Catégories
Cloud & Cybersécurité (FR) Consulting Digital & Business (FR) Featured-Post-About-FR Featured-Post-ADN-FR Featured-Post-Audit-FR Featured-Post-BABY-FR Featured-Post-CloudSecu-FR Featured-Post-FILINEASECU-FR Featured-Post-HomePage-FR Featured-Post-PHARM-FR

Données de Santé : Hébergement des Dossiers Patients et des Données Médicales en Suisse

Auteur n°3 – Benjamin

Par Benjamin Massa
Lectures: 16305

Résumé – Face à la digitalisation croissante et à l’intégration de l’IA, les acteurs de santé suisses doivent concilier optimisation des processus, personnalisation des soins et respect strict du secret médical et de la LPD. L’hébergement de dossiers patients soulève des risques juridiques quand les données sont stockées à l’étranger (Azure, AWS…), imposant anonymisation, consentement explicite ou sécurisation accrue pour rester conformes à l’art. 10a LPD et à l’art. 321 CP.
Solution : privilégier des prestataires 100 % suisses et déployer des serveurs sur sol helvétique avec chiffrement, pare-feu, monitoring et contrôles d’accès stricts pour garantir confidentialité, intégrité et disponibilité.

Une digitalisation du secteur de la santé croissante

L’importance de la digitalisation dans le secteur de la santé est indéniable. Les organisations cherchent à optimiser leurs processus, à améliorer la qualité des soins et à renforcer la confidentialité des informations médicales. L’intégration croissante de l’intelligence artificielle dans le domaine de la santé ouvre aussi de nouvelles perspectives, avec la collecte de données provenant d’une multitude d’appareils médicaux. Ces données, véritables pépites d’informations, permettent d’affiner les diagnostics et les profils des patients, rapprochant ainsi la médecine d’une approche personnalisée.

Enjeux légaux importants en Suisse

Cependant, ces avancées technologiques, qu’il s’agisse de télé-médecine, d’appereil connecté (IoT) ou d’application métiers, progiciel ou encore dossier patient informatisé, soulèvent des questions juridiques, en particulier en ce qui concerne l’hébergement des données de santé. De nombreux fournisseurs d’appareils de télémonitoring, de digitilasition de dossier patient ou de développeurs d’applications et de logiciel de gestion sur-mesure optent pour le stockage sur des serveurs cloud. Cela pose la question de la légitimité de l’externalisation de ces données, et si l’hébergement peut se faire en Suisse ou à l’étranger mais soulève également la question de la sécurité et la conformité réglementaire de manière plus générale.

Dans cet article, nous explorerons ce que dit la loi suisse et qu’elles sont les bonnes pratiques en matière de gestion et d’hébergement des données de patients et de santé. Nous aborderons également les points cruciaux pour sécuriser un serveur destiné à accueillir des données sensibles en Suisse. Des exemples de digitalisations sécurisées effectuées par nos équipes seront aussi donnés.

Edana : partenaire digital stratégique en Suisse

Nous accompagnons les entreprises et les organisations dans leur transformation digitale

Respect du secret médical et protection des données (LPD)

L’article 10a alinéa 1 de la Loi sur la Protection des Données (LPD) en Suisse autorise le traitement des données personnelles par un tiers sous certaines conditions. Cependant, la question se pose quant au respect du secret médical (art. 321 CP) dans le transfert de données à des tiers, notamment aux prestataires informatiques.

La doctrine majoritaire considère les prestataires informatiques comme des « auxiliaires » du professionnel de la santé, leur permettant de sous-traiter le traitement des données sans violer le secret professionnel. Cependant, cette qualification pose problème lorsque le prestataire héberge les données à l’étranger.

Hébergement des données de santé à l’étranger (cloud Azure, AWS etc.) : Un casse-tête juridique

L’art. 6 al. 1 LPD interdit la communication de données personnelles à l’étranger si la personnalité des personnes concernées est gravement menacée en raison de l’absence d’une législation assurant un niveau de protection adéquat. Le transfert peut toutefois être autorisé sous certaines conditions, telles que des garanties contractuelles suffisantes.

