Protection des données Guide pratique Swiss Cancer ...€¦ · Protection des données, septembre 2019 Page 1 de 30 Protection des données Guide pratique Swiss Cancer Screening

Protection des donneacutees septembre 2019 Page 1 de 30

Protection des donneacutees

Guide pratique

Swiss Cancer Screening SCS


Table des matiegraveres

1 OBJECTIFS DU PREacuteSENT DOCUMENT 3

2 OBLIGATIONS DES PROGRAMMES ET DU SCS EN MATIEgraveRE DE DEacutePISTAGE 4

21 ACQUISITION DES DONNEacuteES AUPREgraveS DE LrsquoAUTORITEacute CANTONALE 5

22 INVITATIONS ADRESSEacuteES AUX PERSONNES CONCERNEacuteES 6

23 DOCUMENTS ADRESSEacuteS AUX PERSONNES CONCERNEacuteES CONSENTEMENT ET EXAMEN DE DEacutePISTAGE 7

231 Invitation du public-cible 7

232 InclusionRendez-vous pour un examen 7

233 Eventuelle collecte de donneacutees suppleacutementaires 9

24 REacuteSULTATS MEacuteDICAUX 9

241 Controcircle des donneacutees 10

242 Eacutechange de donneacutees entre partenaires internes 10

243 Analyse des donneacutees et diagnostic meacutedical 10

244 Transmission des reacutesultats agrave la personne concerneacutee 11

245 Echange ulteacuterieur dinformations 11

246 Communication agrave lrsquoeacutetranger 12

25 STOCKAGE DES DONNEacuteES MESURES DE SEacuteCURITEacute ET DROIT DrsquoACCEgraveS MONITORAGE 12

251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes 13

252 Conseiller agrave la protection des donneacutees 14

253 Accegraves aux donneacutees par SCS 14

254 Droits drsquoaccegraves des personnes concerneacutees 15

255 Reacutevocation du consentement 16

256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees 16

257 Communication au registre cantonal des tumeurs 17

258 Monitorage interne du Programme et communication aux autoriteacutes 17

259 Communication agrave des chercheurs tiers 18

26 EFFACEMENT DES DONNEacuteES 18

3 CONCLUSIONS 19

ANNEXE I DEacuteFINITIONS 21

ANNEXE II BASES LEacuteGALES 23

A CONVENTIONS INTERNATIONALES RATIFIEacuteES PAR LA SUISSE 23

B BASES LEacuteGALES FEacuteDEacuteRALES 23

C BASES LEacuteGALES CANTONALES 24

D SOFT LAW 25

ANNEXE III PRINCIPES FONDAMENTAUX ET DROITS DES PERSONNES 26

ANNEXE IV MODEgraveLES DESTINEacuteS AUX PARTICIPANTS 28

ANNEXE V MONITORAGE NATIONAL 28

ANNEXE VI TABLE DES MATIEgraveRES POUR LES DIRECTIVES DE PROTECTION DES DONNEacuteES PROPRES Agrave

CHAQUE PROGRAMME 28

ANNEXE VII SET MINIMAL DE STANDARD OPERATING PROCEDURES (SOP) ET ANNEXES EN LIEN AVEC LA

PROTECTION DES DONNEacuteES 29

ANNEXE VIII ABREacuteVIATIONS COURANTES 30


1 Objectifs du preacutesent document

Les programmes cantonaux de deacutepistage (ci-apregraves Programmes) mettent en œuvre lrsquooffre de

deacutepistage du cancer du sein et du cocirclon dans les cantons qui ont choisi de systeacutematiquement

le proposer1 Douze cantons proposent le deacutepistage du cancer du sein tandis que quatre

cantons bientocirct huit proposent celui du cocirclon2 Dans un cas comme dans lrsquoautre la

Confeacutedeacuteration fixe les conditions du remboursement des prestations correspondantes par

lrsquoassurance-maladie de base3 En revanche la leacutegislation feacutedeacuterale sur le deacutepistage ne reacutegit

pas ses modaliteacutes pratiques

Le deacutepistage implique la collecte puis le traitement drsquoune multitude de donneacutees personnelles

aupregraves drsquoun large groupe de personnes La Loi feacutedeacuterale sur la protection des donneacutees (LPD4)

encadre ces activiteacutes afin drsquoassurer les droits des personnes concerneacutees en particulier leurs

droits en matiegravere de protection des donneacutees Si dans un canton le deacutepistage est une activiteacute

