la loi fédérale sur la protection des données, il existe donc d’autres bases légales au traitement des données personnelles, notamment le secret médical pour les données de santé.

Données personnelles, données de santé : définition

Au niveau fédéral, Loi sur la protection des données, LPD

Selon la Loi sur la protection des données, LPD, article 3


On entend par:
  • a. données personnelles (données), toutes les informations qui se rapportent à une personne identifiée ou identifiable;
  • b.personne concernée, la personne physique ou morale au sujet de laquelle des données sont traitées;
  • c.données sensibles, les données personnelles sur:
    • 1.les opinions ou activités religieuses, philosophiques, politiques ou syndicales,
    • 2.la santé, la sphère intime ou l’appartenance à une race,
    • 3.des mesures d’aide sociale,
    • 4.des poursuites ou sanctions pénales et administratives;
  • d.profil de la personnalité, un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique;
  • e.traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données;
  • f.communication, le fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant;
  • g.fichier, tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée;
  • h.organe fédéral, l’autorité ou le service fédéral ainsi que la personne en tant qu’elle est chargée d’une tâche de la Confédération;
  • i.maître du fichier, la personne privée ou l’organe fédéral qui décide du but et du contenu du fichier;
Au regard de la LPD, loi fédérale sur la protection des données, les données de santé sont des données sensibles. Ce sont des informations qui concernent la santé d’une personne identifiée. Traiter ces données correspond à collecter, conserver, exploiter, modifier, communiquer, archiver ces données. Communiquer ces données signifie les rendre accessibles en autorisant leur consultation, en les transmettant ou les diffusant.

Les Principes de la LPD sont listés à l’article 4

Le traitement des données doit être licite c’est à dire juridiquement autorisé et doit être effectué conformément au principe de proportionnalité : c’est à dire que l’on ne doit collecter et utiliser que ce qui est nécessaire par rapport au but que l’on poursuit.

La collecte des données ne doit pas être réalisée à l’insu de la personne concernée.
A défaut de consentement les données ne peuvent pas être conservées.
A noter qu’il n’existe pas de disposition légale à propos du support utilisé pour ce consentement : peut être orale, tacite ou résulter des circonstances. Il est prudent de recueillir un consentement éclairé c’est à dire qu’il faut expliquer quelle utilisation sera faite des données.

Loi cantonale / exemple du Canton de Genève,

LIPAD, Loi sur l’information du public, l’accès aux documents et la protection des données personnelles

Parmi les données personnelles, la LIPAD distingue les données sensibles (art. 4, lettre b LIPAD) pour lesquelles une protection renforcée est prévue parce qu’elles relèvent de la sphère intime de chaque individu; les données concernant la santé en font partie (art. 4 let. b ch. 2 LIPAD). La loi ne donne pas de définition de ce que recouvre la notion de « santé».

Loi sur l’information du public, l’accès aux documents et la protection des données personnelles, LIPAD

Par donnée personnelle, il faut comprendre : « toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable » (art. 4 let. a LIPAD).
Une telle identification peut être faite de multiples manières : par le biais du nom, du numéro de téléphone, de la date de naissance, de l’adresse, d’une adresse de courriel, d’une photo, d’un enregistrement vidéo, des empreintes digitales, de la voix, la reconnaissance de l’iris de l’œil, de l’ADN, d’un numéro d’identification personnel (numéro AVS), d’une plaque d’immatriculation automobile, etc. L’identification peut donc être directe ou indirecte.
La LIPAD est applicable à tout traitement de données à caractère personnel quel que soit le procédé utilisé.

