La santé demeure un grand chantier qui continue à absorber beaucoup d‘énergie. Les sujets de préoccupation vont de la carte de santé à l‘introduction de l‘électronique dans les services de médecins-conseils, en passant par la carte d‘assuré, le dossier électronique des patients et les DRG, pour ne mentionner que les plus importants. A l‘ère du tout électronique, et justement dans le domaine de la santé où les données traitées sont très sensibles, des accidents majeurs en matière de protection des données sont à craindre. En effet, du fait de ses moyens en la matière, le PFPDT ne peut intervenir que sporadiquement ou lorsqu‘une violation des règles de protection des données a déjà eu lieu. Ensuite, il doit se contenter de transmettre des recommandations.
L‘Office fédéral de la santé (OFSP) doit ici assumer sa responsabilité en tant qu‘autorité de surveillance avec droit de donner des instructions.
Extrait du 14 e rapport d’activités du préposé à la protection des données
Santé / Assurance
Communication par les hôpitaux de données de diagnostic aux assureurs (1.4.3)
La codification permet de fournir une multitude d’informations sous une forme succincte. Les diagnostics médicaux en sont un exemple. Les diagnostics sont codés par groupes de cas (Diagnosis Related roups, DRG). L’utilisation des DRG a suscité quelques demandes de particuliers. Il n’existe actuellement aucune base légale qui permette aux prestataires de communiquer systématiquement des données médicales détaillées aux assureurs.
Il est prévu à l’avenir d’utiliser des forfaits de coûts par cas liés au diagnostic pour l’indemnisation des séjours dans le domaine stationnaire somatique aigu. A cette fin, une banque de données nationale sera créée dans une première étape. Dans une deuxième étape, les prestations des hôpitaux seront remboursées sur la base des forfaits de coûts par cas qui ont été calculés. Les deux étapes requièrent des diagnostics détaillés.
Les exigences de la législation sur la protection des données sont différentes pour les deux étapes. La banque de données doit impérativement être créée à partir de données anonymisées. Dans la deuxième étape, à savoir l’application proprement dite du système DRG, les données se référent à une personne. Il s’agit d’une communication systématique par le prestataire de services de données médicales très détaillées à l’assureur. Une telle communication n’est pas admissible selon la législation actuellement en vigueur. S’il est prévu à l’avenir d’utiliser les forfaits de coûts par cas comme base pour le décompte des prestations, il y a lieu de créer d’abord les bases légales nécessaires.
Questions de protection des données liées à l’introduction de la carte d’assuré (1.5.1)
L’élaboration des bases techniques et du projet d’ordonnance ont été les grandes étapes du projet «carte d’assuré» dans l’exercice écoulé. L’introduction de la carte d’assuré représente un événement fondamental pour la santé publique. C’est pourquoi il est également essentiel que les exigences de base de la protection des données soient rigoureusement respectées. Des erreurs qui seraient commises dans la phase initiale d’introduction de la carte-santé ne pourront être corrigées après coup que moyennant des efforts très importants aussi bien au niveau organisationnel que financier.
Dans sa déclaration relative au projet d’ordonnance sur la carte d’assuré, l’Office fédéral de la santé publique (OFSP) relève que l’article 42a alinéa 4 de la loi fédérale sur l’assurance-maladie (LAMal) doit être considéré comme un premier pas vers une carte-santé. Ce premier pas implique qu’il est prévu d’enregistrer sur la carte non seulement des données purement administratives, mais également des informations médicales concernant la personne assurée (cf. notre 13 ème rapport d’activités 2005/2006, ch. 5.1.1). Le législateur exige que cet enregistrement soit impérativement soumis au consentement de la personne assurée. Pour que la personne assurée puisse donner son consentement, elle doit cependant recevoir une information claire, compréhensible et complète sur le traitement des données la concernant.
