S’il est un domaine où le recours aux systèmes d’intelligence arti­fi­cielle appa­raît promet­teur, c’est bien celui de la santé. Les données collec­tées au travers de l’utilisation par les patients des appa­reils médi­caux les plus divers valent de l’or. Agrégées, elles permettent au travers de diffé­rentes méthodes de clus­te­ring d’affiner les diag­nos­tics et profils des patients, nous rappro­chant toujours davan­tage d’une méde­cine personnalisée.

Plébiscités par certains, décriés par d’autres, les appa­reils de télé­mo­ni­to­ring posent de nombreuses ques­tions sur le plan juri­dique dont les profes­sion­nels de la santé se doivent d’être conscients. La présente contri­bu­tion se concentre sur l’une d’entre elles, à savoir l’hébergement des données.

De nombreux four­nis­seurs de tels appa­reils hébergent les données collec­tées sur des serveurs cloud. Or, s’agissant de données de santé, la ques­tion se pose de savoir si l’externalisation de ces données est admis­sible et, à suppo­ser qu’elle le soit, si l’hébergement peut aussi bien avoir lieu en Suisse qu’à l’étranger.

Pour des raisons de place, nous exami­ne­rons cette ques­tion à l’aune de la LPD, tout en recon­nais­sant que l’application des lois canto­nales en la matière joue un rôle impor­tant s’agissant en parti­cu­lier de l’utilisation d’appareils au sein d’établissements de santé comme les hôpi­taux publics.

L’hébergement des données de santé dans le cloud est-il possible ?

L’art. 10a al. 1 LPD prévoit que « [l]e trai­te­ment de données person­nelles peut être confié à un tiers pour autant qu’une conven­tion ou la loi le prévoie et que les condi­tions suivantes soient remplies : (let. a) seuls les trai­te­ments que le mandant serait en droit d’effectuer lui-même sont effec­tués ; (let. b) aucune obli­ga­tion légale ou contrac­tuelle de garder le secret ne l’interdit. »

Si la lettre a ne pose pas de problème, il en va diffé­rem­ment de la lettre b, dès lors que le trai­te­ment de données par un méde­cin est soumis au respect du secret médi­cal (art. 321 CP).La ques­tion à tran­cher consiste dès lors à savoir dans quelle mesure l’art. 321 CP auquel est soumis tout méde­cin fait obstacle à la commu­ni­ca­tion des données en faveur d’un tiers.

Tout le débat consiste en réalité à savoir ce qu’il faut entendre par « auxi­liaire » au sens de l’art. 321 CP, puisque ces derniers sont couverts par le secret profes­sion­nel appli­cable au méde­cin. Or, il est aujourd’hui large­ment admis par la doctrine que les pres­ta­taires infor­ma­tiques auxquels recourent les profes­sion­nels de la santé doivent être quali­fiés d’auxiliaires au sens de l’art. 321 CP.

En déci­der autre­ment revien­drait à signi­fier que le profes­sion­nel de la santé doit tota­le­ment inter­na­li­ser le trai­te­ment des données de ses patients ce qui, en pratique, compte tenu de la complexité des savoirs et de leur diver­si­fi­ca­tion, n’apparaît pas réaliste.

Il faut donc admettre que le pres­ta­taire infor­ma­tique, qui s’agisse d’un four­nis­seur cloud ou d’une société char­gée de la main­te­nance à distance d’un serveur hébergé sur site, sont des auxi­liaires du profes­sion­nel de la santé.

À ce titre, le méde­cin est donc en droit de lui sous-trai­ter le trai­te­ment des données sans qu’une viola­tion du secret profes­sion­nel ne puisse lui être repro­chée et, partant, sans qu’une base légale vienne inter­dire cette communication.

Si viola­tion du secret profes­sion­nel il y a, par exemple ensuite d’une fuite de données, elle sera donc impu­table au profes­sion­nel de la santé, raison pour laquelle il sera d’autant plus impor­tant de s’assurer que les mesures prises en matière de sécu­rité sont adéquates.

Plus déli­cate est en revanche la ques­tion de savoir si ce pres­ta­taire infor­ma­tique peut le cas échéant héber­ger des données en dehors de la Suisse.

L’hébergement des données de santé à l’étran­ger est-il possible ? 

L’art. 6 al. 1^er LPD prévoit qu’ « [a]ucune donnée person­nelle ne peut être commu­ni­quée à l’étranger si la person­na­lité des personnes concer­nées devait s’en trou­ver grave­ment mena­cée, notam­ment du fait de l’absence d’une légis­la­tion assu­rant un niveau de protec­tion adéquat. » La liste des pays recon­nus comme assu­rant un niveau de protec­tion adéquat figure sur le site du PFPDT.

Lorsque les États vers lesquels un trans­fert est envi­sagé ne sont pas consi­dé­rés comme présen­tant un tel niveau (p. ex. les États-Unis d’Amérique). Des données person­nelles peuvent néan­moins être commu­ni­quées à l’étranger lorsque : des garan­ties suffi­santes, notam­ment contrac­tuelles, permettent d’assurer un tel niveau (art. 6 al. 2 let. a LPD),  la personne concer­née a donné son consen­te­ment (art. 6 al. 2 let. b LPD), que le trai­te­ment envi­sagé est en rela­tion directe avec l’exécution d’un contrat concer­nant le cocon­trac­tant (en l’espèce le patient) (art. 6 al. 2 let. c LPD) ou que la commu­ni­ca­tion se fait au sein d’un groupe soumis à des règles de protec­tion des données garan­tis­sant un niveau de protec­tion adéquat approu­vées par le PFPDT (art. 6 al. 2 let. g et 3 LPD).