assumeacutee directement par lautoriteacute publique cantonale la reacuteglementation cantonale en matiegravere

de protection des donneacutees sapplique en lieu et place de la LPD5

Lrsquoobjectif assigneacute agrave ce Guide est de reacutecapituler les principes et de preacuteciser les obligations en

matiegravere de protection des donneacutees que les Programmes sont tenus de respecter Il doit servir

drsquooutil drsquoorientation aux Programmes et aux membres de Swiss Cancer Screening (SCS) Il

sadresse avant tout au directeur meacutedical et au directeur administratif de chaque Programme

mecircme srsquoil constitue un outil preacutecieux pour les autres collaborateurs Le Guide deacutefinit

notamment les modaliteacutes drsquoutilisation de lrsquooutil informatique commun Multi-cancer Screening

Information System (MC-SIS) Cet outil est conccedilu pour faciliter et geacuterer les processus

administratifs pour enregistrer les donneacutees reacutecolteacutees y compris les images pour analyser et

agreacuteger les donneacutees en vue du monitorage

La structure de ce Guide est autant que possible calqueacutee sur lrsquoitineacuteraire du participant Elle

deacutebute avec lrsquoacquisition des noms et adresses des personnes agrave qui le deacutepistage srsquoadresse et

termine avec la destruction des donneacutees lorsque celles-ci cessent drsquoecirctre utiles

Les annexes au Guide contiennent un rappel des deacutefinitions (Annexe I) un aperccedilu des bases

leacutegales (Annexe II) ainsi qursquoun survol des principes relatifs agrave la protection des donneacutees

(Annexe III) Lrsquoannexe IV fournit des modegraveles de documents que les Programmes sont inviteacutes

agrave reprendre Lrsquoannexe V liste les indicateurs du monitorage national Lrsquoannexe VI rappelle le

1 Le deacutepistage est rembourseacute par les caisses-maladie dans lrsquoassurance-maladie de base agrave condition qursquoil satisfasse

aux exigences de lrsquoart 12e al 1 letc OPAS (ordonnance du DFI sur les prestations dans lrsquoassurance obligatoire des soins en cas de maladie) Par renvoi de cet article la mammographie de deacutepistage doit satisfaire aux exigences de lrsquoOrdonnance du Conseil feacutedeacuteral sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du sein reacutealiseacute par mammographie du 23 juin 1999 (RS 7321024) 2 Concernant le cancer du cocirclon il existe actuellement un Programme organiseacute de deacutepistage dans les cantons drsquoUri et Vaud et une introduction est planifieacutee en 2019 dans les cantons de Bacircle-Ville Genegraveve Jura-Neuchacirctel et des Grisons 3 Art 26 de la Loi sur lassurance maladie (LAMal RS 83210) Larticle 12e de lOrdonnance sur les prestations de lassurance des soins (OPAS RS 83211231) preacutecise que la mammographie de deacutepistage ou le deacutepistage du cancer du cocirclon sont pris en charge par lassurance obligatoire des soins pour les personnes de plus de 50 ans uniquement dans le cadre dun Programme organiseacute de deacutepistage Pour la mammographie les conditions sont fixeacutees par lOrdonnance du 23 juin 1999 sur la garantie de la qualiteacute des Programmes de deacutepistage du cancer du sein par mammographie (RS 8321024 ci-apregraves Ordonnance sur la garantie de la qualiteacute) 4 Loi feacutedeacuterale sur la protection des donneacutees (RS 2351 LPD) du 19 juin 1992 cette loi est actuellement en cours de reacutevision devant le Parlement La LPD sapplique agrave toutes les donneacutees personnelles et non pas speacutecifiquement aux donneacutees personnelles meacutedicales A noter que le Regraveglement europeacuteen sur la protection des donneacutees (RGPD) est inapplicable ici car le traitement de donneacutees en cause ne relegraveve pas du champ dapplication du Regraveglement 5 La LPD ne sapplique pas agrave lactiviteacute des autoriteacutes publiques cantonales mais uniquement agrave lactiviteacute des autoriteacutes publiques feacutedeacuterales et des personnes priveacutees


contenu de la directive de protection des donneacutees Lrsquoannexe VII liste les Standard Operating

