Qui est responsable en cas de "mésaventure d'information" concernant les dispositifs de diagnostic médical ?

L'un des moteurs de la numérisation est l'industrie informatique, qui veut placer sa technologie dans les compagnies d'assurance maladie, les centres de facturation, les hôpitaux et les cabinets médicaux. Outre les géants de l'informatique tels qu'IBM et SAP, il s'agit également du géant pharmaceutique Roche. Son modèle commercial est basé sur le lien entre les produits pharmaceutiques et ses diagnostics. La société pharmaceutique suisse se considère comme le "leader du marché" des soins de santé personnalisés.

SAP n'est pas moins ambitieux - dès 2013, le groupe s'est vanté, lors d'un événement interne à Lucerne, de pouvoir traiter "100 000 000 de valeurs" "en temps réel" - "par patient" ! En 2015, l'entreprise de Walldorf a remporté le prix Red Dot pour son logiciel : "Les médecins, les chercheurs et les autres membres du personnel médical peuvent accéder à toutes les données cliniques pertinentes d'un patient en temps réel via un seul système", a fait l'éloge de Christof von Kalle, porte-parole du conseil d'administration du Centre national des maladies tumorales (NCT) à Heidelberg.

Néanmoins, l'inconvénient de la numérisation des soins de santé n'est pas aussi évident que certaines campagnes voudraient nous le faire croire

problème d'accès
L'hôpital de Thoune est particulièrement avancé en matière de numérisation : c'est la seule clinique de Suisse à avoir atteint le niveau 6 de la Healthcare Information and Management Systems Society (HIMMS).

L'échelle de sept points mesure le degré d'avancement de la numérisation. Bruno Guggisberg, PDG de Spital STS AG, souligne : "Les séjours à l'hôpital sont de plus en plus courts, et l'importance de l'informatique et de la numérisation va continuer à augmenter". Jusqu'ici, tout va bien - si seulement il n'y avait pas la question de la sécurité des données :

"eHealth Suisse", le "Bureau de compétence et de coordination de la Confédération et des cantons", appelle à une "gestion des identités et des accès" et définit celle-ci comme "la gestion de l'identification unique des personnes et de leur affectation à des identités électroniques". "Sans ambiguïté" signifie que pour chaque accès, il doit être consigné si le responsable administratif, le médecin-chef ou l'étudiant en soins infirmiers a accédé. A cela s'ajoute le Règlement général sur la protection des données (RPD) de l'Union européenne : selon le PFPDT, il s'applique également aux "entreprises ayant leur siège en Suisse, dans la mesure où elles traitent ces données pour leurs offres de biens et de services dans l'UE".

Reformulations
Martin Eckert, associé du cabinet d'avocats MME Legal, Tax, Compliance, croit aux "effets extraterritoriaux" de la réglementation et s'attend donc à ce que les prestataires de services suisses "puissent" également tomber sous le coup de la réglementation. Cette possibilité est refusée par l'avocat Christian Peter - mais : Le PFPDT Adrian Lobsiger s'attendait déjà à la mise à jour de la loi suisse sur la protection des données pour l'été 2018.

Selon M. Lobsiger, ce système sera basé sur la Convention 108 du Conseil de l'Europe, tout comme le GDPR. Cependant, les experts avertissent que l'importance de la sécurité des données dans les cabinets médicaux fédéraux est "sous-estimée" ou - pire encore ! - est même "insuffisante" dans les cliniques.

Si un cabinet médical est victime d'une violation de données, par exemple en raison de la "divulgation" "involontaire" ou "non autorisée" de données à caractère personnel, le "responsable" dispose de 72 heures pour le signaler à son autorité de contrôle. En outre, il doit préparer la documentation de "tous les faits relatifs à la violation des données à caractère personnel". En conséquence, cette documentation doit montrer si, par exemple, un employé a (involontairement) mal adressé les lettres des patients ou a (illégalement) copié les données des patients afin de les vendre à des tiers "pour des milliers de dollars".

Afin de réduire les risques de criminalité, non seulement l'accès aux données doit être consigné, mais il faut également définir les droits auxquels cet accès doit être associé : L'employé administratif a besoin des données bancaires, mais guère des données de diagnostic. Le médecin, quant à lui, n'a pas besoin des données bancaires. Le traitement des données doit avoir lieu sous le "contrôle" du responsable du traitement concerné. Le responsable du traitement est la personne qui "détermine les finalités et les moyens du traitement des données à caractère personnel".

Une notion particulièrement importante du règlement est celle de "responsabilité" : "Le responsable du traitement est responsable du respect du paragraphe 1 (article 5 du règlement, note de l'auteur) et doit pouvoir en apporter la preuve". Dans ce paragraphe 1, il y a des exigences sur la "licéité" du traitement, la "limitation de la finalité" des données collectées, la "minimisation des données", l'"exactitude", la "limitation du stockage" et l'"intégrité et la confidentialité".

Lacunes en matière de sécurité
Dès 2009, le laboratoire de recherche d'IBM à Zurich, en collaboration avec un hôpital au Danemark, aurait développé un logiciel "innovant" capable de relier les données électroniques de santé à un modèle tridimensionnel du corps humain. L'année dernière, le groupe a affirmé utiliser son système d'IA "Watson" "dans plus de 50 hôpitaux à travers le monde". Alors qu'IBM s'est associée au fabricant de médicaments Pfizer, Roche s'est alliée à GNS Healthcare - une jeune société d'IA basée à Cambridge aux États-Unis. Cependant, Watson d'IBM a déjà été accusé de traitements "malsains et incorrects", Roche a dû rappeler officiellement une "application de gestion du diabète" et la liste des vulnérabilités de sécurité parfois graves du système Hana de SAP est longue1 . Actuellement, selon le règlement général sur la protection des données (RPD) de l'UE, le responsable du traitement ou le sous-traitant est exonéré de toute responsabilité "s'il prouve qu'il n'est pas responsable, à quelque titre que ce soit, du fait qui a donné lieu au dommage" (article 82 RPD - Responsabilité et droit à réparation ; paragraphe 2).