Art. 4(2) LIPAD

Définitions
Dans la présente loi et ses règlements d’application, on entend par :

  • a) données personnelles (ou données), toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable;
  • b) données personnelles sensibles, les données personnelles sur :
    • 1° les opinions ou activités religieuses, philosophiques, politiques, syndicales ou culturelles,
    • 2° la santé, la sphère intime ou l’appartenance ethnique,
    • 3° des mesures d’aide sociale,
    • 4° des poursuites ou sanctions pénales ou administratives;
  • c) profil de la personnalité, un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique;
  • d) fichier, tout système destiné à réunir, sur quelque support que ce soit, des données personnelles d’un segment de population déterminé, et structuré de manière à permettre de relier les informations recensées aux personnes qu’elles concernent;
  • e) traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données;
  • f) communication, le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant;
  • g) personne concernée, la personne physique ou morale au sujet de laquelle des données sont traitées;
  • h) organe, tout membre ou tout mandataire d’une institution visée à l’article 3 et assumant, pour le compte de celle-ci, la diffusion active des informations prévue à l’article 18, le traitement des demandes d’accès aux documents régies par la présente loi, ou celui de données personnelles;
  • i) numéro d’identification personnel commun, le numéro commun à deux ou plusieurs institutions constitué d’une suite de chiffres, comprenant cas échéant des lettres et signes, qui est destiné à identifier des personnes physiques ou morales recensées auprès de ces institutions.(9).

 

La LRCIM, Loi sur le réseau communautaire d’informatique médicale (e-Toile) distingue 5 catégories de données pour le patient

 

L’article 16 de la LRCIM distingue 5 catégories de données pour le patient et précise que le partage d’informations nécessite le consentement du patient :

Art. 16 Catégories de données
Les données concernant le patient sont réparties dans les catégories ci-dessous.

  • Données administratives
    Les nom, prénom, adresse et date de naissance du patient, le nom de la caisse-maladie et d’autres assurances maladie ou accidents, l’étendue de la couverture d’assurance.
  • Données utilitaires
    A sa demande expresse et dans les limites définies par le patient, les directives anticipées, les décisions relatives au don d’organes, les personnes à aviser en cas d’urgence ainsi que les données médicales que tous les prestataires de soins ont un intérêt reconnu à pouvoir consulter sans retard, telles que des allergies, un traitement spécifique (par exemple anticoagulant) ou une affection spéciale, telle que le diabète.
  • Données médicales 
    Toutes les pièces concernant le patient, notamment l’anamnèse, le résultat de l’examen clinique et des analyses effectuées, l’évaluation de la situation du patient, les soins proposés et ceux effectivement prodigués, avec l’indication de l’auteur et de la date de chaque inscription.
  • Données stigmatisantes
    Les données médicales dont la divulgation pourrait porter atteinte à la vie sociale ou privée du patient, selon sa propre appréciation ou après avoir pris conseil auprès du médecin de confiance.
  • Données secrètes
    Le patient peut demander au prestataire de soins, indépendant par rapport à une équipe de soins, de faire le nécessaire afin que ses données médicales ne soient pas accessibles sur le réseau. 

Devoir professionnel de discrétion dans la santé: bases légales

Conformément aux directives sur le devoir professionnel de discrétion :

Indépendamment de la nature et du lieu de leur activité, les professionnels de la santé sont tenus à la discrétion, selon le Code pénal et selon la législation sur la santé.
Toutes les informations concernant les patients qu’ils apprennent au cours de leur travail relèvent du secret professionnel. Et ils doivent, avant de les transmettre à des tiers, obtenir le consentement de ces derniers.

L’ensemble des données dont disposent les professionnels de la santé dans le cadre de l’exercice de leur activité doivent être tenues secrètes.

Bases légales du devoir professionnel de discrétion

 Secret professionnel selon l’article 321 du Code pénal suisse

Professionnels soumis au secret professionnel

Selon le Code pénal suisse, seuls certains groupes professionnels ainsi que leurs auxiliaires sont soumis au secret professionnel sous peine de sanction.
Dans le domaine de la santé, il s’agit : des médecins, des médecins-dentistes, des pharmaciens, des sages-femmes.
Sont considérés comme auxiliaires tous ceux qui soutiennent les professionnels susmentionnés dans l’exercice de leur fonction, notamment en exécutant des tâches d’ordre médical qui leur ont été déléguées et qui requièrent des informations protégées (personnel infirmier, assistantes médicales, secrétaires, comptables, etc.).