Procedures (SOP) que doit eacutetablir chaque Programme Finalement lrsquoAnnexe VIII fournit une

liste des abreacuteviations couramment utiliseacutees

Le preacutesent Guide est conccedilu comme un document eacutevolutif qui sera compleacuteteacute et actualiseacute au

minimum tous les deux ans en fonction de lrsquoeacutevolution de la reacuteglementation et des

commentaires des Programmes

2 Obligations des Programmes et du SCS en matiegravere de deacutepistage

Le deacutepistage neacutecessite drsquoacceacuteder puis de traiter des donneacutees personnelles crsquoest-agrave-dire des

donneacutees qui identifient directement la personne (p ex via son nom) ou qui permettent son

identification par une combinaison ou un recoupement drsquoinformations6 Lorsqursquoune donneacutee est

qualifieacutee de personnelle la loi ndash qursquoil srsquoagisse de la Constitution de la loi feacutedeacuterale sur la

protection des donneacutees ou des lois cantonales ndash oblige celui qui la traite agrave prendre des

mesures pour assurer sa confidentialiteacute et pour garantir les droits accordeacutes agrave lrsquoindividu

concerneacute Les donneacutees meacutedicales sont de surcroicirct consideacutereacutees comme des donneacutees

personnelles particuliegraverement sensibles et appellent agrave ce titre une protection accrue7

Le respect des obligations qui deacutecoulent de la reacuteglementation en matiegravere de protection des

donneacutees contribue de maniegravere deacutecisive agrave la confiance du public dans le deacutepistage Or sans

confiance du public le succegraves du deacutepistage est menaceacute Il est donc essentiel que toutes les

parties impliqueacutees assurent le plus haut niveau de protection et de seacutecuriteacute aux donneacutees dont

elles ont la maicirctrise

Les eacutetapes critiques au niveau de la protection des donneacutees sont

bull Dans une premiegravere eacutetape le Programme srsquoadresse agrave lrsquoautoriteacute cantonale (ou aux

autoriteacutes cantonalescommunales) qui maintient le registre des habitants afin drsquoobtenir

un extrait du registre pour le territoire concerneacute Le Programme a besoin au minimum

des noms preacutenoms adresses et dates de naissance du public-cible concerneacute (ie les

personnes eacuteligibles agrave participer au deacutepistage) Cette eacutetape est expliqueacutee dans le

chapitre 21

bull Le public-cible reccediloit une invitation pour lrsquoinformer de la possibiliteacute de participer agrave un

deacutepistage Le chapitre 22 deacutetaille les obligations du Programme agrave ce stade

bull Les personnes qui deacutecident de participer sont incluses dans le programme Les

obligations affeacuterentes agrave cette eacutetape (consentement eacuteclaireacute collecte de donneacutees etc)

sont deacutecrites au chapitre 23

bull Les aspects relevant de la protection des donneacutees en lien avec lrsquoeacutevaluation des

reacutesultats sont examineacutes au chapitre 24

bull Les participants sont informeacutes des reacutesultats de lrsquoexamen Les obligations affeacuterentes agrave

cette eacutetape sont deacutecrites au chapitre 25 Apregraves notification drsquoun eacuteventuel diagnostic de

cancer les interactions entre la personne concerneacutee et lrsquoeacutequipe meacutedicale qui la prend

en charge ne sont plus du ressort du Programme

bull Le Programme conserve les donneacutees acquises lors des eacutetapes preacuteceacutedentes Les

personnes doivent pouvoir ecirctre reacuteinviteacutees reacuteguliegraverement Pour des raisons de controcircle

qualiteacute le programme analyse reacuteguliegraverement les donneacutees SCS sur la base des

6 P ex en connaissant la date de naissance et lrsquoadresse drsquoune personne il est en geacuteneacuteral possible de retrouver son identiteacute 7 Art 3 let c art 4 al 5 et art 11a al 3 art 12 al 2 let c art 14 art 35 LPD


donneacutees agreacutegeacutees et anonymiseacutees eacutemet eacutegalement un rapport reacutepertoriant les

indicateurs-cleacutes sur une peacuteriode donneacutee (voir le chapitre 26)

bull La loi exclut que des donneacutees personnelles soient conserveacutees indeacutefiniment Les

