En matière de protection des données, une politique proactive, et évidement conforme à la loi, est indispensable à la bonne réputation d’une entreprise. La société bernoise Medicosearch, spécialisée dans le domaine de l’e-santé, en est convaincue.
Le Parlement a adopté à l’automne 2020 une nouvelle loi sur la protection des données (nLPD), qui entrera en vigueur le 1er septembre 2023. Elle renforce les droits des individus, tout en créant de nouvelles obligations pour les entreprises. Principale plateforme suisse pour la réservation de rendez-vous médicaux en ligne, Medicosearch est directement concerné par cette évolution législative. Elle traite et protège en effet les données médicales sensibles de ses utilisateurs à l’aide d’une politique précise en la matière. Le membre de la direction et responsable de la protection des données de la société bernoise, Rafael Imboden, explique les modifications introduites par la nLPD et comment Medicosearch s’y prépare.
Pouvez-vous nous décrire brièvement le modèle d’affaires de Medicosearch?
Rafael Imboden: Depuis la création de la société en 2008, Medicosearch proposons une plateforme de réservation de rendez-vous dans le domaine de la santé. Autrement dit, sur medicosearch.ch, un patient peut choisir parmi plusieurs milliers de professionnels de la santé celui ou celle qui lui convient le mieux et prendre directement rendez-vous en ligne. Nos clients sont des prestataires de service du domaine médical (médecins, thérapeutes, dentistes, pharmaciens, hôpitaux, etc.) qui souhaitent proposer cette réservation en ligne à leur patientèle. La Suisse est en ce sens différente d’autres pays européens comme l’Allemagne ou l’Espagne, où les plateformes servent surtout à acquérir de nouveaux clients. Dans notre pays, les salles d’attente ne désemplissent pas et il s’agit surtout d’alléger administrativement les cabinets, en évitant des appels inutiles ou en permettant de réaliser des réservations le soir et le weekend.
Dans quels cadres votre entreprise manie-t-elle des données personnelles?
Imboden: Généralement, quand un patient réserve un rendez-vous, certaines informations lui sont demandées. Elles peuvent être assez standards (nom, adresse, etc.), ou bien correspondre à des données médicales sensibles. Les cabinets, hôpitaux et pharmacies ont, en effet, la possibilité de publier un formulaire à remplir lors de la prise de rendez-vous, comprenant par exemple des informations sur le groupe sanguin, l’assurance maladie, les précédents examens médicaux... C’est la principale situation dans laquelle nous enregistrons et communiquons des données sensibles aux prestataires de soins.
Qu’est-ce que change la nLPD?
Imboden: Comprendre la révision dans les détails demande du temps. Mais, à un niveau très général, on peut dire que la nouvelle loi s’adapte aux changements technologiques et sociaux de notre époque. Beaucoup de choses ont changé depuis la première loi, il y a près de 30 ans. Le potentiel d’utilisation, mais aussi d’abus, des données personnelles a fortement augmenté. Avec le cloud computing, les réseaux sociaux ou encore l’internet des objets, la protection des données n’est pas forcément garantie ou optimale. L’autre grande motivation de la révision est l’adaptation à la Réglementation de l’UE pour la protection des données (RGPD). Si la Suisse offrait une moins bonne protection que l’UE, cela constituerait un désavantage concurrentiel pour les entreprises du pays.
Concrètement, en quoi la nouvelle loi s’adapte-elle à notre époque?
Imboden: Par exemple, les données biométriques et génétiques sont désormais considérées comme particulièrement sensibles. En outre, toute personne doit être informée de la collecte de ses données, alors qu’auparavant, ce devoir d’information était seulement valable pour les données sensibles. La nLPD introduit aussi le concept de "privacy by default". Par exemple, lors du téléchargement d’une application sur le smartphone, le partage de la localisation est obligatoirement désactivé lors du téléchargement de l’application. Le client doit cocher sciemment "Je veux l’activer" pour que cela s’enclenche. Grâce à la nouvelle loi suisse, les consommateurs ont l’assurance que les paramétrages respectent autant que possible la protection de leurs données.
La révision représente-t-elle un grand changement pour vous?
Imboden: Comme nous sommes déjà conformés au RGPD, nous devrions avoir très peu à faire. En revanche, les entreprises qui s’en sont, jusqu’ici, strictement tenues à l’ancienne loi suisse pourraient avoir passablement de travail. Elles devront par exemple mener une analyse structurée des risques en amont d’un processus de traitement des données sensibles.
Outre des mesures de prévention, disposez-vous d’un plan précis en cas de violation de la protection des données?
Imboden: En cas de violation de la protection des données, il faut informer de manière transparente le Préposé fédéral à la protection des données et les personnes concernées (dire comment cela est arrivé et quelles données sont concernées). Outre la communication, la limitation des dégâts est importante: il est nécessaire de colmater le plus vite possible la faille de sécurité et empêcher le vol de plus de données. Toutefois, si un tel scénario se produit, cela signifie que nous avons déjà échoué.
De manière générale, nous mettons des mesures de sécurité en œuvre qui vont au-delà de ce qui est exigé par la loi. Par exemple, nous supprimons complétement toutes les données au-delà de 30 jours après le rendez-vous médical, cela permet de réduire drastiquement les données possiblement exposées. Ensuite, nous réalisons des tests d’intrusion ou "penetration tests". Nous payons des hackers "bienveillants" qui testent nos produits et systèmes informatiques pour trouver d’éventuelles failles et nous les communiquer.
Que conseilleriez-vous à un jeune entrepreneur qui lance une plateforme traitant des données personnelles? Peut-il mettre en œuvre la nouvelle révision seul, sans connaissances préalables?
Imboden: Un bon credo est de manipuler les données de ses clients comme si c’étaient les siennes. Il est difficile de mettre en œuvre la nLPD sans être un spécialiste du sujet. Il faut des connaissances juridiques pour bien comprendre le contenu de la réglementation, mais aussi pour rédiger les déclarations de protection des données sur son site internet par exemple. Quand on n’a pas de formation d’ingénieur IT, il est aussi difficile de juger à quel point son produit est sûr. Je ferais par conséquent appel à des conseillers informatiques externes capables de donner leur feu vert avant le lancement.
