Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Protection des donneacutees septembre 2019 Page 1 de 30
Protection des donneacutees
Guide pratique
Swiss Cancer Screening SCS
Protection des donneacutees septembre 2019 Page 2 de 30
Table des matiegraveres
1 OBJECTIFS DU PREacuteSENT DOCUMENT 3
2 OBLIGATIONS DES PROGRAMMES ET DU SCS EN MATIEgraveRE DE DEacutePISTAGE 4
21 ACQUISITION DES DONNEacuteES AUPREgraveS DE LrsquoAUTORITEacute CANTONALE 5
22 INVITATIONS ADRESSEacuteES AUX PERSONNES CONCERNEacuteES 6
23 DOCUMENTS ADRESSEacuteS AUX PERSONNES CONCERNEacuteES CONSENTEMENT ET EXAMEN DE DEacutePISTAGE 7
231 Invitation du public-cible 7
232 InclusionRendez-vous pour un examen 7
233 Eventuelle collecte de donneacutees suppleacutementaires 9
24 REacuteSULTATS MEacuteDICAUX 9
241 Controcircle des donneacutees 10
242 Eacutechange de donneacutees entre partenaires internes 10
243 Analyse des donneacutees et diagnostic meacutedical 10
244 Transmission des reacutesultats agrave la personne concerneacutee 11
245 Echange ulteacuterieur dinformations 11
246 Communication agrave lrsquoeacutetranger 12
25 STOCKAGE DES DONNEacuteES MESURES DE SEacuteCURITEacute ET DROIT DrsquoACCEgraveS MONITORAGE 12
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes 13
252 Conseiller agrave la protection des donneacutees 14
253 Accegraves aux donneacutees par SCS 14
254 Droits drsquoaccegraves des personnes concerneacutees 15
255 Reacutevocation du consentement 16
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees 16
257 Communication au registre cantonal des tumeurs 17
258 Monitorage interne du Programme et communication aux autoriteacutes 17
259 Communication agrave des chercheurs tiers 18
26 EFFACEMENT DES DONNEacuteES 18
3 CONCLUSIONS 19
ANNEXE I DEacuteFINITIONS 21
ANNEXE II BASES LEacuteGALES 23
A CONVENTIONS INTERNATIONALES RATIFIEacuteES PAR LA SUISSE 23
B BASES LEacuteGALES FEacuteDEacuteRALES 23
C BASES LEacuteGALES CANTONALES 24
D SOFT LAW 25
ANNEXE III PRINCIPES FONDAMENTAUX ET DROITS DES PERSONNES 26
ANNEXE IV MODEgraveLES DESTINEacuteS AUX PARTICIPANTS 28
ANNEXE V MONITORAGE NATIONAL 28
ANNEXE VI TABLE DES MATIEgraveRES POUR LES DIRECTIVES DE PROTECTION DES DONNEacuteES PROPRES Agrave
CHAQUE PROGRAMME 28
ANNEXE VII SET MINIMAL DE STANDARD OPERATING PROCEDURES (SOP) ET ANNEXES EN LIEN AVEC LA
PROTECTION DES DONNEacuteES 29
ANNEXE VIII ABREacuteVIATIONS COURANTES 30
Protection des donneacutees septembre 2019 Page 3 de 30
1 Objectifs du preacutesent document
Les programmes cantonaux de deacutepistage (ci-apregraves Programmes) mettent en œuvre lrsquooffre de
deacutepistage du cancer du sein et du cocirclon dans les cantons qui ont choisi de systeacutematiquement
le proposer1 Douze cantons proposent le deacutepistage du cancer du sein tandis que quatre
cantons bientocirct huit proposent celui du cocirclon2 Dans un cas comme dans lrsquoautre la
Confeacutedeacuteration fixe les conditions du remboursement des prestations correspondantes par
lrsquoassurance-maladie de base3 En revanche la leacutegislation feacutedeacuterale sur le deacutepistage ne reacutegit
pas ses modaliteacutes pratiques
Le deacutepistage implique la collecte puis le traitement drsquoune multitude de donneacutees personnelles
aupregraves drsquoun large groupe de personnes La Loi feacutedeacuterale sur la protection des donneacutees (LPD4)
encadre ces activiteacutes afin drsquoassurer les droits des personnes concerneacutees en particulier leurs
droits en matiegravere de protection des donneacutees Si dans un canton le deacutepistage est une activiteacute
assumeacutee directement par lautoriteacute publique cantonale la reacuteglementation cantonale en matiegravere
de protection des donneacutees sapplique en lieu et place de la LPD5
Lrsquoobjectif assigneacute agrave ce Guide est de reacutecapituler les principes et de preacuteciser les obligations en
matiegravere de protection des donneacutees que les Programmes sont tenus de respecter Il doit servir
drsquooutil drsquoorientation aux Programmes et aux membres de Swiss Cancer Screening (SCS) Il
sadresse avant tout au directeur meacutedical et au directeur administratif de chaque Programme
mecircme srsquoil constitue un outil preacutecieux pour les autres collaborateurs Le Guide deacutefinit
notamment les modaliteacutes drsquoutilisation de lrsquooutil informatique commun Multi-cancer Screening
Information System (MC-SIS) Cet outil est conccedilu pour faciliter et geacuterer les processus
administratifs pour enregistrer les donneacutees reacutecolteacutees y compris les images pour analyser et
agreacuteger les donneacutees en vue du monitorage
La structure de ce Guide est autant que possible calqueacutee sur lrsquoitineacuteraire du participant Elle
deacutebute avec lrsquoacquisition des noms et adresses des personnes agrave qui le deacutepistage srsquoadresse et
termine avec la destruction des donneacutees lorsque celles-ci cessent drsquoecirctre utiles
Les annexes au Guide contiennent un rappel des deacutefinitions (Annexe I) un aperccedilu des bases
leacutegales (Annexe II) ainsi qursquoun survol des principes relatifs agrave la protection des donneacutees
(Annexe III) Lrsquoannexe IV fournit des modegraveles de documents que les Programmes sont inviteacutes
agrave reprendre Lrsquoannexe V liste les indicateurs du monitorage national Lrsquoannexe VI rappelle le
1 Le deacutepistage est rembourseacute par les caisses-maladie dans lrsquoassurance-maladie de base agrave condition qursquoil satisfasse
aux exigences de lrsquoart 12e al 1 letc OPAS (ordonnance du DFI sur les prestations dans lrsquoassurance obligatoire des soins en cas de maladie) Par renvoi de cet article la mammographie de deacutepistage doit satisfaire aux exigences de lrsquoOrdonnance du Conseil feacutedeacuteral sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du sein reacutealiseacute par mammographie du 23 juin 1999 (RS 7321024) 2 Concernant le cancer du cocirclon il existe actuellement un Programme organiseacute de deacutepistage dans les cantons drsquoUri et Vaud et une introduction est planifieacutee en 2019 dans les cantons de Bacircle-Ville Genegraveve Jura-Neuchacirctel et des Grisons 3 Art 26 de la Loi sur lassurance maladie (LAMal RS 83210) Larticle 12e de lOrdonnance sur les prestations de lassurance des soins (OPAS RS 83211231) preacutecise que la mammographie de deacutepistage ou le deacutepistage du cancer du cocirclon sont pris en charge par lassurance obligatoire des soins pour les personnes de plus de 50 ans uniquement dans le cadre dun Programme organiseacute de deacutepistage Pour la mammographie les conditions sont fixeacutees par lOrdonnance du 23 juin 1999 sur la garantie de la qualiteacute des Programmes de deacutepistage du cancer du sein par mammographie (RS 8321024 ci-apregraves Ordonnance sur la garantie de la qualiteacute) 4 Loi feacutedeacuterale sur la protection des donneacutees (RS 2351 LPD) du 19 juin 1992 cette loi est actuellement en cours de reacutevision devant le Parlement La LPD sapplique agrave toutes les donneacutees personnelles et non pas speacutecifiquement aux donneacutees personnelles meacutedicales A noter que le Regraveglement europeacuteen sur la protection des donneacutees (RGPD) est inapplicable ici car le traitement de donneacutees en cause ne relegraveve pas du champ dapplication du Regraveglement 5 La LPD ne sapplique pas agrave lactiviteacute des autoriteacutes publiques cantonales mais uniquement agrave lactiviteacute des autoriteacutes publiques feacutedeacuterales et des personnes priveacutees
Protection des donneacutees septembre 2019 Page 4 de 30
contenu de la directive de protection des donneacutees Lrsquoannexe VII liste les Standard Operating
Procedures (SOP) que doit eacutetablir chaque Programme Finalement lrsquoAnnexe VIII fournit une
liste des abreacuteviations couramment utiliseacutees
Le preacutesent Guide est conccedilu comme un document eacutevolutif qui sera compleacuteteacute et actualiseacute au
minimum tous les deux ans en fonction de lrsquoeacutevolution de la reacuteglementation et des
commentaires des Programmes
2 Obligations des Programmes et du SCS en matiegravere de deacutepistage
Le deacutepistage neacutecessite drsquoacceacuteder puis de traiter des donneacutees personnelles crsquoest-agrave-dire des
donneacutees qui identifient directement la personne (p ex via son nom) ou qui permettent son
identification par une combinaison ou un recoupement drsquoinformations6 Lorsqursquoune donneacutee est
qualifieacutee de personnelle la loi ndash qursquoil srsquoagisse de la Constitution de la loi feacutedeacuterale sur la
protection des donneacutees ou des lois cantonales ndash oblige celui qui la traite agrave prendre des
mesures pour assurer sa confidentialiteacute et pour garantir les droits accordeacutes agrave lrsquoindividu
concerneacute Les donneacutees meacutedicales sont de surcroicirct consideacutereacutees comme des donneacutees
personnelles particuliegraverement sensibles et appellent agrave ce titre une protection accrue7
Le respect des obligations qui deacutecoulent de la reacuteglementation en matiegravere de protection des
donneacutees contribue de maniegravere deacutecisive agrave la confiance du public dans le deacutepistage Or sans
confiance du public le succegraves du deacutepistage est menaceacute Il est donc essentiel que toutes les
parties impliqueacutees assurent le plus haut niveau de protection et de seacutecuriteacute aux donneacutees dont
elles ont la maicirctrise
Les eacutetapes critiques au niveau de la protection des donneacutees sont
bull Dans une premiegravere eacutetape le Programme srsquoadresse agrave lrsquoautoriteacute cantonale (ou aux
autoriteacutes cantonalescommunales) qui maintient le registre des habitants afin drsquoobtenir
un extrait du registre pour le territoire concerneacute Le Programme a besoin au minimum
des noms preacutenoms adresses et dates de naissance du public-cible concerneacute (ie les
personnes eacuteligibles agrave participer au deacutepistage) Cette eacutetape est expliqueacutee dans le
chapitre 21
bull Le public-cible reccediloit une invitation pour lrsquoinformer de la possibiliteacute de participer agrave un
deacutepistage Le chapitre 22 deacutetaille les obligations du Programme agrave ce stade
bull Les personnes qui deacutecident de participer sont incluses dans le programme Les
obligations affeacuterentes agrave cette eacutetape (consentement eacuteclaireacute collecte de donneacutees etc)
sont deacutecrites au chapitre 23
bull Les aspects relevant de la protection des donneacutees en lien avec lrsquoeacutevaluation des
reacutesultats sont examineacutes au chapitre 24
bull Les participants sont informeacutes des reacutesultats de lrsquoexamen Les obligations affeacuterentes agrave
cette eacutetape sont deacutecrites au chapitre 25 Apregraves notification drsquoun eacuteventuel diagnostic de
cancer les interactions entre la personne concerneacutee et lrsquoeacutequipe meacutedicale qui la prend
en charge ne sont plus du ressort du Programme
bull Le Programme conserve les donneacutees acquises lors des eacutetapes preacuteceacutedentes Les
personnes doivent pouvoir ecirctre reacuteinviteacutees reacuteguliegraverement Pour des raisons de controcircle
qualiteacute le programme analyse reacuteguliegraverement les donneacutees SCS sur la base des
6 P ex en connaissant la date de naissance et lrsquoadresse drsquoune personne il est en geacuteneacuteral possible de retrouver son identiteacute 7 Art 3 let c art 4 al 5 et art 11a al 3 art 12 al 2 let c art 14 art 35 LPD
Protection des donneacutees septembre 2019 Page 5 de 30
donneacutees agreacutegeacutees et anonymiseacutees eacutemet eacutegalement un rapport reacutepertoriant les
indicateurs-cleacutes sur une peacuteriode donneacutee (voir le chapitre 26)
bull La loi exclut que des donneacutees personnelles soient conserveacutees indeacutefiniment Les
Programmes doivent donc deacutecider agrave quel moment les donneacutees ne sont plus pertinentes
dans le cadre du deacutepistage et doivent ecirctre deacutetruites Le chapitre 27 clarifie les
obligations agrave ce stade
21 Acquisition des donneacutees aupregraves de lrsquoautoriteacute cantonale
Le Programme a besoin de savoir quelles personnes inviter agrave participer au deacutepistage
conformeacutement aux conditions de participation deacutefinies geacuteneacuteralement dans le mandat confeacutereacute
par lautoriteacute publique cantonale8 Le Programme demande agrave lrsquoautoriteacute cantonale la liste parmi
le public-cible de toutes les personnes deacuteceacutedeacutees des nouveaux arrivants et des personnes
ayant deacutemeacutenageacute afin deacuteviter dadresser un rappel dinvitation agrave une personne ineacuteligible Dans
certains cantons ces informations ne sont pas centraliseacutees et le Programme est ameneacute agrave
srsquoadresser agrave plusieurs instances reacutegionales
La leacutegislation nrsquoautorise la transmission de donneacutees personnelles (noms adresses acircges des
personnes deacutecegraves) drsquoune autoriteacute publique agrave un tiers ici le Programme qursquoagrave des conditions
strictes Une disposition dans la loi cantonale9 doit autoriser explicitement cette transmission