Cependant, la doctrine souligne que l’hébergement des données médicales à l’étranger peut entraîner une violation du secret professionnel. Le risque est amplifié par l’incertitude quant à l’applicabilité de l’art. 321 CP à l’étranger et la possibilité qu’une autorité étrangère demande la divulgation de ces données.

C’est l’une des raisons pour lesquelles les cloud proposés par les géants du web tels qu’Amazon et Google tels que Azure, AWS, Digital Ocean, Linode etc. sont généralement à proscrire pour héberger de telles données à cractère sensible. Bien que certains de ces géants commencent à établir des centres données sur le territoire suisse, ils n’en demeurent pas moins contrôlés par des maisons mères étrangères. D’un pure point de vue éthique il reste donc toujours plus sûr de se tourner vers un prestataire entièrement suisse.

Ce que nous avons fait pour Filinea et la gestion de ses données

En tants qu’experts en création de logiciels métiers sur-mesure et de transformation digitale nous avons accompagné diverses entreprises suisses à stocker et manipuler des données patients et des données sensibles ainsi qu’à augmenter leur rentabilité et optimiser leurs opérations.

Filinea est une entreprise mandatée par l’état de Genève pour accompagner des jeunes en situation de difficulté. Pour optimiser le travail quotidien de sa trentaine de collaborateurs, l’entreprise nous a confié la réalisation d’un logiciel interne sur-mesure. La gestion et le stockage des données sensibles (incluant des données à caractère médical) y a été incluse, le tout étant stocké sur un serveur sécurisé situé en Suisse que nos ingénieurs ont déployés et gèrent selon les standards de sécurité adécquates.

Découvrir l’étude de cas Filinea

Créer votre écosystème digital sécurisé

Nous verrons dans la suite de cet article diverses recommandations techniques et administratives au regard de la protection des données de santé que nous appliquons lors de la conception de nos projets manipulant des données patients et de santé en Suisse.

Recommandations de nos experts pour une gestion prudente des données patients et médicales en Suisse

Face à ces enjeux, des recommandations émergent pour assurer la sécurité des données de santé :

1. Privilégier l’hébergement sur le territoire Suisse

Opter autant que possible pour des prestataires hébergeant les données en Suisse, bénéficiant d’une réputation solide en matière de protection des données.

2. Assurer l’anonymisation des données de santé

En cas d’impossibilité d’hébergement en Suisse, garantir que les données sont anonymisées de bout en bout, avec la clé privée détenue par le responsable du traitement.

3. Obtenir le consentement du patient

Si le transfert à l’étranger est inévitable, obtenir le consentement explicite du patient pour le transfert, levant ainsi le secret médical.

4. Évaluation des Risques

Si le transfert à un prestataire hors des pays reconnus comme offrant une protection adéquate est la seule option, évaluer attentivement les risques et obtenir le consentement explicite du patient ainsi que la levée du secret médical.

5. Éviter à tout prix la violation du secret médical

Si aucune des options précédentes n’est possible (ou en cas de refus du patient), s’abstenir de transférer les données pour éviter une violation du secret médical.

Contactez nos experts pour discuter de votre digitalisation en toute sécurité

Comment sécuriser un serveur pour y accueillir des données sensibles comme des données patients ?

Déolyer un serveur au sein d’un centre de données suisse n’est pas suffisant. La sécurisation d’une telle machine destinée à héberger des données médicales est une tâche cruciale qui nécessite une approche rigoureuse et attentive. La confidentialité, l’intégrité et la disponibilité des données doivent être garanties pour respecter les normes de sécurité et de protection des informations sensibles dans le domaine médical. Voici quelques recommandations pour sécuriser un serveur web hébergeant des données médicales :

1. Chiffrement des communications

Utilisez le protocole HTTPS (SSL/TLS) pour chiffrer toutes les communications entre le serveur web et les utilisateurs. Cela garantit la confidentialité des données transitant entre le serveur et les navigateurs des utilisateurs. Attention, utilisez un protocol de chiffrement avancé et évitez les chiffrement bas tels que 128 bit lorsque cela est possible. Ayez également recourt à une entité de certification reconnue et fiable.