Programmes doivent donc deacutecider agrave quel moment les donneacutees ne sont plus pertinentes

dans le cadre du deacutepistage et doivent ecirctre deacutetruites Le chapitre 27 clarifie les

obligations agrave ce stade

21 Acquisition des donneacutees aupregraves de lrsquoautoriteacute cantonale

Le Programme a besoin de savoir quelles personnes inviter agrave participer au deacutepistage

conformeacutement aux conditions de participation deacutefinies geacuteneacuteralement dans le mandat confeacutereacute

par lautoriteacute publique cantonale8 Le Programme demande agrave lrsquoautoriteacute cantonale la liste parmi

le public-cible de toutes les personnes deacuteceacutedeacutees des nouveaux arrivants et des personnes

ayant deacutemeacutenageacute afin deacuteviter dadresser un rappel dinvitation agrave une personne ineacuteligible Dans

certains cantons ces informations ne sont pas centraliseacutees et le Programme est ameneacute agrave

srsquoadresser agrave plusieurs instances reacutegionales

La leacutegislation nrsquoautorise la transmission de donneacutees personnelles (noms adresses acircges des

personnes deacutecegraves) drsquoune autoriteacute publique agrave un tiers ici le Programme qursquoagrave des conditions

strictes Une disposition dans la loi cantonale9 doit autoriser explicitement cette transmission

en drsquoautres termes une base leacutegale doit autoriser lrsquoautoriteacute cantonale agrave transmettre les

donneacutees personnelles et le Programme agrave les recevoir (principe de la leacutegaliteacute10)

Cette base leacutegale peut reacutesider dans une loi cantonale du Parlement ou dans une ordonnance

de lrsquoexeacutecutif Une directive du service administratif cantonal concerneacute ne suffit pas agrave elle seule

agrave justifier la transmission Elle peut preacuteciser les modaliteacutes de transmission

Si le droit cantonal ne contient aucune base leacutegale le Programme doit se renseigner aupregraves

de lrsquoautoriteacute cantonale afin que soit deacutetermineacute ensemble le fondement drsquoune telle transmission

En cas de doute sur lrsquoexistence drsquoune base leacutegale suffisante le programme peut consulter le

Preacuteposeacute cantonal agrave la protection des donneacutees afin de mettre en place une solution approprieacutee

Le Programme importe lrsquoensemble des informations acquises de lrsquoautoriteacute cantonale dans le

logiciel MC-SIS Il veacuterifie si possible leur exactitude par exemple en eacutecartant les dates de

naissance invraisemblables (ex personne neacutee en 1812) Le Programme est inviteacute agrave deacutefinir par

eacutecrit le type de veacuterifications systeacutematiques auquel il procegravede

Lrsquoimportation des donneacutees dans MC-SIS constitue un traitement de donneacutees (au sens de la

loi)11 Pour ecirctre licite ce traitement doit ndash lui aussi ndash ecirctre justifieacute par une base leacutegale qui se

trouve dans la loi cantonale reacutegissant le deacutepistage (voir Annexe II) En effet en donnant

8 Selon lrsquoOrdonnance sur la garantie de la qualiteacute le deacutepistage doit ecirctre proposeacute par une organisation reconnue par le canton ou les cantons (art 3 al 1) 9 Comme il sagit dune transmission par lautoriteacute publique cantonale la LPD nest pas applicable 10 Le principe de la leacutegaliteacute veut que laction de lEtat repose sur une base leacutegale Dans le contexte de la protection des donneacutees un traitement de donneacutees quel quil soit doit ecirctre licite La liceacuteiteacute dun traitement de donneacutees peut deacutecouler du consentement libre et eacuteclaireacute de la personne concerneacutee ou dune base leacutegale autorisant ledit traitement dans certains cas un inteacuterecirct priveacute ou public preacutepondeacuterant peut eacutegalement justifier le traitement de donneacutees et donc le rendre licite 11 En droit feacutedeacuteral le traitement de donneacutees est deacutefini tregraves largement comme toute opeacuteration relative agrave des donneacutees personnelles - quels que soient les moyens et proceacutedeacutes utiliseacutes - notamment la collecte la conservation lexploitation la modification la communication larchivage ou la destruction de donneacutees (art 3 let e LPD) Les lois cantonales ont eacutegalement des deacutefinitions larges de cette notion


mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave

traiter les donneacutees neacutecessaires agrave cette fin

Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la

protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement

des donneacutees personnelles

22 Invitations adresseacutees aux personnes concerneacutees

Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le

Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient

une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure

dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et

consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier

leur refus de participer

Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par

exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi

A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes

concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les

transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi

en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-

agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex

par des pirates informatiques)

La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme

au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres

dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre

sensibiliseacute agrave cette particulariteacute

Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave

superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme

ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures

concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour

que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se

fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les

tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des

donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques

Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque

Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette

collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand

et comment etc)