en drsquoautres termes une base leacutegale doit autoriser lrsquoautoriteacute cantonale agrave transmettre les
donneacutees personnelles et le Programme agrave les recevoir (principe de la leacutegaliteacute10)
Cette base leacutegale peut reacutesider dans une loi cantonale du Parlement ou dans une ordonnance
de lrsquoexeacutecutif Une directive du service administratif cantonal concerneacute ne suffit pas agrave elle seule
agrave justifier la transmission Elle peut preacuteciser les modaliteacutes de transmission
Si le droit cantonal ne contient aucune base leacutegale le Programme doit se renseigner aupregraves
de lrsquoautoriteacute cantonale afin que soit deacutetermineacute ensemble le fondement drsquoune telle transmission
En cas de doute sur lrsquoexistence drsquoune base leacutegale suffisante le programme peut consulter le
Preacuteposeacute cantonal agrave la protection des donneacutees afin de mettre en place une solution approprieacutee
Le Programme importe lrsquoensemble des informations acquises de lrsquoautoriteacute cantonale dans le
logiciel MC-SIS Il veacuterifie si possible leur exactitude par exemple en eacutecartant les dates de
naissance invraisemblables (ex personne neacutee en 1812) Le Programme est inviteacute agrave deacutefinir par
eacutecrit le type de veacuterifications systeacutematiques auquel il procegravede
Lrsquoimportation des donneacutees dans MC-SIS constitue un traitement de donneacutees (au sens de la
loi)11 Pour ecirctre licite ce traitement doit ndash lui aussi ndash ecirctre justifieacute par une base leacutegale qui se
trouve dans la loi cantonale reacutegissant le deacutepistage (voir Annexe II) En effet en donnant
8 Selon lrsquoOrdonnance sur la garantie de la qualiteacute le deacutepistage doit ecirctre proposeacute par une organisation reconnue par le canton ou les cantons (art 3 al 1) 9 Comme il sagit dune transmission par lautoriteacute publique cantonale la LPD nest pas applicable 10 Le principe de la leacutegaliteacute veut que laction de lEtat repose sur une base leacutegale Dans le contexte de la protection des donneacutees un traitement de donneacutees quel quil soit doit ecirctre licite La liceacuteiteacute dun traitement de donneacutees peut deacutecouler du consentement libre et eacuteclaireacute de la personne concerneacutee ou dune base leacutegale autorisant ledit traitement dans certains cas un inteacuterecirct priveacute ou public preacutepondeacuterant peut eacutegalement justifier le traitement de donneacutees et donc le rendre licite 11 En droit feacutedeacuteral le traitement de donneacutees est deacutefini tregraves largement comme toute opeacuteration relative agrave des donneacutees personnelles - quels que soient les moyens et proceacutedeacutes utiliseacutes - notamment la collecte la conservation lexploitation la modification la communication larchivage ou la destruction de donneacutees (art 3 let e LPD) Les lois cantonales ont eacutegalement des deacutefinitions larges de cette notion
Protection des donneacutees septembre 2019 Page 6 de 30
mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave
traiter les donneacutees neacutecessaires agrave cette fin
Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la
protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement
des donneacutees personnelles
22 Invitations adresseacutees aux personnes concerneacutees
Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le
Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient
une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure
dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et
consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier
leur refus de participer
Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par
exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi
A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes
concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les
transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi
en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-
agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex
par des pirates informatiques)
La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme
au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres
dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre
sensibiliseacute agrave cette particulariteacute
Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave
superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme
ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures
concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour
que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se
fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les
tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des
donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques
Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque
Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette
collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand
et comment etc)
12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 2 de 30
Table des matiegraveres
1 OBJECTIFS DU PREacuteSENT DOCUMENT 3
2 OBLIGATIONS DES PROGRAMMES ET DU SCS EN MATIEgraveRE DE DEacutePISTAGE 4
21 ACQUISITION DES DONNEacuteES AUPREgraveS DE LrsquoAUTORITEacute CANTONALE 5
22 INVITATIONS ADRESSEacuteES AUX PERSONNES CONCERNEacuteES 6
23 DOCUMENTS ADRESSEacuteS AUX PERSONNES CONCERNEacuteES CONSENTEMENT ET EXAMEN DE DEacutePISTAGE 7
231 Invitation du public-cible 7
232 InclusionRendez-vous pour un examen 7
233 Eventuelle collecte de donneacutees suppleacutementaires 9
24 REacuteSULTATS MEacuteDICAUX 9
241 Controcircle des donneacutees 10
242 Eacutechange de donneacutees entre partenaires internes 10
243 Analyse des donneacutees et diagnostic meacutedical 10
244 Transmission des reacutesultats agrave la personne concerneacutee 11
245 Echange ulteacuterieur dinformations 11
246 Communication agrave lrsquoeacutetranger 12
25 STOCKAGE DES DONNEacuteES MESURES DE SEacuteCURITEacute ET DROIT DrsquoACCEgraveS MONITORAGE 12
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes 13
252 Conseiller agrave la protection des donneacutees 14
253 Accegraves aux donneacutees par SCS 14
254 Droits drsquoaccegraves des personnes concerneacutees 15
255 Reacutevocation du consentement 16
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees 16
257 Communication au registre cantonal des tumeurs 17
258 Monitorage interne du Programme et communication aux autoriteacutes 17
259 Communication agrave des chercheurs tiers 18
26 EFFACEMENT DES DONNEacuteES 18
3 CONCLUSIONS 19
ANNEXE I DEacuteFINITIONS 21
ANNEXE II BASES LEacuteGALES 23
A CONVENTIONS INTERNATIONALES RATIFIEacuteES PAR LA SUISSE 23
B BASES LEacuteGALES FEacuteDEacuteRALES 23
C BASES LEacuteGALES CANTONALES 24
D SOFT LAW 25
ANNEXE III PRINCIPES FONDAMENTAUX ET DROITS DES PERSONNES 26
ANNEXE IV MODEgraveLES DESTINEacuteS AUX PARTICIPANTS 28
ANNEXE V MONITORAGE NATIONAL 28
ANNEXE VI TABLE DES MATIEgraveRES POUR LES DIRECTIVES DE PROTECTION DES DONNEacuteES PROPRES Agrave
CHAQUE PROGRAMME 28
ANNEXE VII SET MINIMAL DE STANDARD OPERATING PROCEDURES (SOP) ET ANNEXES EN LIEN AVEC LA
PROTECTION DES DONNEacuteES 29
ANNEXE VIII ABREacuteVIATIONS COURANTES 30
Protection des donneacutees septembre 2019 Page 3 de 30
1 Objectifs du preacutesent document
Les programmes cantonaux de deacutepistage (ci-apregraves Programmes) mettent en œuvre lrsquooffre de
deacutepistage du cancer du sein et du cocirclon dans les cantons qui ont choisi de systeacutematiquement
le proposer1 Douze cantons proposent le deacutepistage du cancer du sein tandis que quatre
cantons bientocirct huit proposent celui du cocirclon2 Dans un cas comme dans lrsquoautre la
Confeacutedeacuteration fixe les conditions du remboursement des prestations correspondantes par
lrsquoassurance-maladie de base3 En revanche la leacutegislation feacutedeacuterale sur le deacutepistage ne reacutegit
pas ses modaliteacutes pratiques
Le deacutepistage implique la collecte puis le traitement drsquoune multitude de donneacutees personnelles
aupregraves drsquoun large groupe de personnes La Loi feacutedeacuterale sur la protection des donneacutees (LPD4)
encadre ces activiteacutes afin drsquoassurer les droits des personnes concerneacutees en particulier leurs
droits en matiegravere de protection des donneacutees Si dans un canton le deacutepistage est une activiteacute
assumeacutee directement par lautoriteacute publique cantonale la reacuteglementation cantonale en matiegravere
de protection des donneacutees sapplique en lieu et place de la LPD5
Lrsquoobjectif assigneacute agrave ce Guide est de reacutecapituler les principes et de preacuteciser les obligations en
matiegravere de protection des donneacutees que les Programmes sont tenus de respecter Il doit servir
drsquooutil drsquoorientation aux Programmes et aux membres de Swiss Cancer Screening (SCS) Il
sadresse avant tout au directeur meacutedical et au directeur administratif de chaque Programme
mecircme srsquoil constitue un outil preacutecieux pour les autres collaborateurs Le Guide deacutefinit
notamment les modaliteacutes drsquoutilisation de lrsquooutil informatique commun Multi-cancer Screening
Information System (MC-SIS) Cet outil est conccedilu pour faciliter et geacuterer les processus
administratifs pour enregistrer les donneacutees reacutecolteacutees y compris les images pour analyser et
agreacuteger les donneacutees en vue du monitorage
La structure de ce Guide est autant que possible calqueacutee sur lrsquoitineacuteraire du participant Elle
deacutebute avec lrsquoacquisition des noms et adresses des personnes agrave qui le deacutepistage srsquoadresse et
termine avec la destruction des donneacutees lorsque celles-ci cessent drsquoecirctre utiles
Les annexes au Guide contiennent un rappel des deacutefinitions (Annexe I) un aperccedilu des bases
leacutegales (Annexe II) ainsi qursquoun survol des principes relatifs agrave la protection des donneacutees
(Annexe III) Lrsquoannexe IV fournit des modegraveles de documents que les Programmes sont inviteacutes
agrave reprendre Lrsquoannexe V liste les indicateurs du monitorage national Lrsquoannexe VI rappelle le
1 Le deacutepistage est rembourseacute par les caisses-maladie dans lrsquoassurance-maladie de base agrave condition qursquoil satisfasse
aux exigences de lrsquoart 12e al 1 letc OPAS (ordonnance du DFI sur les prestations dans lrsquoassurance obligatoire des soins en cas de maladie) Par renvoi de cet article la mammographie de deacutepistage doit satisfaire aux exigences de lrsquoOrdonnance du Conseil feacutedeacuteral sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du sein reacutealiseacute par mammographie du 23 juin 1999 (RS 7321024) 2 Concernant le cancer du cocirclon il existe actuellement un Programme organiseacute de deacutepistage dans les cantons drsquoUri et Vaud et une introduction est planifieacutee en 2019 dans les cantons de Bacircle-Ville Genegraveve Jura-Neuchacirctel et des Grisons 3 Art 26 de la Loi sur lassurance maladie (LAMal RS 83210) Larticle 12e de lOrdonnance sur les prestations de lassurance des soins (OPAS RS 83211231) preacutecise que la mammographie de deacutepistage ou le deacutepistage du cancer du cocirclon sont pris en charge par lassurance obligatoire des soins pour les personnes de plus de 50 ans uniquement dans le cadre dun Programme organiseacute de deacutepistage Pour la mammographie les conditions sont fixeacutees par lOrdonnance du 23 juin 1999 sur la garantie de la qualiteacute des Programmes de deacutepistage du cancer du sein par mammographie (RS 8321024 ci-apregraves Ordonnance sur la garantie de la qualiteacute) 4 Loi feacutedeacuterale sur la protection des donneacutees (RS 2351 LPD) du 19 juin 1992 cette loi est actuellement en cours de reacutevision devant le Parlement La LPD sapplique agrave toutes les donneacutees personnelles et non pas speacutecifiquement aux donneacutees personnelles meacutedicales A noter que le Regraveglement europeacuteen sur la protection des donneacutees (RGPD) est inapplicable ici car le traitement de donneacutees en cause ne relegraveve pas du champ dapplication du Regraveglement 5 La LPD ne sapplique pas agrave lactiviteacute des autoriteacutes publiques cantonales mais uniquement agrave lactiviteacute des autoriteacutes publiques feacutedeacuterales et des personnes priveacutees
Protection des donneacutees septembre 2019 Page 4 de 30
contenu de la directive de protection des donneacutees Lrsquoannexe VII liste les Standard Operating
Procedures (SOP) que doit eacutetablir chaque Programme Finalement lrsquoAnnexe VIII fournit une
liste des abreacuteviations couramment utiliseacutees
Le preacutesent Guide est conccedilu comme un document eacutevolutif qui sera compleacuteteacute et actualiseacute au
minimum tous les deux ans en fonction de lrsquoeacutevolution de la reacuteglementation et des
commentaires des Programmes
2 Obligations des Programmes et du SCS en matiegravere de deacutepistage
Le deacutepistage neacutecessite drsquoacceacuteder puis de traiter des donneacutees personnelles crsquoest-agrave-dire des
donneacutees qui identifient directement la personne (p ex via son nom) ou qui permettent son
identification par une combinaison ou un recoupement drsquoinformations6 Lorsqursquoune donneacutee est