2. Mise à jour régulière du système d’exploitation (OS) et des logiciels

Appliquez régulièrement les mises à jour de sécurité du système d’exploitation, des serveurs web, des bases de données et de tout logiciel tiers installé sur le serveur. Les vulnérabilités connues sont souvent corrigées par ces mises à jour.

3. Firewall et filtres de paquets (par-feu)

Configurez un pare-feu pour filtrer le trafic réseau entrant et sortant. Limitez l’accès au serveur aux adresses IP autorisées et bloquez tout trafic non nécessaire.

4. Contrôle d’accès strict

Mettez en place des mécanismes de contrôle d’accès rigoureux. Limitez l’accès aux données médicales uniquement aux utilisateurs autorisés. Utilisez des comptes d’utilisateur individuels avec des privilèges appropriés.

5. Surveillance du serveur (monitoring)

Mettez en place des outils de surveillance du serveur pour détecter les activités suspectes, les tentatives d’intrusion ou les variations anormales dans le trafic. Des journaux d’activité bien configurés peuvent aider à identifier les problèmes potentiels.

6. Sauvegardes régulières (backups)

Effectuez des sauvegardes régulières des données médicales. Stockez ces sauvegardes dans un emplacement sécurisé, idéalement hors site, pour assurer la récupération en cas de perte de données ou d’incident majeur.

7. Gestion des vulnérabilités

Réalisez des analyses de sécurité régulières pour identifier et corriger les vulnérabilités potentielles. Les tests d’intrusion et les audits de sécurité aident à garantir la robustesse du système.

8. Politiques de mot de passe fortes

Mettez en œuvre des politiques de mot de passe robustes. Exigez des mots de passe complexes, encouragez les changements fréquents de mot de passe et utilisez des mécanismes d’authentification à deux facteurs.

9. Isolation des services au sein du serveur sécurisé

Isolez les services sur le serveur autant que possible. Par exemple, exécutez la base de données sur un serveur séparé et limitez l’accès à d’autres services uniquement aux machines nécessaires.

Mettre en place une solution sur-mesure sécurisée pour gérer mes données patients

En bref : gestion et hébergement des dossiers patients en Suisse

En conclusion, le dilemme de l’hébergement des données de santé à l’ère de l’intelligence artificielle et de la digitalisation des entreprises et des organisation soulève des questions complexes, exigeant une approche réfléchie et conforme aux exigences légales suisses. Le respect du secret médical et la protection des données doivent guider les choix des professionnels de la santé dans un paysage numérique en constante évolution.

Un hébergement sur un serveur situé sur le territoire suisse ainsi qu’une sécurisation de ce serveur avec des dispositifs de cybersécurité renforcés est impératif pour se conformer à la legislation en vigueur et protéger les données de ses patients ainsi que toute donnée sensible de manière générale.

Par Benjamin

PUBLIÉ PAR

Benjamin Massa

Benjamin est un consultant en stratégie expérimenté avec des compétences à 360° et une forte maîtrise des marchés numériques à travers une variété de secteurs. Il conseille nos clients sur des questions stratégiques et opérationnelles et élabore de puissantes solutions sur mesure permettant aux organisations et aux entrepreneurs d'atteindre leurs objectifs et de croître à l'ère du digital. Donner vie aux leaders de demain est son travail au quotidien.

FAQ

Questions fréquemment posées sur l’hébergement de données de santé

Quelles sont les obligations légales pour héberger des dossiers patients en Suisse ?