12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees


23 Documents adresseacutes aux personnes concerneacutees consentement et examen de

deacutepistage

231 Invitation du public-cible

Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre

une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque

personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les

avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir

des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le

personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence

Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste

libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas

agrave justifier ou motiver son choix

Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu

de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste

au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et

eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut

contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur

lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement

consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles

multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser

eacuteventuellement apregraves les avoir adapteacutes

Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa

Directive_PD

232 InclusionRendez-vous pour un examen

Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage

du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de

radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un

meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le

participant entre les donneacutees personnelles dans MC-SIS

Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du

cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage

du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les

16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage


reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de

consentement signeacute sur un support papier ou eacutelectronique (e-Quest)

Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa

caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement

aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes

eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix

(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le

Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer

son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees

neacutecessaires au bon deacuteroulement du deacutepistage24

Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques

rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees

comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont

neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle

et publique25

Si la personne refuse de donner son consentement et notamment son consentement agrave

lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas

participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La

personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet

eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne

recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS

afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est

conserveacutee durablement

La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant

dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens

laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir

les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des

donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la

protection des donneacutees et les droits des personnes concerneacutees Il doit notamment

inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs

maintiendront strictement confidentiels les donneacutees personnelles et autres

informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave

20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut

exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute


jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque

programme

233 Eventuelle collecte de donneacutees suppleacutementaires

La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement

neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme

souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de

donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle

doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre

reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe

dit de finaliteacute)27

A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave

des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la

recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit

ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son

accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en

matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la

recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la

collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont

directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la

pertinence de cette collecte la qualification de recherche srsquoimpose

Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui

deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires

seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce

document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront

peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme

communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave

compleacuteter dans le MC-SIS

24 Reacutesultats meacutedicaux

La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees

reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les

26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire


donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats

du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le

gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant

et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence

le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence

ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations

compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est

abordeacutee au chapitre 26 ci-dessous

241 Controcircle des donneacutees

Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement

De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment

pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees

individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles

validations sont fortement recommandeacutees

Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant

les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi

comment qui supervise quoi et comment) (SOP-2)

242 Eacutechange de donneacutees entre partenaires internes

Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple

les collaborateurs du Programme le personnel des laboratoires les radiologues les

gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus

concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette

autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et

figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes

par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et

deacutecrites dans le concept de seacutecuriteacute de CDI

Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le

deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement

proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute

243 Analyse des donneacutees et diagnostic meacutedical33

Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees

collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent

le diagnostic dans MC-SIS

Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non

seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services

externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de

famille pharmaciens) ou danalyser des donneacutees (par ex radiologues

32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie


gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les

tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les

partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les

donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces

contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des

donneacutees propre agrave chaque programme

Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-

SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute

de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et

proportionneacute au but rechercheacute

Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter

Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne

preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas

le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec

un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti

244 Transmission des reacutesultats agrave la personne concerneacutee

Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la

personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec

colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8

jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est

transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a

mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au

meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles

Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins

de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son

eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes

Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son

meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage

Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant

au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)

245 Echange ulteacuterieur dinformations

La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au

Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations

peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche

active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)

valant consentement au traitement des donneacutees

Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment

un oncologue chargeacute du suivi de la personne contacte directement un Programme en

34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute


demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut

reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee

(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une

copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement

renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa

patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un

canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail

crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le

Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du

professionnel en question

246 Communication agrave lrsquoeacutetranger

Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave

lrsquoeacutetranger

La personne concerneacutee peut toutefois demander explicitement au Programme que ses

propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire

geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la

personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger

Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions

de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM

contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les

instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de

son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de

la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger

25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage

Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne

concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir

la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le

thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation

drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves

aux donneacutees personnelles par SCS

La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont

le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les

questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees

formuleacutees par ces personnes

Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce

du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres

autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP

36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105


251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes

Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme

MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut

pas acceacuteder aux donneacutees personnelles dun autre Programme

Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues

strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans

le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de

proportionnaliteacute et de finaliteacute)38

Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les

deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des

erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation

des donneacutees mauvais usage vol perte de formulaires)

Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice

des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave

acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La

matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave

des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement

besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles

doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible

Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et

sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na

pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de

confidentialiteacute

Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux

donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement

deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de

gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)

la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme

doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non

autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les

sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent

ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux

La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les

modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP

correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit

drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)

Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de

ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite

(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune

neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former

ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de

37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD


fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et

le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue

du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les

risques les plus courants les sanctions en cas de violation

Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de

veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des

droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie

notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont

acceacutedeacute

252 Conseiller agrave la protection des donneacutees

Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des

donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et

proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un

mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition

que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des

donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit

253 Accegraves aux donneacutees par SCS

SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout

particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au

deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees

personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre

anonymiseacutees

SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut

ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage

en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes

qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un

contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent

pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte

est public

Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A

cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures

techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees

bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la

protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les

meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde

reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees

40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan


254 Droits drsquoaccegraves des personnes concerneacutees

La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont

traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y

compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande

daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet

au Programme

La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees

la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit

nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend

eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de

telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne

requeacuterante le but du fichier45

Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et

exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle

srsquoadresse agrave linstitut celui-ci la renvoie au Programme

Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment

il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment

la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe

carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est

ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave

compter de la demande48)

Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains

propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute

42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie


lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la

demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees

ou encore la demande de correction des donneacutees

255 Reacutevocation du consentement

La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps

reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle

a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la

transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue

a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)

Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du

consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le

Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas

effacer entiegraverement les donneacutees mecircme si la personne le lui demande

Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la

reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne

sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement

conserveacutees agrave des fins darchivage

Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa

pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer

aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller

agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle

ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif

La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage

Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante

est entreacutee dans MC-SIS

La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au

traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les

donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la

personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes

pour ecirctre utilement analyseacutees

256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees

Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout

particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement

les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute

ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le

peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le


programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute

par eacutecrit et annexeacute agrave sa Directive_PD

Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par

opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer

leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute

feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent

contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations

En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees

(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)

257 Communication au registre cantonal des tumeurs

Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir

les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui

sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet

le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers

drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les

cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et

quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes

La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre

cantonal adresse une confirmation du diagnostic au Programme

La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi

cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des

tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir

assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la

Directive_PD du programme cas eacutecheacuteant dans ses annexes

258 Monitorage interne du Programme et communication aux autoriteacutes

Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de

qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes

au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle

mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede

via MC-SIS

droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute


Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles

issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un

contrat eacutecrit incluant une clause de protection des donneacutees

Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le

Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment

qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD

259 Communication agrave des chercheurs tiers

Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets

de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la

Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte

systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-

1 (chapitre 233)

26 Effacement des donneacutees

Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee

et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en

drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54

Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus

anciennes et maintien des donneacutees plus reacutecentes)

Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees

issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees

de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions

(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence

En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute

par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui

le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici

lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans

toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre

deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par

exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont

eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere

La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et

obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi

chapitre 255)

53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute


Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des

donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et

qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de

lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte

au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans

3 Conclusions

Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable

Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees

dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des

personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit

daccegraves soient respecteacutes

Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer

le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de

nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel

et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-

anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats

garantissant la confidentialiteacute des donneacutees personnelles

En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees

Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale

et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que

possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal

agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral

La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car

nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes

solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour

assurer le niveau de protection le plus eacuteleveacute


ANNEXES

Liste

Annexe I Deacutefinitions

Annexe II Bases leacutegales

Annexe III Principes fondamentaux de la protection des donneacutees et droits des

personnes

Annexe IV Modegraveles destineacutes aux participants

Annexe V Concept de monitoring national

Annexe VI Eleacutements constituant la Directive PD (et ses annexes)

Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes

Annexe VIII Abreacuteviations courantes



En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et

les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis

que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes

sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles

qui demandent une protection particuliegravere

Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave

une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type

de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees

dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles

concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes

permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute

de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom

date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les

numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS

entrent aussi dans la cateacutegorie des donneacutees identifiantes

Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les

personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees

comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la

protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees

agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres

permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre

rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros

drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le

maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est

eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de

commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais

entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees

raquo il est souvent possible de remonter au patient

Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)

sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)

Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles

ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation

la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)

Communication de donneacutees personnelles est consideacutereacutee comme communication le fait

de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de

les transmettre de les publier

En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est

couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins

strictes que sur des donneacutees identifiantes

56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6


Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le

proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La

correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou

drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees

identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees

restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees

(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes

autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les

donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave

elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi

par des tiers qui les combinent avec des informations externes eacutemanant dautres sources



Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est

eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en

matiegravere de deacutepistage

A Conventions internationales ratifieacutees par la Suisse

Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du

traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave

Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les

parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et

aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics

que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les

individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette

Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne

de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection

des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement

applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de

deacutepistage du cancer en Suisse

B Bases leacutegales feacutedeacuterales

Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune

maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure

le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons

eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales

Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le

droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo

(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce

qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave

qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales

contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution

fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)

Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et

Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees

(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des

traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les

personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont

soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash

notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats

drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une

protection speacuteciale Ce document se base principalement sur la LPD

Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son

ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des

tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la

Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un

ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle

57 KienerKaumllin Grundrechte Berne 2007 p158


il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient

dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)

droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)

Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute

deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la

surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)

Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le

domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient

quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees

le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont

encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees

Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre

eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes

drsquooffrir agrave leurs patient un dossier eacutelectronique

Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code

peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection

des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine

du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique

visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees

personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la

recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui

sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la

recherche et les dispositions de la loi sur la recherche seraient alors applicables60

Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre

les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des

donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD

Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que

si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation

de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions

mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et

assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de

lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute

Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du

sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions

minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en

matiegravere de protection des donneacutees

C Bases leacutegales cantonales

Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi

cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees

reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre

autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des

autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees

58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5


meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits

aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes

en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection

des donneacutees et le respect de la reacuteglementation au niveau cantonal

Les diffeacuterentes lois cantonales

httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone

Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs

ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection

des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance

speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)

D Soft law

Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en

Suisse sans toutefois avoir force leacutegale

Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces

normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation

et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les

Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)

lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)

European guidelines for quality assurance in breast cancer deacutepistage and

diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le

controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit

fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la

lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees

et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de

protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte

lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage

(p399)

European guidelines for quality assurance in colorectal cancer deacutepistage and

diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee

personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives

europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)

Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)

61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388


Annexe III Principes fondamentaux et droits des personnes

En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans

la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de

recommandations

Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services

eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et

disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention

dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p

ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles

et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la

confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo

La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont

eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des

personnes concerneacutees

Principes fondamentaux

Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite

Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une

loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee

Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public

ou priveacute preacutepondeacuterant

Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base

leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux

principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees

personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute

entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees

Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que

dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte

En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur

sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est

eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64

Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees

Droits des personnes

Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas

eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position

drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son

63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri

laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104


autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est

adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en

personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En

principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les

donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision

httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-

d_acceshtml

Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au

traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation

peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du

fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit

veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du

consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le

consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant

la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les

donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif

justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)

Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles

sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit

couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa

demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de

les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc

susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction

ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les

30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre

correctement veacuterifieacutee



Brochures drsquoinformation et flyers

Cancer du sein httpswwwswisscancerscreeningchkrebs-

frueherkennungbrustbroschueren-und-flyer

Cancer du cocirclon httpswwwswisscancerscreeningchid=278

Annexe V Monitorage national

Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []

Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []

Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels

[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []

Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [

] Cancers Stades avanceacutes [ ]

Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres

agrave chaque programme

1 Reacutesumeacute

2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles

3 Workflow du Programme

4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la

protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres

biais que MC-SIS)

5 SOP-1-4 ainsi que la politique de mise agrave jour

6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment

les formulaires papier remplis par les participants) politique de gestion des

imprimantes et accegraves des visiteurs aux locaux

7 Politique de sensibilisation des collaborateurs

8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le

biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)

9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement

10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees

Annexes

11 Contrats avec des tiers (instituts prestataires externes)

12 Modegravele de lettre drsquoinvitation

13 Modegravele du formulaire de consentement

14 Brochure drsquoinformation


Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien

avec la protection des donneacutees

SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires

SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees

SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits

drsquoaccegraves

Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux

comprenant une liste nominative du personnel et de ses tacircches

SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes

concerneacutees



CDI Conseils et deacuteveloppements informatiques SA

Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse

Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees

Test FIT Fecal immunochemical test

FMH Feacutedeacuteration des meacutedecins suisses

Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec

les Programmes

LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)

LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS

81833)

LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)

LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances

sociales (RS 8301)

LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)

MC-SIS Multi-Cancer Deacutepistage Information-System

OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS

818331)