qualifieacutee de personnelle la loi ndash qursquoil srsquoagisse de la Constitution de la loi feacutedeacuterale sur la
protection des donneacutees ou des lois cantonales ndash oblige celui qui la traite agrave prendre des
mesures pour assurer sa confidentialiteacute et pour garantir les droits accordeacutes agrave lrsquoindividu
concerneacute Les donneacutees meacutedicales sont de surcroicirct consideacutereacutees comme des donneacutees
personnelles particuliegraverement sensibles et appellent agrave ce titre une protection accrue7
Le respect des obligations qui deacutecoulent de la reacuteglementation en matiegravere de protection des
donneacutees contribue de maniegravere deacutecisive agrave la confiance du public dans le deacutepistage Or sans
confiance du public le succegraves du deacutepistage est menaceacute Il est donc essentiel que toutes les
parties impliqueacutees assurent le plus haut niveau de protection et de seacutecuriteacute aux donneacutees dont
elles ont la maicirctrise
Les eacutetapes critiques au niveau de la protection des donneacutees sont
bull Dans une premiegravere eacutetape le Programme srsquoadresse agrave lrsquoautoriteacute cantonale (ou aux
autoriteacutes cantonalescommunales) qui maintient le registre des habitants afin drsquoobtenir
un extrait du registre pour le territoire concerneacute Le Programme a besoin au minimum
des noms preacutenoms adresses et dates de naissance du public-cible concerneacute (ie les
personnes eacuteligibles agrave participer au deacutepistage) Cette eacutetape est expliqueacutee dans le
chapitre 21
bull Le public-cible reccediloit une invitation pour lrsquoinformer de la possibiliteacute de participer agrave un
deacutepistage Le chapitre 22 deacutetaille les obligations du Programme agrave ce stade
bull Les personnes qui deacutecident de participer sont incluses dans le programme Les
obligations affeacuterentes agrave cette eacutetape (consentement eacuteclaireacute collecte de donneacutees etc)
sont deacutecrites au chapitre 23
bull Les aspects relevant de la protection des donneacutees en lien avec lrsquoeacutevaluation des
reacutesultats sont examineacutes au chapitre 24
bull Les participants sont informeacutes des reacutesultats de lrsquoexamen Les obligations affeacuterentes agrave
cette eacutetape sont deacutecrites au chapitre 25 Apregraves notification drsquoun eacuteventuel diagnostic de
cancer les interactions entre la personne concerneacutee et lrsquoeacutequipe meacutedicale qui la prend
en charge ne sont plus du ressort du Programme
bull Le Programme conserve les donneacutees acquises lors des eacutetapes preacuteceacutedentes Les
personnes doivent pouvoir ecirctre reacuteinviteacutees reacuteguliegraverement Pour des raisons de controcircle
qualiteacute le programme analyse reacuteguliegraverement les donneacutees SCS sur la base des
6 P ex en connaissant la date de naissance et lrsquoadresse drsquoune personne il est en geacuteneacuteral possible de retrouver son identiteacute 7 Art 3 let c art 4 al 5 et art 11a al 3 art 12 al 2 let c art 14 art 35 LPD
Protection des donneacutees septembre 2019 Page 5 de 30
donneacutees agreacutegeacutees et anonymiseacutees eacutemet eacutegalement un rapport reacutepertoriant les
indicateurs-cleacutes sur une peacuteriode donneacutee (voir le chapitre 26)
bull La loi exclut que des donneacutees personnelles soient conserveacutees indeacutefiniment Les
Programmes doivent donc deacutecider agrave quel moment les donneacutees ne sont plus pertinentes
dans le cadre du deacutepistage et doivent ecirctre deacutetruites Le chapitre 27 clarifie les
obligations agrave ce stade
21 Acquisition des donneacutees aupregraves de lrsquoautoriteacute cantonale
Le Programme a besoin de savoir quelles personnes inviter agrave participer au deacutepistage
conformeacutement aux conditions de participation deacutefinies geacuteneacuteralement dans le mandat confeacutereacute
par lautoriteacute publique cantonale8 Le Programme demande agrave lrsquoautoriteacute cantonale la liste parmi
le public-cible de toutes les personnes deacuteceacutedeacutees des nouveaux arrivants et des personnes
ayant deacutemeacutenageacute afin deacuteviter dadresser un rappel dinvitation agrave une personne ineacuteligible Dans
certains cantons ces informations ne sont pas centraliseacutees et le Programme est ameneacute agrave
srsquoadresser agrave plusieurs instances reacutegionales
La leacutegislation nrsquoautorise la transmission de donneacutees personnelles (noms adresses acircges des
personnes deacutecegraves) drsquoune autoriteacute publique agrave un tiers ici le Programme qursquoagrave des conditions
strictes Une disposition dans la loi cantonale9 doit autoriser explicitement cette transmission
en drsquoautres termes une base leacutegale doit autoriser lrsquoautoriteacute cantonale agrave transmettre les
donneacutees personnelles et le Programme agrave les recevoir (principe de la leacutegaliteacute10)
Cette base leacutegale peut reacutesider dans une loi cantonale du Parlement ou dans une ordonnance
de lrsquoexeacutecutif Une directive du service administratif cantonal concerneacute ne suffit pas agrave elle seule
agrave justifier la transmission Elle peut preacuteciser les modaliteacutes de transmission
Si le droit cantonal ne contient aucune base leacutegale le Programme doit se renseigner aupregraves
de lrsquoautoriteacute cantonale afin que soit deacutetermineacute ensemble le fondement drsquoune telle transmission
En cas de doute sur lrsquoexistence drsquoune base leacutegale suffisante le programme peut consulter le
Preacuteposeacute cantonal agrave la protection des donneacutees afin de mettre en place une solution approprieacutee
Le Programme importe lrsquoensemble des informations acquises de lrsquoautoriteacute cantonale dans le
logiciel MC-SIS Il veacuterifie si possible leur exactitude par exemple en eacutecartant les dates de
naissance invraisemblables (ex personne neacutee en 1812) Le Programme est inviteacute agrave deacutefinir par
eacutecrit le type de veacuterifications systeacutematiques auquel il procegravede
Lrsquoimportation des donneacutees dans MC-SIS constitue un traitement de donneacutees (au sens de la
loi)11 Pour ecirctre licite ce traitement doit ndash lui aussi ndash ecirctre justifieacute par une base leacutegale qui se
trouve dans la loi cantonale reacutegissant le deacutepistage (voir Annexe II) En effet en donnant
8 Selon lrsquoOrdonnance sur la garantie de la qualiteacute le deacutepistage doit ecirctre proposeacute par une organisation reconnue par le canton ou les cantons (art 3 al 1) 9 Comme il sagit dune transmission par lautoriteacute publique cantonale la LPD nest pas applicable 10 Le principe de la leacutegaliteacute veut que laction de lEtat repose sur une base leacutegale Dans le contexte de la protection des donneacutees un traitement de donneacutees quel quil soit doit ecirctre licite La liceacuteiteacute dun traitement de donneacutees peut deacutecouler du consentement libre et eacuteclaireacute de la personne concerneacutee ou dune base leacutegale autorisant ledit traitement dans certains cas un inteacuterecirct priveacute ou public preacutepondeacuterant peut eacutegalement justifier le traitement de donneacutees et donc le rendre licite 11 En droit feacutedeacuteral le traitement de donneacutees est deacutefini tregraves largement comme toute opeacuteration relative agrave des donneacutees personnelles - quels que soient les moyens et proceacutedeacutes utiliseacutes - notamment la collecte la conservation lexploitation la modification la communication larchivage ou la destruction de donneacutees (art 3 let e LPD) Les lois cantonales ont eacutegalement des deacutefinitions larges de cette notion
Protection des donneacutees septembre 2019 Page 6 de 30
mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave
traiter les donneacutees neacutecessaires agrave cette fin
Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la
protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement
des donneacutees personnelles
22 Invitations adresseacutees aux personnes concerneacutees
Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le
Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient
une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure
dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et
consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier
leur refus de participer
Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par
exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi
A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes
concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les
transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi
en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-
agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex
par des pirates informatiques)
La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme
au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres
dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre
sensibiliseacute agrave cette particulariteacute
Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave
superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme
ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures
concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour
que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se
fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les
tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des
donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques
Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque
Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette
collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand
et comment etc)
12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 3 de 30
1 Objectifs du preacutesent document
Les programmes cantonaux de deacutepistage (ci-apregraves Programmes) mettent en œuvre lrsquooffre de
deacutepistage du cancer du sein et du cocirclon dans les cantons qui ont choisi de systeacutematiquement
le proposer1 Douze cantons proposent le deacutepistage du cancer du sein tandis que quatre
cantons bientocirct huit proposent celui du cocirclon2 Dans un cas comme dans lrsquoautre la
Confeacutedeacuteration fixe les conditions du remboursement des prestations correspondantes par
lrsquoassurance-maladie de base3 En revanche la leacutegislation feacutedeacuterale sur le deacutepistage ne reacutegit
pas ses modaliteacutes pratiques
Le deacutepistage implique la collecte puis le traitement drsquoune multitude de donneacutees personnelles
aupregraves drsquoun large groupe de personnes La Loi feacutedeacuterale sur la protection des donneacutees (LPD4)
encadre ces activiteacutes afin drsquoassurer les droits des personnes concerneacutees en particulier leurs
droits en matiegravere de protection des donneacutees Si dans un canton le deacutepistage est une activiteacute
assumeacutee directement par lautoriteacute publique cantonale la reacuteglementation cantonale en matiegravere
de protection des donneacutees sapplique en lieu et place de la LPD5
Lrsquoobjectif assigneacute agrave ce Guide est de reacutecapituler les principes et de preacuteciser les obligations en
matiegravere de protection des donneacutees que les Programmes sont tenus de respecter Il doit servir
drsquooutil drsquoorientation aux Programmes et aux membres de Swiss Cancer Screening (SCS) Il
sadresse avant tout au directeur meacutedical et au directeur administratif de chaque Programme
mecircme srsquoil constitue un outil preacutecieux pour les autres collaborateurs Le Guide deacutefinit
notamment les modaliteacutes drsquoutilisation de lrsquooutil informatique commun Multi-cancer Screening
Information System (MC-SIS) Cet outil est conccedilu pour faciliter et geacuterer les processus
administratifs pour enregistrer les donneacutees reacutecolteacutees y compris les images pour analyser et
agreacuteger les donneacutees en vue du monitorage
La structure de ce Guide est autant que possible calqueacutee sur lrsquoitineacuteraire du participant Elle
deacutebute avec lrsquoacquisition des noms et adresses des personnes agrave qui le deacutepistage srsquoadresse et
termine avec la destruction des donneacutees lorsque celles-ci cessent drsquoecirctre utiles
Les annexes au Guide contiennent un rappel des deacutefinitions (Annexe I) un aperccedilu des bases
leacutegales (Annexe II) ainsi qursquoun survol des principes relatifs agrave la protection des donneacutees
(Annexe III) Lrsquoannexe IV fournit des modegraveles de documents que les Programmes sont inviteacutes
agrave reprendre Lrsquoannexe V liste les indicateurs du monitorage national Lrsquoannexe VI rappelle le
1 Le deacutepistage est rembourseacute par les caisses-maladie dans lrsquoassurance-maladie de base agrave condition qursquoil satisfasse