Code pénal suisse du 21 décembre 1937 (CP ; RS 311.0), article 321

Violation du secret professionnel
1. Les ecclésiastiques, avocats, défenseurs en justice, notaires, conseils en brevet, contrôleurs astreints au secret professionnel en vertu du code des obligations, médecins, dentistes, chiropraticiens, pharmaciens, sages-femmes, psychologues, ainsi que leurs auxiliaires, qui auront révélé un secret à eux confié en vertu de leur profession ou dont ils avaient eu connaissance dans l’exercice de celle-ci, seront, sur plainte, punis d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.
Seront punis de la même peine les étudiants qui auront révélé un secret dont ils avaient eu connaissance à l’occasion de leurs études.
La révélation demeure punissable alors même que le détenteur du secret n’exerce plus sa profession ou qu’il a achevé ses études.
2. La révélation ne sera pas punissable si elle a été faite avec le consentement de l’intéressé ou si, sur la proposition du détenteur du secret, l’autorité supérieure ou l’autorité de surveillance l’a autorisée par écrit.
3. Demeurent réservées les dispositions de la législation fédérale et cantonale statuant une obligation de renseigner une autorité ou de témoigner en justice.

Dispositions particulières du Code pénal : dérogations, obligation de renseigner même en l’absence de consentement :

 

Secret médical et devoir de discrétion selon la LSP, Loi sur la santé publique

Loi du 2 décembre 1984 sur la santé publique (LSP ; RSB 811.01), articles 27 et 28

Art. 27  : Devoir de discrétion

  • 1Les professionnels de la santé sont tenus de garder secrets tous les faits que leur communiquent leurs patients et patientes dans le cadre de leur traitement et toutes les observations dont ils prennent note.
  • 2lls sont libérés de leur devoir de discrétion lorsque le patient ou la patiente ou le service compétent de la Direction de la santé publique et de la prévoyance sociale les autorisent à donner des renseignements ou lorsqu’une disposition légale prévoit un droit ou une obligation d’informer.

Art. 28  : Droit et obligation d’informer

  • 1Les professionnels de la santé sont tenus de déclarer immédiatement aux autorités compétentes de poursuite pénale tout décès extraordinaire constaté dans l’exercice de leur profession.
  • 2Ils sont habilités, en dépit du secret professionnel qui les lie, à informer les autorités de poursuite pénale de tout fait permettant de conclure à un crime ou à un délit contre la vie ou l’intégrité corporelle, la santé publique ou l’intégrité sexuelle.
  • 3Ils sont autorisés, en dépit du secret professionnel qui les lie, à informer les autorités compétentes de tout fait permettant de conclure, dans le cadre de l’exécution de peines ou de mesures privatives de liberté ou d’un placement à des fins d’assistance, à la dangerosité d’un patient ou d’une patiente ou, en cas de dangerosité reconnue, à une modification de celle-ci. *
  • 4Ils sont libérés de l’obligation de dénoncer au Ministère public les crimes poursuivis d’office qui est inscrite à l’article 48 alinéa 1 de la loi du 11 juin 2009 portant introduction du code de procédure civile, du code de procédure pénale et de la loi sur la procédure pénale applicable aux mineurs (LiCPM)[6]. *
  • 5D’autres droits et obligations d’informer prévus dans la législation spéciale sont réservés.

Le secret professionnel selon la LPMéd, Loi sur les professions médicales

Loi fédérale du 23 juin 2006 sur les professions médicales universitaires (Loi sur les professions médicales, LPMéd ; RS 811.11), article 40, lettre f

Les personnes exerçant une profession médicale universitaire à titre d’activité économique privée sous leur propre responsabilité professionnelle doivent observer les devoirs professionnels suivants:

  • a.exercer leur activité avec soin et conscience professionnelle et respecter les limites des compétences qu’elles ont acquises dans le cadre de leur formation universitaire, de leur formation postgrade et de leur formation continue;
  • b.approfondir, développer et améliorer, à des fins d’assurance qualité, leurs connaissances, aptitudes et capacités professionnelles par une formation continue;
  • c.garantir les droits du patient;
  • d.s’abstenir de toute publicité qui n’est pas objective et qui ne répond pas à l’intérêt général; cette publicité ne doit en outre ni induire en erreur ni importuner;
  • e.défendre, dans leur collaboration avec d’autres professions de la santé, exclusivement les intérêts des patients indépendamment des avantages financiers;
  • f.observer le secret professionnel conformément aux dispositions applicables;
  • g.prêter assistance en cas d’urgence et participer aux services d’urgence conformément aux dispositions cantonales;
  • h.conclure une assurance responsabilité civile professionnelle offrant une couverture adaptée à la nature et à l’étendue des risques liés à leur activité.