Les garan­ties contrac­tuelles suffi­santes consistent le plus souvent en le recours aux clauses contrac­tuelles types adop­tées par la Commission euro­péenne le 4 juin 2021 et dispo­nibles ici. À noter que le PFPDT recon­naît les clauses contrac­tuelles types adop­tées par la Commission euro­péenne comme base pour trans­fé­rer des données person­nelles vers un pays ne présen­tant pas un niveau de protec­tion des données adéquat, à condi­tion que des adap­ta­tions et complé­ments soient appor­tés pour que l’utilisation des données soit conforme au droit suisse (à propos des mesures tech­niques à obser­ver suite à l’arrêt Schrems II, cf. swiss​pri​vacy​.law/40).

Il découle de ce qui précède qu’outre le consen­te­ment exprès donné par chaque patient au travers des formu­laires de consen­te­ment, même en l’absence de consen­te­ment, le trans­fert à l’étranger peut être consi­déré comme direc­te­ment lié à l’exécution du contrat de mandat qui lie le méde­cin à son patient. Un trans­fert serait donc licite.

C’est toute­fois oublier l’exigence posée par le secret profes­sion­nel susmen­tionné. Or, si le recours à un pres­ta­taire infor­ma­tique héber­geant des données en Suisse est consi­déré comme admis­sible, un tel pres­ta­taire étant alors consi­déré comme un auxi­liaire du méde­cin, tel n’est plus le cas lorsque le pres­ta­taire en ques­tion héberge les données trai­tées à l’étranger.

En cette hypo­thèse, la doctrine majo­ri­taire consi­dère en effet que rien ne permet de garan­tir que l’art. 321 CP demeure appli­cable à l’étranger et, le cas échéant, qu’une auto­rité étran­gère n’ordonne pas la divul­ga­tion de ces données en appli­ca­tion de son propre droit. Par voie de consé­quence, le pres­ta­taire infor­ma­tique héber­geant des données médi­cales à l’étranger n’est pas consi­déré comme un auxi­liaire du méde­cin ; autre­ment dit, le méde­cin qui recourt à un tel pres­ta­taire et admet par là même le trans­fert et l’hébergement de ces données à un tiers à l’étranger viole non seule­ment son secret profes­sion­nel, mais égale­ment l’art. 10a LPD puisqu’il commu­nique des données à un tiers qui n’est plus un auxiliaire.

On pour­rait certes gloser quant à la ques­tion de savoir si, au regard des aspects d’extranéité, l’assertion suivant laquelle l’art. 321 CP ne trouve pas appli­ca­tion à l’étranger lorsque l’acte du télé­ver­se­ment est initié à partir de la Suisse est correcte. Toujours est-il qu’au vu des incer­ti­tudes et du carac­tère pénal sérieux de la viola­tion du secret médi­cal, le profes­sion­nel de la santé aura tout inté­rêt à s’abstenir de recou­rir à un pres­ta­taire infor­ma­tique héber­geant des données à l’étranger.

À suppo­ser cepen­dant qu’il estime n’avoir aucun autre choix que de recou­rir audit pres­ta­taire, deux possi­bi­li­tés lui demeurent ouvertes : la première consiste à obte­nir un accord exprès du patient consen­te­ment non seule­ment au trans­fert (ce qui appa­raît possible), mais encore à la levée du secret médi­cal à son encontre (ce qui l’apparaît déjà beau­coup moins) ; la seconde, peut-être plus envi­sa­geable, consiste à exiger que les données héber­gées à l’étranger soient anony­mi­sées de bout en bout, une solu­tion envi­sa­geable au moyen d’un chif­frage dont la clé privée devra cepen­dant être déte­nue par le profes­sion­nel de la santé (ce que tous les four­nis­seurs ne permettent cepen­dant pas).

Recommandations

Au vu de ce qui précède, on peut émettre les recom­man­da­tions suivantes :

• Privilégier autant que faire se peut les pres­ta­taires héber­geant les données en Suisse.
• Si impos­sible, s’assurer que les données sont anony­mi­sées end-to-end avec une clé privée déte­nue par le respon­sable du traitement.
• Si les données ne sont pas anony­mi­sées, privi­lé­gier un pres­ta­taire héber­geant des données dans des pays ayant un niveau adéquat de protec­tion et obte­nir le consen­te­ment exprès du patient pour un tel trans­fert rele­vant le profes­sion­nel de la santé du secret médical.
• Si seul un pres­ta­taire héber­geant des données hors de ces pays est possible (p. ex. aux États-Unis d’Amérique), peser les risques et obte­nir en toute hypo­thèse l’accord exprès du patient pour un tel trans­fert et la levée du secret médical.
• Si rien de tout cela n’est possible (ou que le patient refuse de donner son consen­te­ment), ne pas trans­fé­rer les données, sauf à commettre une viola­tion du secret médi­cal selon la vue prédo­mi­nante à ce jour.