aux exigences de lrsquoart 12e al 1 letc OPAS (ordonnance du DFI sur les prestations dans lrsquoassurance obligatoire des soins en cas de maladie) Par renvoi de cet article la mammographie de deacutepistage doit satisfaire aux exigences de lrsquoOrdonnance du Conseil feacutedeacuteral sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du sein reacutealiseacute par mammographie du 23 juin 1999 (RS 7321024) 2 Concernant le cancer du cocirclon il existe actuellement un Programme organiseacute de deacutepistage dans les cantons drsquoUri et Vaud et une introduction est planifieacutee en 2019 dans les cantons de Bacircle-Ville Genegraveve Jura-Neuchacirctel et des Grisons 3 Art 26 de la Loi sur lassurance maladie (LAMal RS 83210) Larticle 12e de lOrdonnance sur les prestations de lassurance des soins (OPAS RS 83211231) preacutecise que la mammographie de deacutepistage ou le deacutepistage du cancer du cocirclon sont pris en charge par lassurance obligatoire des soins pour les personnes de plus de 50 ans uniquement dans le cadre dun Programme organiseacute de deacutepistage Pour la mammographie les conditions sont fixeacutees par lOrdonnance du 23 juin 1999 sur la garantie de la qualiteacute des Programmes de deacutepistage du cancer du sein par mammographie (RS 8321024 ci-apregraves Ordonnance sur la garantie de la qualiteacute) 4 Loi feacutedeacuterale sur la protection des donneacutees (RS 2351 LPD) du 19 juin 1992 cette loi est actuellement en cours de reacutevision devant le Parlement La LPD sapplique agrave toutes les donneacutees personnelles et non pas speacutecifiquement aux donneacutees personnelles meacutedicales A noter que le Regraveglement europeacuteen sur la protection des donneacutees (RGPD) est inapplicable ici car le traitement de donneacutees en cause ne relegraveve pas du champ dapplication du Regraveglement 5 La LPD ne sapplique pas agrave lactiviteacute des autoriteacutes publiques cantonales mais uniquement agrave lactiviteacute des autoriteacutes publiques feacutedeacuterales et des personnes priveacutees
Protection des donneacutees septembre 2019 Page 4 de 30
contenu de la directive de protection des donneacutees Lrsquoannexe VII liste les Standard Operating
Procedures (SOP) que doit eacutetablir chaque Programme Finalement lrsquoAnnexe VIII fournit une
liste des abreacuteviations couramment utiliseacutees
Le preacutesent Guide est conccedilu comme un document eacutevolutif qui sera compleacuteteacute et actualiseacute au
minimum tous les deux ans en fonction de lrsquoeacutevolution de la reacuteglementation et des
commentaires des Programmes
2 Obligations des Programmes et du SCS en matiegravere de deacutepistage
Le deacutepistage neacutecessite drsquoacceacuteder puis de traiter des donneacutees personnelles crsquoest-agrave-dire des
donneacutees qui identifient directement la personne (p ex via son nom) ou qui permettent son
identification par une combinaison ou un recoupement drsquoinformations6 Lorsqursquoune donneacutee est
qualifieacutee de personnelle la loi ndash qursquoil srsquoagisse de la Constitution de la loi feacutedeacuterale sur la
protection des donneacutees ou des lois cantonales ndash oblige celui qui la traite agrave prendre des
mesures pour assurer sa confidentialiteacute et pour garantir les droits accordeacutes agrave lrsquoindividu
concerneacute Les donneacutees meacutedicales sont de surcroicirct consideacutereacutees comme des donneacutees
personnelles particuliegraverement sensibles et appellent agrave ce titre une protection accrue7
Le respect des obligations qui deacutecoulent de la reacuteglementation en matiegravere de protection des
donneacutees contribue de maniegravere deacutecisive agrave la confiance du public dans le deacutepistage Or sans
confiance du public le succegraves du deacutepistage est menaceacute Il est donc essentiel que toutes les
parties impliqueacutees assurent le plus haut niveau de protection et de seacutecuriteacute aux donneacutees dont
elles ont la maicirctrise
Les eacutetapes critiques au niveau de la protection des donneacutees sont
bull Dans une premiegravere eacutetape le Programme srsquoadresse agrave lrsquoautoriteacute cantonale (ou aux
autoriteacutes cantonalescommunales) qui maintient le registre des habitants afin drsquoobtenir
un extrait du registre pour le territoire concerneacute Le Programme a besoin au minimum
des noms preacutenoms adresses et dates de naissance du public-cible concerneacute (ie les
personnes eacuteligibles agrave participer au deacutepistage) Cette eacutetape est expliqueacutee dans le
chapitre 21
bull Le public-cible reccediloit une invitation pour lrsquoinformer de la possibiliteacute de participer agrave un
deacutepistage Le chapitre 22 deacutetaille les obligations du Programme agrave ce stade
bull Les personnes qui deacutecident de participer sont incluses dans le programme Les
obligations affeacuterentes agrave cette eacutetape (consentement eacuteclaireacute collecte de donneacutees etc)
sont deacutecrites au chapitre 23
bull Les aspects relevant de la protection des donneacutees en lien avec lrsquoeacutevaluation des
reacutesultats sont examineacutes au chapitre 24
bull Les participants sont informeacutes des reacutesultats de lrsquoexamen Les obligations affeacuterentes agrave
cette eacutetape sont deacutecrites au chapitre 25 Apregraves notification drsquoun eacuteventuel diagnostic de
cancer les interactions entre la personne concerneacutee et lrsquoeacutequipe meacutedicale qui la prend
en charge ne sont plus du ressort du Programme
bull Le Programme conserve les donneacutees acquises lors des eacutetapes preacuteceacutedentes Les
personnes doivent pouvoir ecirctre reacuteinviteacutees reacuteguliegraverement Pour des raisons de controcircle
qualiteacute le programme analyse reacuteguliegraverement les donneacutees SCS sur la base des
6 P ex en connaissant la date de naissance et lrsquoadresse drsquoune personne il est en geacuteneacuteral possible de retrouver son identiteacute 7 Art 3 let c art 4 al 5 et art 11a al 3 art 12 al 2 let c art 14 art 35 LPD
Protection des donneacutees septembre 2019 Page 5 de 30
donneacutees agreacutegeacutees et anonymiseacutees eacutemet eacutegalement un rapport reacutepertoriant les
indicateurs-cleacutes sur une peacuteriode donneacutee (voir le chapitre 26)
bull La loi exclut que des donneacutees personnelles soient conserveacutees indeacutefiniment Les
Programmes doivent donc deacutecider agrave quel moment les donneacutees ne sont plus pertinentes
dans le cadre du deacutepistage et doivent ecirctre deacutetruites Le chapitre 27 clarifie les
obligations agrave ce stade
21 Acquisition des donneacutees aupregraves de lrsquoautoriteacute cantonale
Le Programme a besoin de savoir quelles personnes inviter agrave participer au deacutepistage
conformeacutement aux conditions de participation deacutefinies geacuteneacuteralement dans le mandat confeacutereacute
par lautoriteacute publique cantonale8 Le Programme demande agrave lrsquoautoriteacute cantonale la liste parmi
le public-cible de toutes les personnes deacuteceacutedeacutees des nouveaux arrivants et des personnes
ayant deacutemeacutenageacute afin deacuteviter dadresser un rappel dinvitation agrave une personne ineacuteligible Dans
certains cantons ces informations ne sont pas centraliseacutees et le Programme est ameneacute agrave
srsquoadresser agrave plusieurs instances reacutegionales
La leacutegislation nrsquoautorise la transmission de donneacutees personnelles (noms adresses acircges des
personnes deacutecegraves) drsquoune autoriteacute publique agrave un tiers ici le Programme qursquoagrave des conditions
strictes Une disposition dans la loi cantonale9 doit autoriser explicitement cette transmission
en drsquoautres termes une base leacutegale doit autoriser lrsquoautoriteacute cantonale agrave transmettre les
donneacutees personnelles et le Programme agrave les recevoir (principe de la leacutegaliteacute10)
Cette base leacutegale peut reacutesider dans une loi cantonale du Parlement ou dans une ordonnance
de lrsquoexeacutecutif Une directive du service administratif cantonal concerneacute ne suffit pas agrave elle seule
agrave justifier la transmission Elle peut preacuteciser les modaliteacutes de transmission
Si le droit cantonal ne contient aucune base leacutegale le Programme doit se renseigner aupregraves
de lrsquoautoriteacute cantonale afin que soit deacutetermineacute ensemble le fondement drsquoune telle transmission
En cas de doute sur lrsquoexistence drsquoune base leacutegale suffisante le programme peut consulter le
Preacuteposeacute cantonal agrave la protection des donneacutees afin de mettre en place une solution approprieacutee
Le Programme importe lrsquoensemble des informations acquises de lrsquoautoriteacute cantonale dans le
logiciel MC-SIS Il veacuterifie si possible leur exactitude par exemple en eacutecartant les dates de
naissance invraisemblables (ex personne neacutee en 1812) Le Programme est inviteacute agrave deacutefinir par
eacutecrit le type de veacuterifications systeacutematiques auquel il procegravede
Lrsquoimportation des donneacutees dans MC-SIS constitue un traitement de donneacutees (au sens de la
loi)11 Pour ecirctre licite ce traitement doit ndash lui aussi ndash ecirctre justifieacute par une base leacutegale qui se
trouve dans la loi cantonale reacutegissant le deacutepistage (voir Annexe II) En effet en donnant
8 Selon lrsquoOrdonnance sur la garantie de la qualiteacute le deacutepistage doit ecirctre proposeacute par une organisation reconnue par le canton ou les cantons (art 3 al 1) 9 Comme il sagit dune transmission par lautoriteacute publique cantonale la LPD nest pas applicable 10 Le principe de la leacutegaliteacute veut que laction de lEtat repose sur une base leacutegale Dans le contexte de la protection des donneacutees un traitement de donneacutees quel quil soit doit ecirctre licite La liceacuteiteacute dun traitement de donneacutees peut deacutecouler du consentement libre et eacuteclaireacute de la personne concerneacutee ou dune base leacutegale autorisant ledit traitement dans certains cas un inteacuterecirct priveacute ou public preacutepondeacuterant peut eacutegalement justifier le traitement de donneacutees et donc le rendre licite 11 En droit feacutedeacuteral le traitement de donneacutees est deacutefini tregraves largement comme toute opeacuteration relative agrave des donneacutees personnelles - quels que soient les moyens et proceacutedeacutes utiliseacutes - notamment la collecte la conservation lexploitation la modification la communication larchivage ou la destruction de donneacutees (art 3 let e LPD) Les lois cantonales ont eacutegalement des deacutefinitions larges de cette notion
Protection des donneacutees septembre 2019 Page 6 de 30
mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave
traiter les donneacutees neacutecessaires agrave cette fin
Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la
protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement
des donneacutees personnelles
22 Invitations adresseacutees aux personnes concerneacutees
Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le
Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient
une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure
dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et
consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier
leur refus de participer
Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par
exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi
A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes
concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les
transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi
en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-
agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex
par des pirates informatiques)
La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme
au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres
dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre
sensibiliseacute agrave cette particulariteacute
Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave
superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme
ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures
concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour
que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se
fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les
tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des
donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques
Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque
Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette
collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand
et comment etc)
12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 4 de 30
contenu de la directive de protection des donneacutees Lrsquoannexe VII liste les Standard Operating
Procedures (SOP) que doit eacutetablir chaque Programme Finalement lrsquoAnnexe VIII fournit une
liste des abreacuteviations couramment utiliseacutees
Le preacutesent Guide est conccedilu comme un document eacutevolutif qui sera compleacuteteacute et actualiseacute au
minimum tous les deux ans en fonction de lrsquoeacutevolution de la reacuteglementation et des
commentaires des Programmes
2 Obligations des Programmes et du SCS en matiegravere de deacutepistage
Le deacutepistage neacutecessite drsquoacceacuteder puis de traiter des donneacutees personnelles crsquoest-agrave-dire des
donneacutees qui identifient directement la personne (p ex via son nom) ou qui permettent son