OFS Office feacutedeacuteral de la statistique

OFSP Office feacutedeacuteral de la santeacute publique

OPAS Ordonnance sur les prestations de lassurance des soins (RS

83211231)

PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence

RGDP

Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse

SCS Swiss Cancer Screening

SOP Standard operating procedures


Table des matiegraveres

1 OBJECTIFS DU PREacuteSENT DOCUMENT 3

2 OBLIGATIONS DES PROGRAMMES ET DU SCS EN MATIEgraveRE DE DEacutePISTAGE 4

21 ACQUISITION DES DONNEacuteES AUPREgraveS DE LrsquoAUTORITEacute CANTONALE 5

22 INVITATIONS ADRESSEacuteES AUX PERSONNES CONCERNEacuteES 6

23 DOCUMENTS ADRESSEacuteS AUX PERSONNES CONCERNEacuteES CONSENTEMENT ET EXAMEN DE DEacutePISTAGE 7

231 Invitation du public-cible 7

232 InclusionRendez-vous pour un examen 7

233 Eventuelle collecte de donneacutees suppleacutementaires 9

24 REacuteSULTATS MEacuteDICAUX 9

241 Controcircle des donneacutees 10

242 Eacutechange de donneacutees entre partenaires internes 10

243 Analyse des donneacutees et diagnostic meacutedical 10

244 Transmission des reacutesultats agrave la personne concerneacutee 11

245 Echange ulteacuterieur dinformations 11

246 Communication agrave lrsquoeacutetranger 12

25 STOCKAGE DES DONNEacuteES MESURES DE SEacuteCURITEacute ET DROIT DrsquoACCEgraveS MONITORAGE 12

251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes 13

252 Conseiller agrave la protection des donneacutees 14

253 Accegraves aux donneacutees par SCS 14

254 Droits drsquoaccegraves des personnes concerneacutees 15

255 Reacutevocation du consentement 16

256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees 16

257 Communication au registre cantonal des tumeurs 17

258 Monitorage interne du Programme et communication aux autoriteacutes 17

259 Communication agrave des chercheurs tiers 18

26 EFFACEMENT DES DONNEacuteES 18

3 CONCLUSIONS 19

ANNEXE I DEacuteFINITIONS 21

ANNEXE II BASES LEacuteGALES 23

A CONVENTIONS INTERNATIONALES RATIFIEacuteES PAR LA SUISSE 23

B BASES LEacuteGALES FEacuteDEacuteRALES 23

C BASES LEacuteGALES CANTONALES 24

D SOFT LAW 25

ANNEXE III PRINCIPES FONDAMENTAUX ET DROITS DES PERSONNES 26

ANNEXE IV MODEgraveLES DESTINEacuteS AUX PARTICIPANTS 28

ANNEXE V MONITORAGE NATIONAL 28

ANNEXE VI TABLE DES MATIEgraveRES POUR LES DIRECTIVES DE PROTECTION DES DONNEacuteES PROPRES Agrave

CHAQUE PROGRAMME 28

ANNEXE VII SET MINIMAL DE STANDARD OPERATING PROCEDURES (SOP) ET ANNEXES EN LIEN AVEC LA

PROTECTION DES DONNEacuteES 29

ANNEXE VIII ABREacuteVIATIONS COURANTES 30





























































chapitre 21























































































et comment etc)




deacutepistage





















Directive_PD


























et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP
































































chapitre 21























































































et comment etc)




deacutepistage





















Directive_PD


























et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP































chapitre 21























































































et comment etc)




deacutepistage





















Directive_PD


























et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP











































































et comment etc)




deacutepistage





















Directive_PD


























et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP








































et comment etc)




deacutepistage





















Directive_PD


























et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP






deacutepistage





















Directive_PD


























et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP



















et publique25






















programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP






programme


























































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP
































































































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP

























































lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP

















lrsquoeacutetranger














































































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP
























































acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP













acceacutedeacute













anonymiseacutees







est public















au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP










au Programme






















































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP







































































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP


































via MC-SIS














1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP
















1 (chapitre 233)





















chapitre 255)








3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP










3 Conclusions






















ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP





ANNEXES

Liste




personnes
































































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP






























































































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP




















































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP








































































































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP



























































D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP















D Soft law
















(p399)











recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP








recommandations









































d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP











d_acceshtml



































1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP



















1 Reacutesumeacute





biais que MC-SIS)










Annexes











drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP










drsquoaccegraves




concerneacutees









les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP












les Programmes



81833)



sociales (RS 8301)




818331)




83211231)


RGDP