Communication d’une information soumise au secret médical

Le guide de la FMH « Bases juridiques pour le quotidien du médecin » rappelle :

La communication d’une information soumise au secret médical est autorisée aux quatre conditions suivantes:
1. consentement du patient;
2. dérogation prévue dans une loi fédérale ou cantonale;
3. levée du secret médical par l’autorité cantonale compétente;
4. état de nécessité imminent selon les art. 17 s et 48a du Code pénal.

Secret professionnel et de fonction pour les assureurs, les médecins experts

Le droit fédéral exige également que les personnes qui participent à l’application des lois sur les assurances sociales régies par le droit fédéral ainsi qu’à leur contrôle et leur surveillance sont tenues de garder le secret à l’égard des tiers (art. 33 dela loi fédérale sur la partie générale du droit des assurances sociales, LPGA).

Art. 33 Obligation de garder le secret

Les personnes qui participent à l’application des lois sur les assurances sociales ainsi qu’à son contrôle ou à sa surveillance sont tenues de garder le secret à l’égard des tiers.

Art. 28 Collaboration lors de la mise en oeuvre

1 Les assurés et les employeurs doivent collaborer gratuitement à l’exécution des différentes lois sur les assurances sociales.
2 Celui qui fait valoir son droit à des prestations doit fournir gratuitement tous les renseignements nécessaires pour établir ce droit et fixer les prestations dues.
3 Le requérant est tenu d’autoriser dans des cas particuliers toutes les personnes et institutions, notamment les employeurs, les médecins, les assurances et les organes officiels à fournir des renseignements, pour autant que ceux-ci soient nécessaires pour établir le droit aux prestations. Ces personnes et institutions sont tenues de donner les renseignements requis.

Les assureurs traitent les données de santé des assurés, qui sont des données sensibles dont ils doivent garantir la protection.

Secret de fonction

Le secret de fonction concerne les personnes qui exercent une tâche de caractère public.

Cas des offices AI 

Les assurances sociales font figure d’exception dans le domaine de la protection des données : les services de l’AI sont des offices cantonaux, qui ne sont pas soumis à la Loi sur la protection des données qui est une loi fédéral. Il n’est donc pas nécessaire de recueillir le consentement de l’assuré pour la conservation des données.

L’expertise est un cas de traitement de données par un tiers

L’expert garantit la sécurité des données.

Un médecin dans son rôle d’expert :

 

Traitement des données relatives à la santé du patient dans le Canton de Genève

Loi sur la santé Genève, LS aborde le traitement des données de santé.

Art. 52 Tenue d’un dossier de patient 

1 Tout professionnel de la santé pratiquant à titre dépendant ou indépendant doit tenir un dossier pour chaque patient.
2 Le Conseil d’Etat désigne les professions qui sont exemptées de cette obligation, partiellement ou entièrement, et détermine les conditions de l’exemption.
3 Il fixe les exigences minimales concernant la tenue et le traitement des dossiers, y compris dans les institutions de santé. 

Art. 53 Contenu du dossier 

Le dossier comprend toutes les pièces concernant le patient, notamment l’anamnèse, le résultat de l’examen clinique et des analyses effectuées, l’évaluation de la situation du patient, les soins proposés et ceux effectivement prodigués, avec l’indication de l’auteur et de la date de chaque inscription. 

Art. 54 Dossier informatisé 

Le dossier du patient peut être tenu sous forme informatisée, pour autant que toute adjonction, suppression ou autre modification reste décelable et que l’on puisse identifier son auteur et sa date. 