En Suisse, l’hébergement des dossiers patients est encadré par la Loi sur la Protection des Données (LPD) et le secret médical (art. 321 CP). Les données doivent être stockées sur un serveur respectant un niveau de protection équivalent à celui de la Suisse. Tout transfert à l’étranger nécessite des garanties contractuelles renforcées et, le cas échéant, le consentement explicite du patient pour éviter toute violation du secret médical.

Comment garantir la conformité à la LPD et au secret médical lors de l’hébergement ?

Pour garantir la conformité, privilégiez un prestataire suisse certifié, hébergeant les données sur sol helvétique. Mettez en place des accords de sous-traitance intégrant des clauses LPD, chiffrez les données en transit et au repos, et limitez les accès aux seules personnes autorisées. En cas de transfert hors Suisse, obtenez le consentement explicite du patient et assurez-vous de garanties contractuelles solides.

Quels sont les critères pour choisir un prestataire d’hébergement suisse pour des données médicales ?

Choisissez un prestataire disposant de centres de données localisés en Suisse, certifiés ISO 27001 et conformes à la LPD. Assurez-vous qu’il offre une infrastructure évolutive, des options de chiffrement avancé, ainsi qu’une traçabilité des accès. La maîtrise de solutions open source et la capacité à personnaliser l’architecture selon vos besoins métiers garantissent une approche sur-mesure et modulable.

Comment gérer un transfert de données de santé vers l’étranger en respectant le secret médical ?

Un transfert à l’étranger suppose d’évaluer les risques juridiques et techniques en vérifiant le niveau de protection du pays destinataire. Anonymisez les données lorsque possible, conservez la clé en Suisse et formalisez des clauses contractuelles conformes à la LPD. Obtenez le consentement explicite du patient pour lever le secret médical et veillez à ce que le tiers respecte des standards équivalents.

Quelles mesures techniques sont recommandées pour sécuriser un serveur hébergeant des données médicales ?

Pour sécuriser un serveur médical, chiffrez les flux (HTTPS/TLS) et les données au repos, appliquez constamment les patches et mises à jour OS et applicatives, configurez un pare-feu strict et un filtrage des paquets, et mettez en place une authentification forte (MFA). Surveillez les journaux d’accès, réalisez des tests d’intrusion réguliers et préparez des plans de sauvegarde chiffrés.

Comment intégrer l’hébergement de données de santé dans un logiciel métier sur-mesure ?

L’intégration commence par définir une architecture sécurisée, répartissant les composants (base de données, middleware, front-end) et en isolant les services critiques. Utilisez des modules open source éprouvés, intégrez des API sécurisées pour l’échange de données et implémentez des contrôles d’accès basés sur les rôles. Assurez-vous que le déploiement en Suisse respecte la LPD et les bonnes pratiques DevSecOps.

CAS CLIENTS RÉCENTS

Nous concevons des infrastructures souples, sécurisées et d’avenir pour faciliter les opérations

Nos experts conçoivent et implémentent des architectures robustes et flexibles. Migration cloud, optimisation des infrastructures ou sécurisation des données, nous créons des solutions sur mesure, évolutives et conformes aux exigences métiers.

CONTACTEZ-NOUS

Ils nous font confiance pour leur transformation digitale

Parlons de vous

Décrivez-nous votre projet et l’un de nos experts vous re-contactera.

ABONNEZ-VOUS

Ne manquez pas les
conseils de nos stratèges

Recevez nos insights, les dernières stratégies digitales et les best practices en matière de transformation digitale, innovation, technologie et cybersécurité.

Transformons vos défis en opportunités.

Basée à Genève, l’agence Edana conçoit des solutions digitales sur-mesure pour entreprises et organisations en quête de compétitivité.

Nous combinons stratégie, conseil et excellence technologique pour transformer vos processus métier, votre expérience client et vos performances.

Discutons de vos enjeux stratégiques:

022 596 73 70

Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook