L’instrument pour évaluer les risques: l’analyse d’impact

Actuel
Édition
2023/35
DOI:
https://doi.org/10.4414/bms.2023.22102
Bull Med Suisses. 2023;104(35):34-35

Affiliations
a Dr iur., conseiller à la protection des données de la FMH; b Dre iur., Service juridique de la FMH; c Dr rer. biol. hum., chef de la division Numérisation / eHealth de la FMH

Publié le 30.08.2023

Analyse d’impact La loi sur la protection des données, totalement révisée, est entrée en vigueur le 1er septembre 2023. Désormais, le législateur prévoit l’établissement d’une «analyse d’impact relative à la protection des données personnelles» lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
La loi sur la protection des données, totalement révisée, est entrée en vigueur le 1er septembre 2023. Elle contient de nombreuses nouveautés qui nécessitent d’adapter le traitement des données personnelles dans les cabinets médicaux. Jusqu’ici, les cabinets étaient déjà tenus de garantir la sécurité de leurs données. Avec l’entrée en vigueur de la nouvelle loi, les propriétaires de cabinets devront respecter plusieurs nouvelles dispositions pouvant impliquer une adaptation de leurs processus actuels. Pour les accompagner dans cette démarche, la FMH met à leur disposition des documents d’aide sous forme de guides et de modèles à télécharger sous «Nouvelle loi sur la protection des données | FMH». La Fiche d’information sur la protection des données, en particulier, fournit une vue d’ensemble des changements les concernant.
Dans cet article, nous vous présentons un nouvel instrument pour évaluer les risques en matière de protection des données: l’analyse d’impact.
Après l’entrée en vigueur de la nouvelle loi, les propriétaires de cabinets devront respecter plusieurs nouvelles dispositions.
© Pop Nukoonrat / Dreamstime

Risques du traitement des données

La nouvelle loi sur la protection des données (LPD) exige des cabinets médicaux qu’ils assurent une sécurité adéquate des données personnelles par rapport au risque encouru. Pour autant, cela ne signifie pas qu’il leur soit nécessaire d’agir dès l’entrée en vigueur de la loi le 1er septembre.
Jusqu’ici, les cabinets étaient déjà tenus de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité de leurs données [1]. Ces mesures doivent reposer sur une évaluation des risques et être adaptées au risque encouru [2]. La nouvelle loi prévoit l’établissement d’une «analyse d’impact relative à la protection des données personnelles» lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée [3]. Un risque est considéré élevé notamment en cas de traitement de données sensibles à grande échelle [4]. Le traitement de données médicales de patients en fait généralement partie, raison pour laquelle les cabinets médicaux doivent respecter cette disposition.
La personne responsable du traitement privé est déliée de son obligation d’établir une analyse d’impact lorsqu’elle est tenue d’effectuer le traitement en vertu d’une obligation légale [5]. Si les cabinets médicaux sont légalement tenus de remplir un dossier pour chaque patient, cette obligation ne porte cependant que sur la documentation des traitements prodigués. Le contenu et l’étendue du traitement des données ne sont pas régis par la loi; ils reposent sur la relation juridique médecin-patient (contrat thérapeutique) et non pas sur une base légale. De ce fait, les cabinets médicaux ne peuvent pas être déliés de l’obligation d’établir une analyse d’impact.