Art. 55 Consultation du dossier 

1 Le patient a le droit de consulter son dossier et de s’en faire expliquer la signification.
Il peut s’en faire remettre en principe gratuitement les pièces, ou les faire transmettre au professionnel de la santé de son choix.
2 Ce droit ne s’étend pas aux notes rédigées par le professionnel de la santé exclusivement pour son usage personnel, ni aux données concernant des tiers et protégées par le secret professionnel. 

Art. 55A(14) Information des proches d’un patient décédé 

1 Pour autant qu’ils puissent justifier d’un intérêt digne de protection, les proches d’un patient décédé peuvent être informés sur les causes de son décès et sur le traitement qui l’a précédé, à moins que le défunt ne s’y soit expressément opposé. L’intérêt des proches ne doit pas se heurter à l’intérêt du défunt à la sauvegarde du secret médical, ni à l’intérêt prépondérant de tiers.
2 A cet effet, les proches désignent un médecin chargé de recueillir les données médicales nécessaires à leur information et de les leur transmettre.
3 Les médecins concernés doivent saisir la commission chargée de statuer sur les demandes de levée du secret professionnel, au sens de l’article 321, alinéa 2, du code pénal suisse.
4 Par proches, on entend les personnes visées à l’article 378, alinéa 1, du code civil suisse. 

Art. 56 Traitement des données 

1 Le traitement des données du patient, en particulier la communication de données à autrui, est régi par la législation fédérale, la législation cantonale sur la protection des données personnelles ainsi que par les dispositions spéciales de la présente loi.
2 Le traitement des données dans le cadre du réseau communautaire d’informatique médicale est au surplus régi par la loi spéciale y relative. 

Art. 57 Conservation du dossier 

1 Les éléments du dossier doivent être conservés aussi longtemps qu’ils présentent un intérêt pour la santé du patient, mais au moins pendant 10 ans dès la dernière consultation.
2 Si aucun intérêt prépondérant pour la santé du patient ou pour la santé publique ne s’y oppose, le dossier est détruit après 20 ans au plus tard. Sont réservées les dispositions de la loi sur les archives publiques, du 1er décembre 2000 imposant un délai de conservation plus long.
3 Le patient peut consentir à une prolongation de la durée de conservation de son dossier à des fins de recherche.
4 Les institutions médicales publiques conservent les dossiers médicaux de leurs patients en leur sein ou peuvent les archiver auprès des Archives d’Etat de Genève.(13) 

Secret médical et protection des données dans le Canton de Genève

Sécurité des données (art. 37 LIPAD)
Le principe de sécurité exige non seulement que les données personnelles soient protégées contre tout traitement illicite et tenues confidentielles, mais également que l’institution en charge de leur traitement s’assure que les données personnelles ne soient pas perdues ou détruites par erreur.

Les données de santé doivent faire l’objet d’une attention très particulière dans de multiples cas de figure qui touchent autant à la sécurité des postes et des locaux de travail qu’à celle de l’équipement informatique, des application, du stockage des données (protection des accès à l’aide de mots de passe composés d’au moins huit caractères de trois types différents, renouvelé périodiquement, limitation à trois fois des tentatives d’accès infructueuses, positionnement des écrans d’ordinateur de façon à empêcher le visionnement par des personnes indues, mesures organisationnelles sur le plan du classement et de l’archivage, pas
de transfert de données par courriel en dehors du système interne à l’institution sans cryptage,
protection des accès aux locaux, sensibilisation du personnel aux mesures de sécurité, contrôles périodiques des logs d’accès aux bases de données personnelles …)

 

La Suisse et le RGPD

Le RGPD, Règlement sur la Protection des données, en vigueur depuis le 24 mai 2016 sera applicable dès le 25 mai 2018 (art. 99 RGPD). Chaque entreprise travaille avec des données personnelles et cette loi impose de les protéger;

Il existe d’autres bases légales : la LPD, Loi sur la protection des données, le Code des obligations, article 328b, etc

Dans le domaine du travail, cet article 328b du CO précise que lors du traitement de données personnelles

L’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables.

Les experts sur cette question de protection des données  recommandent de prendre au moins ces quelques mesures pour être en conformité avec cette réglementation :

 

Vous pouvez lire également les articles suivants :

Sites internet conseillés :

Quitter la version mobile