Protection des données en psychothérapie

Marianne Roth

à jour! Psychotherapie-Berufsentwicklung 9 (18) 2023 52–53

https://doi.org/10.30820/2504-5199-2023-2-52

Le 1er septembre 2023, la nouvelle loi sur la protection des données (LPD) est entrée en vigueur en Suisse. Elle a pour objectif de protéger davantage les personnes dans leurs droits fondamentaux en ce qui concerne le traitement de leurs données. Même si une loi sur la protection des données était déjà en vigueur et qu’il fallait s’y conformer, certaines directives ont été renforcées. Dans notre cas, il s’agit d’obligations qui impliquent la protection des données des patients dans tous les domaines de la santé contre les abus.

En premier lieu, la LPD renforce l’autodétermination des patients concernés quant à leurs propres données et oblige les psychothérapeutes responsables à plus de transparence en ce qui concerne le traitement de leurs données. La nouvelle loi tient compte de la numérisation croissante, avec laquelle de plus en plus de données sont saisies électroniquement, ce qui favorise l’utilisation abusive des données, y compris par des acteurs externes.

Nous avons mis les documents pertinents à la disposition de nos membres. Ils sont en outre consultables dans l’espace réservé aux membres de notre site web. Pour les praticiens en psychothérapie, il s’agira à l’avenir de tenir compte des ajustements suivants :

Déclaration de confidentialité

Les patientes et patients et les clientes et clients doivent être informé(e)s de manière transparente des traitements de données qui concernent leur personne. Cela vaut aussi bien pour le traitement des données dans le cabinet de psychothérapie que pour la transmission de données à des tiers.

Il serait en tout cas judicieux de vérifier les déclarations de protection des données existantes sur le site web quant à leur concordance avec les nouvelles dispositions. En cas d’absence de déclaration de protection des données, il est conseillé d’en rédiger une. Pour les cabinets qui ne disposent pas de site web, le formulaire destiné aux patients doit être rempli et signé avec la déclaration de consentement de leurs patientes et patients afin de garantir la protection des données.

Formulaire destiné au patient / Déclaration de consentement

Lors du premier rendez-vous, le patient/ la patiente doit confirmer, en signant une déclaration de consentement (formulaire destiné au patient), qu’il ou elle accepte l’accès et la transmission éventuelle à des tiers. Sur la page suivante du formulaire destiné au patient dont nous disposons, les informations relatives aux patients donnent des renseignements détaillés sur le sens et l’utilisation de la déclaration de consentement.

Accord de confidentialité

Les psychothérapeutes et leurs auxiliaires sont soumis au secret professionnel, conformément à l’article 321 du Code pénal. Le terme « auxiliaires » désigne toutes les personnes qui soutiennent directement ou indirectement le ou la psychothérapeute. Si des tiers sont chargés du traitement des données sous quelque forme que ce soit, un accord de confidentialité doit être conclu avec eux.

Demandes de renseignements et de remise de documents

Conformément à la LPD et aux lois cantonales sur la santé, tous les patientes et patients capables de discernement ont le droit d’exiger la remise d’une copie de leur dossier médical. Est considérée comme capable de discernement toute personne qui est en mesure d’agir raisonnablement. Les informations relatives à des tiers incluses dans le dossier médical et qui pourraient porter atteinte à leurs intérêts doivent être caviardées dans la copie, de telle sorte que le caviardage ne puisse pas être annulé. Il ne suffit donc pas de noircir les passages correspondants dans un formulaire PDF.

Le ou la psychothérapeute peut communiquer des informations à des tiers si le patient ou la patiente a donné son consentement préalable, si une loi le prévoit ou si une autorité cantonale a autorisé la levée du secret. Dans les deux cas, il convient de garantir le maintien de la confidentialité des données.

Registre des activités de traitement

Si les psychothérapeutes traitent des « données à caractère personnel sensibles à grande échelle », ils sont tenus de tenir un registre des activités de traitement. Nous recommandons à nos membres de tenir un tel registre et d’y inscrire les informations détaillées dans la loi.

Conservation et archivage

Les psychothérapeutes sont tenus de conserver les données à caractère personnel pendant dix ans au niveau fédéral. Les données liées à l’activité doivent être conservées aussi longtemps que les délais de conservation légaux le prévoient. Il convient toutefois de vérifier si d’autres dispositions légales cantonales doivent être prises en compte.

Pendant la période de conservation, la protection et la sécurité des données doivent être garanties. Cela signifie que les dossiers médicaux doivent être conservés de manière appropriée et que les personnes non autorisées ne doivent pas y avoir accès. Le but de la conservation est de permettre la traçabilité éventuelle d’un traitement thérapeutique.

En cas de cessation ou de transfert d’une activité, il convient de tenir compte de l’entité avec laquelle le contrat de traitement a été conclu. S’il a été conclu avec un cabinet de groupe (SA, Sàrl, association, etc.), l’obligation de conservation reste à la charge du cabinet de groupe mandaté. En revanche, s’il a été conclu directement avec un psychothérapeute, l’obligation de conservation incombe au psychothérapeute en question.

Lors de la transmission du cabinet à un successeur, le consentement du ou des patients concernés doit être obtenu pour transmettre le ou les dossiers médicaux.

Droit de suppression de la personne concernée

Les psychothérapeutes sont tenus de conserver les données en toute sécurité pendant au moins dix ans.

Si un patient demande la suppression de ses données, il doit être informé, avec indication des motifs, si la suppression en question a eu lieu ou peut avoir lieu. À cet effet, il est conseillé de vérifier les dispositions de la loi cantonale sur la santé compétente et d’être en principe réticent face aux demandes de suppression.

Procédure en cas de violation de la protection des données

Selon la loi sur la protection des données, il y a violation de la sécurité des données lorsque des données à caractère personnel sont perdues, supprimées, détruites ou modifiées de manière involontaire ou illicite, ou lorsqu’elles sont divulguées ou rendues accessibles à des personnes non autorisées. Cela peut être le cas en cas de perte d’un support de données (ordinateur portable, iPod, smartphone, CD, clé USB, etc.) ou de destruction de données par un phénomène naturel tel qu’une inondation, un incendie, etc. ou par des attaques de phishing, des cambriolages, le vol de données de santé (cyberattaque), un incident technique, etc.

Devoir de signalisation

Un devoir de signalisation existe lorsque la violation de la sécurité des données comporte un risque important pour la personne concernée et que les droits fondamentaux ou la personnalité des personnes concernées sont vraisemblablement menacés. Dans ce cas, la violation de la sécurité des données doit être signalée au Préposé fédéral à la protection des données et à la transparence (PFPDT)1.

Il est recommandé d’établir à titre préventif une liste de contrôle contenant les points pertinents d’une éventuelle violation de la sécurité des données et comprenant déjà les étapes importantes du processus du devoir de signalisation.

Sources : FMH, Caisse des médecins

Marianne Roth est directrice de l’ASP.