Protection des données médicales
Parce que les données de santé vous concernant revêtent un caractère hautement sensible, notre rôle est aussi de les protéger en garantissant leur sécurité et le respect de vos droits - découvrez comment.
Nous garantissons une démarche éthique, de protection des données et de transparence.
La garantie éthique L’intérêt public de chaque projet et le caractère strictement nécessaire des données sont évalués par un comité éthique et scientifique indépendant, incluant des experts scientifiques, éthiques, juridiques, et des représentants des associations de patients (CESREES).
La garantie de la protection des données La Commission Nationale de l'Informatique et des Libertés (CNIL) est l’autorité indépendante chargée de la protection des données à caractère personnel en France ; elle intervient dans la procédure d’accès aux données après l’avis du comité afin d’autoriser ou refuser les projets. Au-delà des autorisations qu’elle délivre, la CNIL exerce un pouvoir de contrôle sur l’utilisation des données et peut sanctionner tout mésusage.
Nous informons et accompagnons les citoyens dans l’exercice de leurs droits La loi nous a confié la mission “d'informer les patients, de promouvoir et de faciliter leurs droits, en particulier concernant les droits d'opposition”. Cela se traduit par la publication sur notre site internet d’informations claires et directement compréhensibles sur vos droits et la façon de les exercer. Dans la même optique, nous produisons une information régulièrement mise à jour sur les bases de données dont nous assurons la mise à disposition.
Dans la mesure où nous ne stockons jamais d’information susceptible d’identifier directement une personne, l’exercice des droits des personnes se fera en concertation avec l’ensemble des responsables des données sources, sous la coordination de notre délégué à la protection des données.
Les données de santé sont des données personnelles sensibles. Elles sont particulièrement protégées par les textes (règlement européen sur la protection des données personnelles, loi Informatique et Libertés, code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes.
Les traitements de données de santé doivent se conformer aux exigences prévues par les réglementations, par exemple en matière de durée de conservation ou d’information des personnes concernées.
La CNIL précise certaines règles pour guider les professionnels et particuliers dans les traitements de données personnelles. En présence d’un traitement de données de santé, il est nécessaire d’identifier sa nature et les formalités préalables qui peuvent en découler.
À l’exception des recherches internes, les recherches dans le domaine de la santé doivent faire l’objet de formalités préalables.
Les principes ancrés dans la loi sur la protection des données et dans les dispositions cantonales concernant le traitement des données et le consentement des patients revêtent de plus en plus d’importance au regard de la progression de la numérisation. La sécurité des données est également mise en avant par la cybercriminalité à laquelle les hôpitaux mais aussi les médecins en pratique ambulatoire sont de plus en plus exposés.
Dans ce contexte, la FMH met des recommandations à la disposition des médecins confrontés à l’utilisation de données personnelles sensibles et les sensibilise explicitement aux thèmes relevant du secret médical ou de leur responsabilité civile.
La loi révisée sur la protection des données, qui entre en vigueur en septembre 2023, renforce notamment l’autodétermination face aux données, notamment en obligeant les responsables du traitement à une plus grande transparence et en accordant des droits élargis aux personnes concernées par les données traitées.
Les modifications suivantes revêtent une importance particulière pour les cabinets médicaux : La définition des données personnelles sensibles est étendue aux données génétiques et aux données biométriques identifiant une personne physique de manière univoque ; Les mesures techniques et organisationnelles mises en place pour le traitement des données permettent de respecter les prescriptions de protection des données (protection des données dès la conception) ; Le traitement des données personnelles est limité au minimum requis par la finalité poursuivie (protection des données par défaut) ; Le registre des fichiers actuellement en vigueur est remplacé par un registre des activités de traitement ; Le responsable du traitement est soumis à de nouvelles exigences concernant les analyses d’impact relatives à la protection des données personnelles ; Il existe désormais une obligation d’annoncer les violations de la sécurité des données ; Les dispositions pénales / sanctions de la LPD sont renforcées.
Le RGPD impose aux entreprises, effectuant des traitements de données de santé, des obligations assez strictes. Ainsi, ces entreprises doivent : Désigner un délégué à la protection des données ou DPO ; Tenir un registre des traitements ; Faire une analyse des risques.
C'est toutefois au médecin du travail qu’il appartient de soumettre les (futurs) travailleurs à un examen de santé et de décider s'ils sont (toujours) aptes à l'exercice de leur profession. Il se limitera à informer l’employeur si un travailleur est ou non apte au travail, sans jamais lui communiquer d’informations relatives à une éventuelle maladie ou affection.
L'employeur n'a pas non plus accès au dossier de santé de ses travailleurs.
En principe, un employeur ne peut pas interroger un candidat travailleur sur son état de santé. En effet, la discrimination sur la base de l'état de santé actuel ou futur est interdite. Le futur travailleur n'est dès lors pas obligé de répondre à des questions relatives à son état de santé.
Pour certaines fonctions, par exemple celle d'agent de police, l'examen de santé fait partie de la procédure de sélection. Cet examen n'a toutefois lieu qu'à la fin de la procédure de sélection et ne peut pas servir à opérer un choix. Bien entendu, on ne peut analyser que les données relatives à la santé qui sont pertinentes pour l'exercice de la fonction spécifique.
Le médecin-contrôleur peut uniquement informer l’employeur sur l’état d’incapacité de travail ou non de la personne ainsi que sur sa durée probable, mais il ne peut aucunement communiquer le diagnostic.
L’employeur ne peut donc pas lui-même procéder à une collecte active d’informations auprès de l’employé afin de connaitre des causes de son incapacité de travail.
Le travailleur a en outre toujours le droit de consulter le dossier de patient qui le concerne et d'en obtenir une copie, contrairement à son employeur.
Le médecin du travail et le médecin-contrôleur sont tenus au secret professionnel. Toute communication d'informations médicales à des tiers est interdite, sauf en cas d’obligation légale à cet égard.
Ils doivent prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel dont ils sont responsables contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé.
L'indication du diagnostic du médecin traitant et la mention de sa spécialité (s'il s'agit d'un spécialiste) sur la partie du certificat médical qui est uniquement transmise au service de contrôle sont conformes au RGPD. En effet, le traitement est notamment nécessaire afin d'exécuter les obligations et les droits spécifiques du responsable du traitement en matière du droit du travail, en l'occurrence le droit de contrôle de l'employeur dans le cadre du régime de l'incapacité de travail.
Il est également possible de fournir un certificat médical sans mention de la spécialité du prestataire de soins afin de ne pas divulguer d’informations sur les causes de la maladie.