Exigences de l’analyse d’impact

En revanche, l’analyse d’impact n’est obligatoire qu’en cas de modification des traitements de données existants à partir du 1er septembre 2023. La LPD précise en effet que l’analyse d’impact n’est applicable que lorsque les finalités du traitement changent et que de nouvelles catégories de données sont créées [6]. Pour les cabinets médicaux, cela signifie que les traitements de données en cours peuvent se poursuivre sur la base de l’évaluation des risques existante et qu’il n’est pas nécessaire de procéder à une analyse d’impact.
Un changement de la finalité du traitement pourrait être l’utilisation de l’ensemble des données personnelles lors du recours à une nouvelle technologie permettant par exemple d’introduire une banque de données pour analyser les données médicales des patients du cabinet.
Le changement de finalité devrait impliquer la création de nouvelles catégories de données, dont voici quelques exemples:
– Analyse automatisée des appels téléphoniques des patients basée sur des algorithmes permettant d’associer les données personnelles et médicales;
– Offre de télémédecine, y compris télémonitoring, avec analyse et traitement des données en ligne;
– Recours à des systèmes pour prévenir la fuite de données (Data Loss Prevention) qui analysent le comportement des utilisatrices et utilisateurs;
– Surveillance vidéo des locaux du cabinet;
– Enregistrements audio des expertises médicales.
Si de nouveaux traitements de données sont prévus après l’entrée en vigueur de la LPD, alors il faut procéder à une analyse d’impact relative à la protection des données personnelles en cas de risque potentiellement élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) publiera des instructions plus détaillées à ce sujet. L’analyse d’impact doit avoir lieu avant le traitement de données prévu. La LPD précise que l’existence d’un risque élevé dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement, en particulier lors du recours à de nouvelles technologies. Plus le traitement est étendu, les données traitées sensibles et la finalité vaste, et plus il est probable que le risque soit élevé [7]. Le traitement à large échelle de données sensibles comme les données médicales suppose donc dans la plupart des cas un risque élevé.

Réalisation de l’analyse d’impact

L’analyse d’impact comporte trois étapes: description du traitement envisagé, identification et évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, et définition de mesures pour réduire le risque [8].
Lorsque les mesures prévues sont mises en œuvre, le risque n’est en général plus considéré comme élevé. L’analyse d’impact peut être clôturée et doit être conservée pendant au moins deux ans [9] afin de prouver la licéité du traitement [10].
Si le risque reste élevé malgré la planification de mesures techniques et organisationnelles appropriées, l’analyse d’impact doit être soumise au PFPDT pour consultation préalable [11]. Même s’il subsiste un risque élevé pour la personnalité et les droits fondamentaux des personnes concernées, le traitement des données n’est pas fondamentalement exclu [12]. Dans ce cas cependant, une évaluation transparente des risques est nécessaire, et les personnes concernées doivent en être informées [13].
Si le cabinet emploie une conseillère ou un conseiller à la protection des données [14] et qu’il lui a soumis l’analyse d’impact, il peut renoncer à consulter le PFPDT [15].
L’analyse d’impact relative à la protection des données personnelles est donc un instrument particulièrement utile pour les nouveaux traitements de données et facilite l’évaluation des risques et la définition des mesures techniques et organisationnelles nécessaires grâce à une procédure transparente.
Dans un prochain article, nous aborderons les aspects juridiques de la convention de confidentialité et de la convention de traitement de données en sous-traitance.
ehealth[at]fmh.ch
1 Cf. les recommandations de la FMH dans Exigences minimales pour la sécurité informatique des cabinets médicaux, téléchargeable sous https://www.fmh.ch/fr/prestations/ehealth/securite-informatique.cfm
2 Art. 8, al. 1, LPD
3 Art. 22, al. 1, LPD
4 Art. 22, al. 2, let. a, LPD
5 Art. 22, al. 4, LPD: «Le responsable du traitement privé est délié de son obligation d’établir une analyse d’impact s’il est tenu d’effectuer le traitement en vertu d’une obligation légale.»
6 Art. 69 LPD
7 Dominika Blonski, SHK-DSG, N 11 sur l’art. 22 LPD (en allemand)
8 Dominika Blonski, SHK-DSG, N 14 sur l’art. 22 LPD (en allemand)
9 Art. 14 LPD
10 Dominika Blonski, SHK-DSG, N 1 sur l’art. 22 LPD (en allemand)
11 Art. 23 LPD
12 Adrian Lobsiger, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, in: SJZ, 119/2023, 311 ss (en allemand)
13 Art. 19 LPD
14 Art. 10 LPD
15 Art. 23, al. 4, LPD; art. 10 LPD

Avec la fonction commentaires, nous proposons un espace pour un échange professionnel ouvert et critique. Celui-ci est ouvert à tous les abonné-e-s SHW Beta. Nous publions les commentaires tant qu’ils respectent nos lignes directrices.