Protéger les données, impératif dans l'e-santé

Les données clients doivent être dûment protégées.
Les données clients doivent être dûment protégées.
Newsletter de la Confédération
Publié vendredi 04 février 2022
Lien copié

#Protection des données La nouvelle loi sur la protection des données et très utile dans le domaine de l'e-santé.

En matière de protection des données, une politique proactive, et évidement conforme à la loi, est indispensable à la bonne réputation d’une entreprise. La société bernoise Medicosearch, spécialisée dans le domaine de l’e-santé, en est convaincue.

Le parlement a adopté à l’automne 2020 une nouvelle loi sur la protection des données (nLPD), qui devrait entrer en vigueur au deuxième semestre 2022. Elle renforce les droits des individus, tout en créant de nouvelles obligations pour les entreprises. Principale plateforme suisse pour la réservation de rendez-vous médicaux en ligne, Medicosearch est directement concernée par cette évolution législative. Elle traite et protège en effet les données médicales sensibles de ses utilisateurs à l’aide d’une politique précise en la matière. Membre de la direction et responsable de la protection des données de la société bernoise, Rafael Imboden, explique les modifications introduites par la nLPD et comment Medicosearch s’y prépare.

Pouvez-vous nous décrire brièvement le modèle d’affaires de Medicosearch?

Depuis la création de la société en 2008, Medicosearch propose une plateforme de réservation de rendez-vous dans le domaine de la santé. Sur medicosearch.ch, un patient peut choisir parmi plusieurs milliers de professionnels de la santé celui ou celle qui lui convient le mieux et prendre directement rendez-vous en ligne. Nos clients sont des prestataires de service du domaine médical (médecins, thérapeutes, dentistes, pharmaciens, hôpitaux, etc.). La Suisse est en ce sens différente d’autres pays européens comme l’Allemagne ou l’Espagne, où les plateformes servent surtout à acquérir de nouveaux clients. En Suisse, les salles d’attente ne désemplissent pas et il s’agit surtout d’alléger administrativement les cabinets, en évitant des appels inutiles ou en permettant de réaliser des réservations le soir et le week-end.

Dans quel cadre votre entreprise manie-t-elle des données personnelles?

Généralement, quand un patient réserve un rendez-vous, certaines informations lui sont demandées. Elles peuvent être basiques (nom, adresse, etc.) ou correspondre à des données médicales sensibles. Les cabinets, hôpitaux et pharmacies ont en effet la possibilité de publier un formulaire à remplir lors de la prise de rendez-vous, comprenant par exemple des informations sur le groupe sanguin, l’assurance maladie, les précédents examens médicaux, etc. C’est la principale situation dans laquelle nous enregistrons et communiquons des données sensibles aux prestataires de soins.

Que change la nLPD?

Comprendre la révision dans les détails demande du temps. A un niveau très général, on peut dire que la nouvelle loi s’adapte aux changements technologiques et sociaux de notre époque. Beaucoup de choses ont changé depuis la première loi, il y a près de trente ans. Le potentiel d’utilisation, mais aussi d’abus des données personnelles, a fortement augmenté. Avec le cloud computing, les réseaux sociaux ou l’internet des objets, la protection des données n’est pas forcément garantie ou optimale. L’autre grande motivation de la révision est l’adaptation au Réglement général sur la protection des données (RGPD) de l’UE. Si la Suisse offrait une moins bonne protection, cela constituerait un désavantage concurrentiel pour les entreprises du pays.

Concrètement, en quoi la nouvelle loi s’adapte-elle à notre époque?

Les données biométriques et génétiques sont désormais considérées comme particulièrement sensibles. En outre, toute personne doit être informée de la collecte de ses données, alors qu’auparavant, ce devoir d’information était seulement valable pour les données sensibles. La nLPD introduit aussi le concept de privacy by default. Lors du téléchargement d’une application sur le smartphone, le partage de la localisation est ainsi obligatoirement désactivé lors du téléchargement de l’application. Le client doit cocher sciemment «Je veux l’activer» pour que cela s’enclenche. Grâce à la nouvelle loi suisse, les consommateurs ont l’assurance que les paramétrages respectent autant que possible la protection de leurs données.

La révision représente-t-elle un grand changement pour vous?

Comme nous sommes déjà conformes au RGPD, nous devrions avoir très peu à faire. En revanche, les entreprises qui s’en sont jusqu’ici strictement tenues à l’ancienne loi suisse pourraient avoir passablement de travail. Elles devront par exemple mener une analyse structurée des risques en amont d’un processus de traitement des données sensibles.

Outre des mesures de prévention, disposez-vous d’un plan précis en cas de violation de la protection des données?

En cas de violation de la protection des données, il faut informer de manière transparente le Préposé fédéral à la protection des données et les personnes concernées, dire comment cela est arrivé et quelles données sont concernées. Outre la communication, la limitation des dégâts est importante: il est nécessaire de colmater le plus vite possible la faille de sécurité et empêcher le vol de plus de données. Si un tel scénario se produit, cela signifie que nous avons déjà échoué. De manière générale, nous mettons des mesures de sécurité en œuvre qui vont au-delà de ce qui est exigé par la loi. Par exemple, nous supprimons complétement toutes les données au-delà de trente jours après le rendez-vous médical. Cela permet de réduire drastiquement les données possiblement exposées. Ensuite, nous réalisons des tests d’intrusion. Nous payons des pirates informatiques bienveillants, qui testent nos produits et systèmes informatiques pour trouver d’éventuelles failles et nous les communiquer.

Que conseilleriez-vous à un jeune entrepreneur qui lance une plateforme traitant des données personnelles?

Un bon credo est de manipuler les données de ses clients comme si c’étaient les siennes. Il est difficile de mettre en œuvre la nLPD sans être un spécialiste du sujet. Il faut des connaissances juridiques pour bien comprendre le contenu de la réglementation, mais aussi pour rédiger les déclarations de protection des données, sur son site internet par exemple. Quand on n’a pas de formation d’ingénieur IT, il est aussi difficile de juger à quel point son produit est sûr. Je ferais par conséquent appel à des conseillers informatiques externes capables de donner leur feu vert avant le lancement.

 

insérer code pub ici