Le projet d’ordonnance inclut une énumération exhaustive des données: données relatives au groupe sanguin et à la transfusion; données relatives au système immunitaire; données relatives à la transplantation; allergies; maladies et séquelles d’accidents; inscription supplémentaire dans des cas médicalement fondés; médication; une ou plusieurs adresses de personnes à avertir en cas d’urgence; mention de l’existence de directives anticipées du patient. Ces données devraient être enregistrées sur la carte d’assuré dans le but d‘améliorer l’efficacité, la sécurité et la qualité du traitement médical.
Ont accès à ces données les médecins, pharmaciens, médecins-dentistes, chiropraticiens, sages-femmes, physiothérapeutes, ergothérapeutes, le personnel soignant spécialisé, les orthophonistes et les diététiciens. L’enregistrement des données et leur consultation ne peuvent être effectués qu’avec le consentement de la personne assurée. Quant à l’information du patient, le projet d’ordonnance prévoit qu’elle sera faite par les prestataires mentionnés ci-dessus.
Cette extension de l’usage d’une carte administrative utilisée pour la facturation des prestations selon la LAMal à une carte contenant des données de santé a des conséquences sur les droits de la personnalité des assurés et doit donc être effectuée de manière conforme aux exigences de la protection des données.
Ainsi, il convient en premier lieu de s’assurer que les données conviennent pour le but prévu par le législateur. Les prises de position que nous avons reçues de la part des prestataires nous montrent cependant – même en interprétant très largement – que ceci n’est pas le cas. Au contraire: de l’avis de la Fédération des médecins suisses, certaines informations telles que les données de groupe sanguin et de transfusion sanguine pourraient à la rigueur procurer au patient un sentiment de sécurité. Quant aux informations concernant les maladies et la médication, elles posent problème car aucune garantie ne peut être donnée qu‘elles soient toujours complètes et mises à jour. L’association suisse des hôpitaux H+ a également publié une déclaration très claire sur l’utilité des données de santé enregistrées sur la carte santé. Elle considère le fait d’utiliser la même carte comme carte d’assuré et comme carte santé comme un choix malencontreux.
Deuxièmement, il y a lieu de veiller à ce que le patient soit clairement informé des conséquences de son consentement et qu’il en mesure la portée. Etant donné que ces informations peuvent renseigner sur l’état de santé du patient et d’autres événements qui ont un caractère délicat ou intime, cette information doit être particulièrement complète et claire. Le patient doit savoir qui utilise ses données et à quelles fi ns. Ce n’est qu’ainsi qu’il sera en mesure de peser le pour et le contre de son consentement. La question se pose cependant de savoir qui lui transmettra ces informations. La majorité des prestataires de services et de leurs représentants nient l’utilité d’enregistrer des données médicales sur la carte. Ils ne pourraient ainsi pas obtenir un consentement du patient, à moins de feindre un motif. Ceci ne peut cependant pas être le but de la carte d’assuré.
Finalement, les conditions de base pour le traitement des données de santé doivent être remplies. Il n’existe pas de réglementation suffi sante sur ce qui sera fait avec ces données dans la pratique et qui assumera quelles responsabilités pour les différentes données. Selon le commentaire concernant le projet d’ordonnance, la personne assurée peut choisir dans la liste les catégories de données qu’elle désire voir enregistrées sur la carte. La question reste ouverte si cela sera finalement le désir du patient lié au consentement du prestataire qui déterminera quelles données médicales seront enregistrées sur la carte ou plutôt l’inverse, c’est-à-dire la proposition du prestataire acceptée par le patient.
Si l’une de ces trois conditions n’est pas remplie, il est permis d‘émettre de très forts doutes sur la licéité de la carte d’assuré telle que celle-ci est prévue. Beaucoup de questions importantes relevant de la protection des données n’ont donc pas encore trouvé de réponse. Les prestataires n’accueillent pas favorablement le traitement des données de santé. C’est pourquoi nous avons, tant dans le cadre du groupe de spécialistes tenu d’élaborer les normes techniques que de nos prises de position sur le projet d’ordonnance, demandé à l’OFSP de renoncer à enregistrer des données médicales sur cette carte. Le risque est trop élevé que des patients consentent expressément à un traitement de leurs données de santé sans avoir été informés suffisamment sur le but du traitement.
Source : http://www.edoeb.admin.ch