identification par une combinaison ou un recoupement drsquoinformations6 Lorsqursquoune donneacutee est
qualifieacutee de personnelle la loi ndash qursquoil srsquoagisse de la Constitution de la loi feacutedeacuterale sur la
protection des donneacutees ou des lois cantonales ndash oblige celui qui la traite agrave prendre des
mesures pour assurer sa confidentialiteacute et pour garantir les droits accordeacutes agrave lrsquoindividu
concerneacute Les donneacutees meacutedicales sont de surcroicirct consideacutereacutees comme des donneacutees
personnelles particuliegraverement sensibles et appellent agrave ce titre une protection accrue7
Le respect des obligations qui deacutecoulent de la reacuteglementation en matiegravere de protection des
donneacutees contribue de maniegravere deacutecisive agrave la confiance du public dans le deacutepistage Or sans
confiance du public le succegraves du deacutepistage est menaceacute Il est donc essentiel que toutes les
parties impliqueacutees assurent le plus haut niveau de protection et de seacutecuriteacute aux donneacutees dont
elles ont la maicirctrise
Les eacutetapes critiques au niveau de la protection des donneacutees sont
bull Dans une premiegravere eacutetape le Programme srsquoadresse agrave lrsquoautoriteacute cantonale (ou aux
autoriteacutes cantonalescommunales) qui maintient le registre des habitants afin drsquoobtenir
un extrait du registre pour le territoire concerneacute Le Programme a besoin au minimum
des noms preacutenoms adresses et dates de naissance du public-cible concerneacute (ie les
personnes eacuteligibles agrave participer au deacutepistage) Cette eacutetape est expliqueacutee dans le
chapitre 21
bull Le public-cible reccediloit une invitation pour lrsquoinformer de la possibiliteacute de participer agrave un
deacutepistage Le chapitre 22 deacutetaille les obligations du Programme agrave ce stade
bull Les personnes qui deacutecident de participer sont incluses dans le programme Les
obligations affeacuterentes agrave cette eacutetape (consentement eacuteclaireacute collecte de donneacutees etc)
sont deacutecrites au chapitre 23
bull Les aspects relevant de la protection des donneacutees en lien avec lrsquoeacutevaluation des
reacutesultats sont examineacutes au chapitre 24
bull Les participants sont informeacutes des reacutesultats de lrsquoexamen Les obligations affeacuterentes agrave
cette eacutetape sont deacutecrites au chapitre 25 Apregraves notification drsquoun eacuteventuel diagnostic de
cancer les interactions entre la personne concerneacutee et lrsquoeacutequipe meacutedicale qui la prend
en charge ne sont plus du ressort du Programme
bull Le Programme conserve les donneacutees acquises lors des eacutetapes preacuteceacutedentes Les
personnes doivent pouvoir ecirctre reacuteinviteacutees reacuteguliegraverement Pour des raisons de controcircle
qualiteacute le programme analyse reacuteguliegraverement les donneacutees SCS sur la base des
6 P ex en connaissant la date de naissance et lrsquoadresse drsquoune personne il est en geacuteneacuteral possible de retrouver son identiteacute 7 Art 3 let c art 4 al 5 et art 11a al 3 art 12 al 2 let c art 14 art 35 LPD
Protection des donneacutees septembre 2019 Page 5 de 30
donneacutees agreacutegeacutees et anonymiseacutees eacutemet eacutegalement un rapport reacutepertoriant les
indicateurs-cleacutes sur une peacuteriode donneacutee (voir le chapitre 26)
bull La loi exclut que des donneacutees personnelles soient conserveacutees indeacutefiniment Les
Programmes doivent donc deacutecider agrave quel moment les donneacutees ne sont plus pertinentes
dans le cadre du deacutepistage et doivent ecirctre deacutetruites Le chapitre 27 clarifie les
obligations agrave ce stade
21 Acquisition des donneacutees aupregraves de lrsquoautoriteacute cantonale
Le Programme a besoin de savoir quelles personnes inviter agrave participer au deacutepistage
conformeacutement aux conditions de participation deacutefinies geacuteneacuteralement dans le mandat confeacutereacute
par lautoriteacute publique cantonale8 Le Programme demande agrave lrsquoautoriteacute cantonale la liste parmi
le public-cible de toutes les personnes deacuteceacutedeacutees des nouveaux arrivants et des personnes
ayant deacutemeacutenageacute afin deacuteviter dadresser un rappel dinvitation agrave une personne ineacuteligible Dans
certains cantons ces informations ne sont pas centraliseacutees et le Programme est ameneacute agrave
srsquoadresser agrave plusieurs instances reacutegionales
La leacutegislation nrsquoautorise la transmission de donneacutees personnelles (noms adresses acircges des
personnes deacutecegraves) drsquoune autoriteacute publique agrave un tiers ici le Programme qursquoagrave des conditions
strictes Une disposition dans la loi cantonale9 doit autoriser explicitement cette transmission
en drsquoautres termes une base leacutegale doit autoriser lrsquoautoriteacute cantonale agrave transmettre les
donneacutees personnelles et le Programme agrave les recevoir (principe de la leacutegaliteacute10)
Cette base leacutegale peut reacutesider dans une loi cantonale du Parlement ou dans une ordonnance
de lrsquoexeacutecutif Une directive du service administratif cantonal concerneacute ne suffit pas agrave elle seule
agrave justifier la transmission Elle peut preacuteciser les modaliteacutes de transmission
Si le droit cantonal ne contient aucune base leacutegale le Programme doit se renseigner aupregraves
de lrsquoautoriteacute cantonale afin que soit deacutetermineacute ensemble le fondement drsquoune telle transmission
En cas de doute sur lrsquoexistence drsquoune base leacutegale suffisante le programme peut consulter le
Preacuteposeacute cantonal agrave la protection des donneacutees afin de mettre en place une solution approprieacutee
Le Programme importe lrsquoensemble des informations acquises de lrsquoautoriteacute cantonale dans le
logiciel MC-SIS Il veacuterifie si possible leur exactitude par exemple en eacutecartant les dates de
naissance invraisemblables (ex personne neacutee en 1812) Le Programme est inviteacute agrave deacutefinir par
eacutecrit le type de veacuterifications systeacutematiques auquel il procegravede
Lrsquoimportation des donneacutees dans MC-SIS constitue un traitement de donneacutees (au sens de la
loi)11 Pour ecirctre licite ce traitement doit ndash lui aussi ndash ecirctre justifieacute par une base leacutegale qui se
trouve dans la loi cantonale reacutegissant le deacutepistage (voir Annexe II) En effet en donnant
8 Selon lrsquoOrdonnance sur la garantie de la qualiteacute le deacutepistage doit ecirctre proposeacute par une organisation reconnue par le canton ou les cantons (art 3 al 1) 9 Comme il sagit dune transmission par lautoriteacute publique cantonale la LPD nest pas applicable 10 Le principe de la leacutegaliteacute veut que laction de lEtat repose sur une base leacutegale Dans le contexte de la protection des donneacutees un traitement de donneacutees quel quil soit doit ecirctre licite La liceacuteiteacute dun traitement de donneacutees peut deacutecouler du consentement libre et eacuteclaireacute de la personne concerneacutee ou dune base leacutegale autorisant ledit traitement dans certains cas un inteacuterecirct priveacute ou public preacutepondeacuterant peut eacutegalement justifier le traitement de donneacutees et donc le rendre licite 11 En droit feacutedeacuteral le traitement de donneacutees est deacutefini tregraves largement comme toute opeacuteration relative agrave des donneacutees personnelles - quels que soient les moyens et proceacutedeacutes utiliseacutes - notamment la collecte la conservation lexploitation la modification la communication larchivage ou la destruction de donneacutees (art 3 let e LPD) Les lois cantonales ont eacutegalement des deacutefinitions larges de cette notion
Protection des donneacutees septembre 2019 Page 6 de 30
mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave
traiter les donneacutees neacutecessaires agrave cette fin
Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la
protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement
des donneacutees personnelles
22 Invitations adresseacutees aux personnes concerneacutees
Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le
Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient
une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure
dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et
consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier
leur refus de participer
Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par
exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi
A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes
concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les
transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi
en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-
agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex
par des pirates informatiques)
La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme
au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres
dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre
sensibiliseacute agrave cette particulariteacute
Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave
superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme
ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures
concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour
que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se
fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les
tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des
donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques
Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque
Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette
collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand
et comment etc)
12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 5 de 30
donneacutees agreacutegeacutees et anonymiseacutees eacutemet eacutegalement un rapport reacutepertoriant les
indicateurs-cleacutes sur une peacuteriode donneacutee (voir le chapitre 26)
bull La loi exclut que des donneacutees personnelles soient conserveacutees indeacutefiniment Les
Programmes doivent donc deacutecider agrave quel moment les donneacutees ne sont plus pertinentes
dans le cadre du deacutepistage et doivent ecirctre deacutetruites Le chapitre 27 clarifie les
obligations agrave ce stade
21 Acquisition des donneacutees aupregraves de lrsquoautoriteacute cantonale
Le Programme a besoin de savoir quelles personnes inviter agrave participer au deacutepistage
conformeacutement aux conditions de participation deacutefinies geacuteneacuteralement dans le mandat confeacutereacute
par lautoriteacute publique cantonale8 Le Programme demande agrave lrsquoautoriteacute cantonale la liste parmi
le public-cible de toutes les personnes deacuteceacutedeacutees des nouveaux arrivants et des personnes
ayant deacutemeacutenageacute afin deacuteviter dadresser un rappel dinvitation agrave une personne ineacuteligible Dans
certains cantons ces informations ne sont pas centraliseacutees et le Programme est ameneacute agrave
srsquoadresser agrave plusieurs instances reacutegionales
La leacutegislation nrsquoautorise la transmission de donneacutees personnelles (noms adresses acircges des
personnes deacutecegraves) drsquoune autoriteacute publique agrave un tiers ici le Programme qursquoagrave des conditions
strictes Une disposition dans la loi cantonale9 doit autoriser explicitement cette transmission
en drsquoautres termes une base leacutegale doit autoriser lrsquoautoriteacute cantonale agrave transmettre les
donneacutees personnelles et le Programme agrave les recevoir (principe de la leacutegaliteacute10)
Cette base leacutegale peut reacutesider dans une loi cantonale du Parlement ou dans une ordonnance
de lrsquoexeacutecutif Une directive du service administratif cantonal concerneacute ne suffit pas agrave elle seule
agrave justifier la transmission Elle peut preacuteciser les modaliteacutes de transmission
Si le droit cantonal ne contient aucune base leacutegale le Programme doit se renseigner aupregraves
de lrsquoautoriteacute cantonale afin que soit deacutetermineacute ensemble le fondement drsquoune telle transmission
En cas de doute sur lrsquoexistence drsquoune base leacutegale suffisante le programme peut consulter le
Preacuteposeacute cantonal agrave la protection des donneacutees afin de mettre en place une solution approprieacutee
Le Programme importe lrsquoensemble des informations acquises de lrsquoautoriteacute cantonale dans le
logiciel MC-SIS Il veacuterifie si possible leur exactitude par exemple en eacutecartant les dates de
naissance invraisemblables (ex personne neacutee en 1812) Le Programme est inviteacute agrave deacutefinir par
eacutecrit le type de veacuterifications systeacutematiques auquel il procegravede
Lrsquoimportation des donneacutees dans MC-SIS constitue un traitement de donneacutees (au sens de la
loi)11 Pour ecirctre licite ce traitement doit ndash lui aussi ndash ecirctre justifieacute par une base leacutegale qui se
trouve dans la loi cantonale reacutegissant le deacutepistage (voir Annexe II) En effet en donnant
8 Selon lrsquoOrdonnance sur la garantie de la qualiteacute le deacutepistage doit ecirctre proposeacute par une organisation reconnue par le canton ou les cantons (art 3 al 1) 9 Comme il sagit dune transmission par lautoriteacute publique cantonale la LPD nest pas applicable 10 Le principe de la leacutegaliteacute veut que laction de lEtat repose sur une base leacutegale Dans le contexte de la protection des donneacutees un traitement de donneacutees quel quil soit doit ecirctre licite La liceacuteiteacute dun traitement de donneacutees peut deacutecouler du consentement libre et eacuteclaireacute de la personne concerneacutee ou dune base leacutegale autorisant ledit traitement dans certains cas un inteacuterecirct priveacute ou public preacutepondeacuterant peut eacutegalement justifier le traitement de donneacutees et donc le rendre licite 11 En droit feacutedeacuteral le traitement de donneacutees est deacutefini tregraves largement comme toute opeacuteration relative agrave des donneacutees personnelles - quels que soient les moyens et proceacutedeacutes utiliseacutes - notamment la collecte la conservation lexploitation la modification la communication larchivage ou la destruction de donneacutees (art 3 let e LPD) Les lois cantonales ont eacutegalement des deacutefinitions larges de cette notion
Protection des donneacutees septembre 2019 Page 6 de 30
mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave
traiter les donneacutees neacutecessaires agrave cette fin
Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la
protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement
des donneacutees personnelles
22 Invitations adresseacutees aux personnes concerneacutees
Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le
Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient
une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure
dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et
consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier
leur refus de participer
Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par
exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi
A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes
concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les
transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi
en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-
agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex
par des pirates informatiques)
La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme
au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres
dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre
sensibiliseacute agrave cette particulariteacute
Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave
superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme
ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures
concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour
que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se
fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les
tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des
donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques
Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque
Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette
collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand
et comment etc)
12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 6 de 30
mandat de mettre en place un deacutepistage cette loi autorise le Programme correspondant agrave
traiter les donneacutees neacutecessaires agrave cette fin
Concregravetement le Programme doit veacuterifier puis consigner dans sa directive sur la
protection des donneacutees la ou les bases leacutegales cantonales autorisant son traitement
des donneacutees personnelles
22 Invitations adresseacutees aux personnes concerneacutees
Une fois que les personnes eacuteligibles agrave participer au deacutepistage sont identifieacutees (public-cible) le
Programme doit envoyer agrave chacune delle une invitation par poste12 Cette invitation contient
une lettre personnaliseacutee (ie mentionnant le nom de la personne) une brochure
dinformation13 et selon les modaliteacutes14 un formulaire alliant questionnaire de santeacute et
consentement eacuteclaireacute et finalement un coupon-reacuteponse pour les personnes voulant signifier
leur refus de participer
Le Programme peut deacuteleacuteguer une partie de ces activiteacutes agrave un tiers Un prestataire externe par
exemple un imprimeur peut ainsi ecirctre chargeacute drsquoimprimer les invitations et dassurer leur envoi
A cette occasion le tiers peut prendre connaissance des donneacutees sensibles des personnes
concerneacutees Il est donc crucial qursquoil les traite de maniegravere confidentielle (notamment qursquoil ne les
transmette pas agrave drsquoautres) de maniegravere correcte (par ex qursquoil ne se trompe pas dans lrsquoenvoi
en transmettant agrave une personne une invitation destineacutee agrave une autre) et de maniegravere sucircre (crsquoest-
agrave-dire qursquoil protegravege ses locaux et ses systegravemes de stockage drsquoun accegraves non-autoriseacute par ex
par des pirates informatiques)
La transmission de donneacutees par exemple le fichier des noms et adresses par le Programme
au tiers doit se faire via un canal sucircr un systegraveme de-mail crypteacute la remise en mains propres
dune cleacute USB crypteacutee un teacuteleacutechargement seacutecuriseacute etc Le personnel du Programme doit ecirctre
sensibiliseacute agrave cette particulariteacute
Parce que le Programme a deacuteleacutegueacute agrave ce tiers une tacircche qui lui appartient la loi lrsquooblige agrave
superviser le tiers ainsi que son traitement de donneacutees15 En drsquoautres termes le Programme
ne peut pas simplement laquo faire confiance raquo au tiers mais il doit prendre des mesures
concregravetes pour assurer le respect constant de la protection des donneacutees A cet eacutegard pour
que la transmission des donneacutees personnelles du Programme au tiers soit licite elle doit se
fonder sur un contrat eacutecrit de collaboration Ce contrat doit eacutenoncer preacuteciseacutement les
tacircches deacuteleacutegueacutees et les obligations du tiers en matiegravere de seacutecuriteacute et de protection des
donneacutees Le contrat doit ecirctre tenu agrave jour en fonction notamment des eacutevolutions techniques
Il est joint comme annexe agrave la Directive sur la protection des donneacutees propre agrave chaque
Programme Par ailleurs cette Directive indique les rocircles et attributions en rapport avec cette
collaboration externe (par ex qui transmet le fichier au tiers et quand qui veacuterifie lrsquoenvoi quand
et comment etc)
12 Voir art 5 de lrsquoOrdonnance sur la garantie de la qualiteacute 13 Voir annexe IV 14 Certains Programmes utilisent un questionnaire eacutelectronique le consentement eacuteclaireacute pour le deacutepistage du cancer colorectal se fait en preacutesence drsquoun meacutedecin de famille drsquoun pharmacien ou par Internet 15 En droit feacutedeacuteral lart 10a LPD preacutevoit Le traitement de donneacutees personnelles peut ecirctre confieacute agrave un tiers pour autant quune convention ou la loi le preacutevoie et que les conditions suivantes soient remplies a seuls les traitements que le mandant serait en droit deffectuer lui-mecircme sont effectueacutes b aucune obligation leacutegale ou contractuelle de garder le secret ne linterdit 2 Le mandant doit en particulier sassurer que le tiers garantit la seacutecuriteacute des donneacutees
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 7 de 30
23 Documents adresseacutes aux personnes concerneacutees consentement et examen de
deacutepistage
231 Invitation du public-cible
Lrsquoinvitation adresseacutee aux personnes concerneacutees (public-cible) doit leur permettre de prendre
une deacutecision sur leur participation Cette deacutecision doit ecirctre libre et informeacutee16 Chaque
personne doit donc recevoir par eacutecrit des informations preacutecises sur les modaliteacutes les
avantages et les inconveacutenients du deacutepistage chaque personne doit ensuite pouvoir obtenir
des reacuteponses orales agrave ses (eacuteventuelles) questions elle peut notamment interroger le
personnel drsquoaccueil et le personnel de santeacute Son choix doit se faire libre de toute influence
Mecircme apregraves avoir donneacute son consentement (en loccurrence par eacutecrit17) la personne reste
libre de changer drsquoavis et donc de le reacutevoquer18 (agrave ce sujet voir le chapitre 255) Elle nrsquoa pas
agrave justifier ou motiver son choix
Srsquoagissant des tacircches incombant au Programme celui-ci doit tout drsquoabord arrecircter le contenu
de la lettre drsquoinvitation de la brochure qui lrsquoaccompagne et du formulaire adresseacutes par poste
au public-cible Les informations communiqueacutees doivent ecirctre compreacutehensibles complegravetes et
eacutequilibreacutees dans leur contenu En cas de doute sur le contenu ou la forme le Programme peut
contacter la commission cantonale (ou intercantonale) deacutethique en matiegravere de recherche sur
lecirctre humain laquelle peut fournir des conseils en la matiegravere19 Le programme peut eacutegalement
consulter le Preacuteposeacute cantonal agrave la protection des donneacutees SCS a mis au point des modegraveles
multilingues pour la brochure drsquoinformation que les Programmes peuvent utiliser
eacuteventuellement apregraves les avoir adapteacutes
Concregravetement le Programme doit faire figurer ces trois documents en annexe agrave sa
Directive_PD
232 InclusionRendez-vous pour un examen
Les modaliteacutes drsquoinclusion varient en fonction du type de deacutepistage lrsquoinvitation au deacutepistage
du cancer du sein autorise les participantes agrave prendre rendez-vous aupregraves drsquoun institut de
radiologie lrsquoinvitation au deacutepistage du cancer du cocirclon renvoie agrave une consultation avec un
meacutedecin de famille un pharmacien ou via une plate-forme Internet La personne qui inclut le
participant entre les donneacutees personnelles dans MC-SIS
Lorsque la personne se rend agrave linstitut de radiologie (mammographie pour le deacutepistage du
cancer du sein) ou agrave linstitutau cabinet de gastroenteacuterologie (colonoscopie pour le deacutepistage
du cancer du cocirclon) (ci-apregraves institut) elle est inviteacutee agrave poser ses questions et reccediloit les
16 Selon la LPD Lorsque son consentement est requis pour justifier le traitement de donneacutees personnelles la concernant la personne concerneacutee ne consent valablement que si elle exprime sa volonteacute librement et apregraves avoir eacuteteacute ducircment informeacutee (art 4 al 5 1egravere phrase LPD) 17 Comme les donneacutees traiteacutees sont sensibles le consentement de la personne concerneacutee doit ecirctre donneacute par eacutecrit Cf art 4 al 5 in fine LPD 18 La partie consentement du formulaire indique Nous attirons votre attention sur le fait que votre consentement peut ecirctre retireacute en tout temps 19 Si le deacutepistage ne tombe pas sous la notion de recherche meacutedicale au sens de la LRH (Loi sur la recherche sur lecirctre humain du 30 septembre 2011 RS 81030) les commissions deacutethique de la recherche demeurent habiliteacutees agrave fournir des conseils en dehors du champ dapplication de la LRH Cf art 51 al 2 LRH Elles jouissent dune large expeacuterience en matiegravere de veacuterification des formulaires dinformation et de consentement utiliseacutes dans la recherche Cette expeacuterience peut ecirctre mise agrave profit eacutegalement dans le contexte du deacutepistage
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 8 de 30
reacuteponses correspondantes A moins qursquoelle nait changeacute drsquoavis elle remet le formulaire de
consentement signeacute sur un support papier ou eacutelectronique (e-Quest)
Le personnel de linstitut veacuterifie ou complegravete les reacuteponses sur son statut personnel20 sur sa
caisse-maladie21 et son eacutetat de santeacute actuel et passeacute Les donneacutees reacutecolteacutees directement
aupregraves drsquoelle agrave ce stade sont les anteacuteceacutedents meacutedicaux et familiaux et les symptocircmes
eacuteventuels22 La personne doit indiquer le nom et les coordonneacutees drsquoun meacutedecin de son choix
(meacutedecin de reacutefeacuterence) agrave qui le reacutesultat du deacutepistage sera envoyeacute directement par le
Programme23 La personne est inviteacutee agrave apposer sa signature sur un formulaire pour marquer
son consentement Ce consentement autorise lrsquoeacutechange et lrsquoeacutevaluation des donneacutees
neacutecessaires au bon deacuteroulement du deacutepistage24
Le personnel de lrsquoinstitut recense les anomalies cliniques et les difficulteacutes techniques
rencontreacutees lors de lrsquoexamen il les consigne dans MC-SIS Ces donneacutees sont consideacutereacutees
comme pertinentes et proportionneacutees par rapport agrave lrsquoobjectif crsquoest-agrave-dire qursquoelles sont
neacutecessaires pour assurer le meilleur deacutepistage possible dans lrsquointeacuterecirct de la santeacute individuelle
et publique25
Si la personne refuse de donner son consentement et notamment son consentement agrave
lrsquoutilisation des donneacutees et agrave la transmission au meacutedecin de reacutefeacuterence elle ne peut pas
participer au deacutepistage Le questionnaire de santeacute doit attirer lrsquoattention sur ce point La
personne peut en tout moment revenir sur sa deacutecision (agrave ce sujet voir le chapitre 255) A cet
eacutegard elle peut indiquer si son refus doit ecirctre compris comme deacutefinitif dans quel cas elle ne
recevra plus les lettres dinvitation agrave participer au deacutepistage Son refus est entreacute dans MC-SIS
afin drsquoassurer le respect de sa volonteacute ce qui signifie que cette donneacutee personnelle est
conserveacutee durablement
La relation entre le Programme et lrsquoinstitut ainsi que tous les prestataires de services œuvrant
dans le cadre drsquoun Programme (radiologues pathologistes meacutedecins de famille pharmaciens
laboratoires qui analysent le test FIT) doit faire lrsquoobjet drsquoun contrat eacutecrit Ce contrat doit deacutefinir
les obligations et droits de chaque partie Srsquoagissant des aspects affeacuterents agrave la protection des
donneacutees le contrat doit preacuteciser comment le prestataire de services garantit la
protection des donneacutees et les droits des personnes concerneacutees Il doit notamment
inclure une clause de confidentialiteacute laquelle garantit que lrsquoinstitut et ses collaborateurs
maintiendront strictement confidentiels les donneacutees personnelles et autres
informations acquises dans le cadre du deacutepistage Ces contrats doivent ecirctre tenus agrave
20 A lheure actuelle la personne doit fournir son nom preacutenom nom de ceacutelibataire date de naissance adresse teacuteleacutephones nationaliteacute et numeacutero AVS 21 A lheure actuelle la personne doit en principe indiquer le nom de sa caisse-maladie de base et son numeacutero dassureacute 22 Plus preacuteciseacutement la personne est inviteacutee en principe agrave reacutepondre aux questions suivantes a-t-elle deacutejagrave effectueacute une mammographie suit-elle un traitement hormonal pour la meacutenopause y a-t-il eu des cas de cancer du sein dans la famille souffre-t-elle ou a-t-elle souffert de problegravemes au sein 23 Si la personne ne souhaite pas indiquer de meacutedecin de reacutefeacuterence le responsable meacutedical du programme peut
exceptionnellement occuper cette fonction 24 Ainsi la personne accepte que ses donneacutees personnelles soient envoyeacutees par linstitut au centre de deacutepistage au registre des tumeurs au meacutedecin de reacutefeacuterence au programme de deacutepistage du nouveau canton de domicile en cas de deacutemeacutenagement Elle accepte eacutegalement que ses donneacutees soient stockeacutees et archiveacutees Elle accepte enfin que ses donneacutees soient anonymiseacutees pour ecirctre ensuite analyseacutees agrave des fins statistiques de qualiteacute et de formation De plus les donneacutees sont transmises aux caisses-maladie 25 En droit suisse tout traitement de donneacutees doit ecirctre proportionneacute (principe de proportionnaliteacute) Ce principe implique que le traitement doit se limiter au strict minimum quil sagisse de lampleur des donneacutees reacutecolteacutees du cercle des personnes aupregraves desquelles elles sont collecteacutees du cercle des personnes habiliteacutees agrave les traiter de lampleur des opeacuterations effectueacutees sur ces donneacutees et de leur dureacutee de conservation tout en permettant datteindre le but rechercheacute
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 9 de 30
jour et ecirctre annexeacutes agrave la Directive sur la protection des donneacutees propre agrave chaque
programme
233 Eventuelle collecte de donneacutees suppleacutementaires
La leacutegislation en matiegravere de protection des donneacutees exige que seules les donneacutees strictement
neacutecessaires agrave lobjectif attribueacute soient collecteacutees et traiteacutees26 Il arrive qursquoun Programme
souhaite reacutecolter de maniegravere systeacutematique des donneacutees suppleacutementaires Une telle reacutecolte de
donneacutees additionnelles doit se justifier par un besoin ducircment eacutetabli par le Programme elle
doit de surcroicirct ecirctre proportionneacutee Le but du traitement des donneacutees doit aussi ecirctre
reconnaissable pour la personne ayant consenti et il doit ensuite demeurer inchangeacute (principe
dit de finaliteacute)27
A noter qursquoil nrsquoest pas licite de collecter dans ce contexte des donneacutees suppleacutementaires agrave
des fins de recherche car ceci requiert un consentement speacutecifique du participant agrave la
recherche (chapitre 259)28 En effet lorsque le but viseacute est la recherche le participant doit
ecirctre informeacute au preacutealable que ses reacuteponses seront analyseacutees agrave cette fin et doit donner son
accord libre informeacute et eacutecrit Une autorisation de la commission drsquoeacutethique compeacutetente en
matiegravere de recherche meacutedicale doit alors ecirctre requise et obtenue29 La frontiegravere entre la
recherche et le controcircle-qualiteacute nrsquoest pas toujours nette30 Cependant si au moment de la
collecte linstitut ou le Programme ne peut justifier que les donneacutees suppleacutementaires sont
directement pertinentes agrave des fins de deacutepistage mais qursquoil entend encore tester ou eacutevaluer la
pertinence de cette collecte la qualification de recherche srsquoimpose
Si le Programme entend reacutecolter des donneacutees suppleacutementaires il doit reacutediger une SOP qui
deacutecrit comment les donneacutees sont collecteacutees et comment ces informations suppleacutementaires
seront ensuite traiteacutees pour atteindre le but drsquoameacuteliorer le deacutepistage (ci-apregraves SOP-1) Ce
document explique eacutegalement comment et par qui ces donneacutees suppleacutementaires seront
peacuteriodiquement eacutevalueacutees Ce document est joint agrave la Directive_PD Le Programme
communique cette SOP-1 au SCS qui coordonne au besoin lrsquoadjonction drsquoun champ agrave
compleacuteter dans le MC-SIS
24 Reacutesultats meacutedicaux
La preacutesente section est diviseacutee en six sous-chapitres Tout dabord lrsquoexactitude des donneacutees
reacutecolteacutees durant la visite agrave lrsquoinstitut de la personne concerneacutee doit ecirctre controcircleacutee31 Les
26 En droit feacutedeacuteral tout traitement de donneacutees doit ecirctre effectueacute conformeacutement aux principes de la bonne foi et de la proportionnaliteacute Art 4 al 2 LPD 27 En droit feacutedeacuteral selon les alineacuteas 3 et 4 de lart 4 LPD Les donneacutees personnelles ne doivent ecirctre traiteacutees que dans le but qui est indiqueacute lors de leur collecte qui est preacutevu par une loi ou qui ressort des circonstances La collecte de donneacutees personnelles et en particulier les finaliteacutes du traitement doivent ecirctre reconnaissables pour la personne concerneacutee En dautres termes la personne doit savoir que ses donneacutees sont collecteacutees et doit ecirctre renseigneacutee sur le but de la collecte Ce but tel quil lui a eacuteteacute indiqueacute ne peut ensuite en principe plus ecirctre modifieacute 28 Une recherche dans le domaine meacutedical est soumise agrave la LRH Or cette loi exige agrave de rares exceptions pregraves que le participant agrave la recherche donne son consentement Art 7 LRH 29 Art 45 LRH 30 Cf SwissEthics (Commissions drsquoeacutethique suisses relatives agrave la recherche sur lecirctre humain) Groupe de travail ndeg 19 Clarification des compeacutetences Sous wwwswissethicschdocab2014Zustaendigkeit_fpdf 31 La leacutegislation feacutedeacuterale en matiegravere de protection des donneacutees pose un principe dexactitude Selon lart 5 al 1 LPD Celui qui traite des donneacutees personnelles doit sassurer quelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees Les leacutegislations cantonales contiennent geacuteneacuteralement une regravegle similaire
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 10 de 30
donneacutees de mammographie sont examineacutees par deux voire trois radiologues32 Les reacutesultats
du deacutepistage du cancer colorectal sont eacutevalueacutes par le laboratoire (FIT) ou le
gastroenteacuterologuepathologiste (colonoscopie) Enfin les reacutesultats sont transmis au participant
et au meacutedecin de reacutefeacuterence indiqueacute Si le participant na pas indiqueacute de meacutedecin de reacutefeacuterence
le directeur meacutedical du programme fournit des conseils meacutedicaux Le meacutedecin de reacutefeacuterence
ou drsquoautres meacutedecins-traitants demandent parfois agrave recevoir certaines informations
compleacutementaires La transmission dinformations aux autoriteacutes cantonales et feacutedeacuterales est
abordeacutee au chapitre 26 ci-dessous
241 Controcircle des donneacutees
Linstitut doit veacuterifier la plausibiliteacute des donneacutees quil collecte directement
De plus le Programme controcircle les donneacutees saisies par linstitut dans MC-SIS notamment
pour leur coheacuterence interne MC-SIS permet drsquoexporter des tableaux avec des donneacutees
individuelles pour permettre aux Programmes drsquoeffectuer leurs propres validations De telles
validations sont fortement recommandeacutees
Pour assurer la qualiteacute de sa deacutemarche le Programme doit reacutediger une SOP deacutecrivant
les eacutetapes de sa veacuterification (notamment qui veacuterifie quoi comment qui corrige quoi
comment qui supervise quoi et comment) (SOP-2)
242 Eacutechange de donneacutees entre partenaires internes
Lrsquoeacutechange de donneacutees personnelles entre partenaires internes au deacutepistage ndash par exemple
les collaborateurs du Programme le personnel des laboratoires les radiologues les
gastroenteacuterologues ou les pathologistesndash se fait en principe dans MC-SIS Les individus
concerneacutes doivent ecirctre speacutecifiquement autoriseacutes agrave eacutechanger et agrave acceacuteder aux donneacutees Cette
autorisation doit ecirctre deacutecrite dans la matrice des droits daccegraves de chaque Programme et
figurer dans une SOP Le type et le contenu de lrsquoeacutechange de donneacutees sont en principe dicteacutes
par MC-SIS Ces eacutechanges font lobjet des mesures de seacutecuriteacute incorporeacutees dans le logiciel et
deacutecrites dans le concept de seacutecuriteacute de CDI
Ces eacutechanges de donneacutees sont licites car baseacutes sur la leacutegislation cantonale reacutegissant le
deacutepistage ce que chaque Programme doit cependant veacuterifier Ces transferts sont eacutegalement
proportionneacutes au but poursuivi agrave savoir offrir au public-cible un deacutepistage de qualiteacute
243 Analyse des donneacutees et diagnostic meacutedical33
Les professionnels chargeacutes drsquoeacutetablir le diagnostic ont accegraves agrave lrsquoensemble des donneacutees
collecteacutees (donneacutees deacutemographiques anamnegravese images tests de laboratoire) et saisissent
le diagnostic dans MC-SIS
Concregravetement le Programme doit sassurer avoir conclu des contrats eacutecrits non
seulement avec lrsquoinstitut (chapitre 232) mais aussi avec les prestataires de services
externes chargeacutes deffectuer des tests (par ex laboratoires pathologistes meacutedecins de
famille pharmaciens) ou danalyser des donneacutees (par ex radiologues
32 Voir lrsquoart 4 de lrsquoOrdonnance sur la garantie de la qualiteacute 33 Il srsquoagit geacuteneacuteralement drsquoune analyse de risque qui conclut agrave une suspicion de cancer le diagnostic deacutefinitif eacutetant effectueacute lors des examens compleacutementaires apregraves biopsie et examens de pathologie
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 11 de 30
gastroenteacuterologues) Ces contrats (ou cahiers des charges) doivent deacutecrire preacuteciseacutement les
tacircches attendues Ils doivent inclure une clause de confidentialiteacute laquelle garantit que les
partenaires externes et leurs collaborateurs maintiendront strictement confidentielles les
donneacutees personnelles et autres informations acquises dans le cadre du deacutepistage Ces
contrats sont tenus agrave jour et sont inclus en annexe agrave la Directive sur la protection des
donneacutees propre agrave chaque programme
Cet eacutechange de donneacutees du Programme avec les personnes chargeacutees du diagnostic via MC-
SIS est licite car fondeacutee sur la loi cantonale reacutegissant le deacutepistage Le consentement eacuteclaireacute
de la personne concerneacutee couvre eacutegalement cet eacutechange de donneacutees qui est neacutecessaire et
proportionneacute au but rechercheacute
Lrsquoeacutechange de donneacutees personnelles qui srsquoopegravere par drsquoautres canaux que MC-SIS est agrave eacuteviter
Par exemple lrsquoenvoi par teacuteleacutephone e-mail par le biais de cleacutes USB ou de CD_ROM ne
preacutesente pas les mecircmes garanties de seacutecuriteacute que lrsquoeacutechange par MC-SIS Dans pareils cas
le Programme doit assurer le mecircme niveau de protection que celui de MC-SIS (par ex avec
un e-mail crypteacute) Sa Directive_PD doit expliciter comment ce niveau de protection est garanti
244 Transmission des reacutesultats agrave la personne concerneacutee
Le directeur meacutedical du Programme est responsable de communiquer par courrier agrave la
personne concerneacutee ou agrave son meacutedecin reacutefeacuterent les reacutesultats du deacutepistage (reacutesultat FIT avec
colonoscopie colonoscopie mammographie) Ce reacutesultat est transmis en principe dans les 8
jours apregraves la visite de la personne34 Souvent le reacutesultat positif (suspicion de cancer) est
transmis 24 heures agrave lrsquoavance au meacutedecin de reacutefeacuterence que la personne concerneacutee a
mentionneacute sur le formulaire de consentement Cette transmission anticipeacutee permet au
meacutedecin de prendre contact avec la personne afin de reacutepondre agrave ses questions eacuteventuelles
Si le reacutesultat est positif le courrier invite la personne concerneacutee agrave contacter le ou les meacutedecins
de son choix35 La suite de son traitement est deacutecideacutee drsquoentente entre la personne et son
eacutequipe meacutedicale sans que le Programme ou linstitut ne soient impliqueacutes
Lorsque le reacutesultat est neacutegatif (pas de suspicion de cancer) la personne concerneacutee et son
meacutedecin sont informeacutes Elle est inviteacutee agrave continuer agrave participer reacuteguliegraverement au deacutepistage
Si lrsquoimpression etou lrsquoenvoi sont deacuteleacutegueacutes agrave un prestataire externe les explications figurant
au chapitre 22 doivent ecirctre respecteacutees (notamment en ce qui concerne le contrat eacutecrit)
245 Echange ulteacuterieur dinformations
La personne concerneacutee ou ses meacutedecins-traitants communiquent parfois spontaneacutement au
Programme ou agrave linstitut des informations sur le suivi meacutedical ulteacuterieur Ces informations
peuvent ecirctre entreacutees dans le systegraveme MC-SIS Elles sont consideacutereacutees licites la deacutemarche
active de la personne ou de ses meacutedecins (agissant avec lrsquoaccord preacutesumeacute de la personne)
valant consentement au traitement des donneacutees
Il arrive aussi quun professionnel de la santeacute autre que le meacutedecin de reacutefeacuterence notamment
un oncologue chargeacute du suivi de la personne contacte directement un Programme en
34 Voir lrsquoart 9 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute 35 Voir lrsquoart 9 al 2 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 12 de 30
demandant agrave recevoir des donneacutees relatives agrave son ou sa patiente Le Programme ne peut
reacutepondre agrave cette demande que sil reccediloit une autorisation explicite de la personne concerneacutee
(en principe une autorisation eacutecrite et signeacutee de la personne justifiant de son identiteacute par une
copie de son passeport ou de sa carte didentiteacute) Le Programme ne peut pas spontaneacutement
renseigner le professionnel de la santeacute mecircme si celui-ci se dit ducircment habiliteacute par son ou sa
patiente Sil deacutetient lautorisation du patient ou de la patiente le Programme utilise alors un
canal sucircr pour transmettre linformation requise au professionnel de la santeacute (p ex e-mail
crypteacute cleacute USB crypteacutee reacuteseau HIN (laquo Health Info Net raquo) carte CPS de la FMH36) Le
Programme doit au moins srsquoassurer que lrsquoadresse eacutelectronique indiqueacutee est bien celle du
professionnel en question
246 Communication agrave lrsquoeacutetranger
Ni les Programmes ni le SCS ne transmettent en principe de donneacutees personnelles agrave
lrsquoeacutetranger
La personne concerneacutee peut toutefois demander explicitement au Programme que ses
propres donneacutees lui soient envoyeacutees agrave lrsquoeacutetranger ou soient communiqueacutees agrave son mandataire
geacuteneacuteralement un meacutedecin agrave lrsquoeacutetranger Cette situation peut survenir notamment lorsque la
personne deacutemeacutenage et que son traitement meacutedical se poursuit agrave lrsquoeacutetranger
Dans ces situations rares en pratique la communication a lieu conformeacutement aux instructions
de la personne et est licite sur la base de son consentement En geacuteneacuteral un CD-ROM
contenant ses donneacutees est graveacute et lui est remis Le Programme doit aussi veacuterifier que les
instructions eacutemanent bien de la personne dont les donneacutees personnelles sont en cause ou de
son mandataire ducircment habiliteacute Au besoin le Programme peut souhaiter attirer lrsquoattention de
la personne sur les risques drsquoune transmission agrave lrsquoeacutetranger
25 Stockage des donneacutees mesures de seacutecuriteacute et droit drsquoaccegraves monitorage
Le preacutesent chapitre traite des eacutetapes qui suivent le retour des reacutesultats agrave la personne
concerneacutee Il est scindeacute en neuf parties La premiegravere concerne les mesures visant agrave garantir
la seacutecuriteacute des donneacutees reacutecolteacutees et traiteacutees par les Programmes elle aborde eacutegalement le
thegraveme des droits drsquoaccegraves par leurs collaborateurs La deuxiegraveme partie envisage la deacutesignation
drsquoun conseiller agrave la protection des donneacutees au sein du Programme La troisiegraveme clarifie lrsquoaccegraves
aux donneacutees personnelles par SCS
La quatriegraveme partie rappelle que les personnes concerneacutees ayant participeacute au deacutepistage ont
le droit drsquoacceacuteder agrave leurs propres donneacutees Sont traiteacutees agrave la suite (cinquiegraveme partie) les
questions lieacutees agrave la reacutevocation du consentement et aux demandes drsquoeffacement de donneacutees
formuleacutees par ces personnes
Les parties six agrave neuf visent la communication agrave des tiers sont notamment abordeacutes lrsquoannonce
du fichier au Preacuteposeacute agrave la protection des donneacutees et la communication des donneacutees agrave drsquoautres
autoriteacutes en particulier les registres cantonaux des tumeurs et lrsquoOFSP
36 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 105
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 13 de 30
251 Seacutecuriteacute et accegraves par les collaborateurs des Programmes
Les donneacutees collecteacutees par le Programme et ses partenaires sont conserveacutees dans le systegraveme
MC-SIS Le Programme peut en tout temps acceacuteder aux donneacutees qursquoil a entreacutees Il ne peut
pas acceacuteder aux donneacutees personnelles dun autre Programme
Tant pour des raisons leacutegales qursquoeacutethiques il est capital que ces donneacutees soient maintenues
strictement sucircres et confidentielles37 De plus ces donneacutees ne doivent ecirctre utiliseacutees que dans
le cadre strictement neacutecessaire au but annonceacute aux personnes participantes (principes dits de
proportionnaliteacute et de finaliteacute)38
Dans la pratique du deacutepistage les deux principales cateacutegories de risques identifieacutes sont les
deacutefaillances techniques (pannes informatiques et autres dysfonctionnements provoquant des
erreurs ou des pertes de donneacutees) et les actes malintentionneacutes ou neacutegligents (manipulation
des donneacutees mauvais usage vol perte de formulaires)
Concregravetement le Programme doit adopter une Directive_PD compleacuteteacutee par une matrice
des droits drsquoaccegraves et une SOP Conjointement ces documents preacutecisent qui est habiliteacute agrave
acceacuteder agrave quelles donneacutees (notamment sur MC-SIS) quand comment et agrave quelles fins La
matrice des droits drsquoaccegraves eacutenonce le nom de chaque collaborateur ayant un droit drsquoaccegraves agrave
des donneacutees personnelles et lrsquoeacutetendue de ce droit Seules les personnes ayant reacuteellement
besoin pour lrsquoaccomplissement de leurs tacircches drsquoacceacuteder agrave des donneacutees personnelles
doivent recevoir cette autorisation drsquoaccegraves leur nombre doit ecirctre aussi reacuteduit que possible
Chaque accegraves informatique doit ecirctre individuel (crsquoest-agrave-dire propre agrave lrsquoemployeacute concerneacute et
sans partage possible) et traccedilable39 Chaque collaborateur du Programme mecircme sil na
pas de droit daccegraves attribueacute par la matrice doit signer un engagement eacutecrit de
confidentialiteacute
Toujours dans le but drsquoempecirccher des personnes externes au Programme dacceacuteder aux
donneacutees personnelles la Directive_PD et la matrice des droits drsquoaccegraves doivent eacutegalement
deacutecrire la politique drsquoaccegraves aux locaux et diffeacuterentes piegraveces des Programmes la politique de
gestion des documents eacutecrits (notamment les formulaires papier remplis par les participants)
la politique de gestion des imprimantes et lrsquoaccegraves des visiteurs aux locaux Le Programme
doit deacutefinir des mesures de seacutecuriteacute et drsquoidentification de sorte que les personnes non
autoriseacutees nrsquoentrent pas dans les bacirctiments ou parties de bacirctiments (notamment les
sites ougrave se trouvent les terminaux drsquoaccegraves au MC-SIS) En principe les visiteurs doivent
ecirctre preacute-annonceacutes approuveacutes et controcircleacutes Ils doivent ecirctre accompagneacutes dans les locaux
La matrice des droits drsquoaccegraves doit ecirctre reacuteguliegraverement tenue agrave jour notamment concernant les
modifications des droits drsquoaccegraves lieacutees agrave lrsquoarriveacutee et au deacutepart de collaborateurs La SOP
correspondante deacutecrit la proceacutedure de mise agrave jour des droits drsquoaccegraves (qui accorde le droit
drsquoaccegraves sur la base de quel processus qui effectue les controcircles SOP-3)
Une tacircche essentielle attribueacutee au responsable de Programme est la sensibilisation de
ses collaborateurs Lexpeacuterience montre que la majoriteacute des cas de divulgation illicite
(security breach) de donneacutees est le fait de collaborateurs geacuteneacuteralement en raison dune
neacutegligence elle-mecircme attribuable agrave un manque de formation Le Programme doit donc former
ses collaborateurs aux enjeux de la protection des donneacutees La formation suit la prise de
37 En droit feacutedeacuteral selon lart 7 al 1 LPD [l] es donneacutees personnelles doivent ecirctre proteacutegeacutees contre tout traitement non autoriseacute par des mesures organisationnelles et techniques approprieacutees Les mesures de seacutecuriteacute sont eacutegalement expliciteacutees aux art 8 agrave 11 OLPD 38 Voir lart 4 LPD deacutejagrave citeacute 39 Art 9 OLPD
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 14 de 30
fonction et est reacuteiteacutereacutee agrave intervalles reacuteguliers tant que dure la relation entre le collaborateur et
le Programme ou les diffeacuterents prestataires de services La formation doit preacuteciser leacutetendue
du secret et de lobligation de confidentialiteacute les mesures concregravetes agrave adopter et agrave eacuteviter les
risques les plus courants les sanctions en cas de violation
Enfin il incombe au directeur meacutedical ou au directeur administratif du Programme de
veacuterifier ou de faire veacuterifier reacuteguliegraverement le respect de la Directive_PD de la matrice des
droits drsquoaccegraves et de la SOP-3 ainsi que des obligations qursquoelles eacutenoncent Il veacuterifie
notamment que seules les personnes autoriseacutees agrave acceacuteder aux donneacutees personnelles y ont
acceacutedeacute
252 Conseiller agrave la protection des donneacutees
Les Programmes peuvent vouloir deacutesigner un conseiller indeacutependant agrave la protection des
donneacutees40 ayant pour tacircche de veacuterifier le respect de la leacutegislation ainsi que des politiques et
proceacutedures internes en matiegravere de protection des donneacutees Ce conseiller peut ecirctre un
mandataire externe au Programme ou un collaborateur interne du Programme agrave la condition
que ce dernier jouisse de lrsquoindeacutependance neacutecessaire Si un conseiller agrave la protection des
donneacutees est deacutesigneacute ses tacircches sont clairement deacutefinies par eacutecrit
253 Accegraves aux donneacutees par SCS
SCS naccegravede pas aux donneacutees personnelles des Programmes il naccegravede tout
particuliegraverement pas aux donneacutees des personnes ayant eacuteteacute inviteacutees ou ayant participeacute au
deacutepistage Les Programmes sont dailleurs prieacutes de ne pas envoyer de telles donneacutees
personnelles agrave SCS Si un tel eacutechange srsquoavegravere ineacutevitable les donneacutees doivent ecirctre
anonymiseacutees
SCS doit recevoir des programmes des donneacutees agreacutegeacutees etou pseudonymiseacutees SCS peut
ainsi eacutemettre peacuteriodiquement un rapport de monitorage qui preacutesente les reacutesultats du deacutepistage
en fonction dindicateurs statistiques41 A cette fin SCS peut mandater des experts externes
qui analysent lesdites donneacutees La collaboration entre SCS et ces experts est reacutegleacutee par un
contrat eacutecrit qui inclut une clause de confidentialiteacute eacutetant preacuteciseacute que les experts nrsquoaccegravedent
pas agrave des donneacutees personnelles mais uniquement pseudonymiseacutees Le rapport qui en reacutesulte
est public
Par ailleurs SCS est chargeacute de veiller agrave la seacutecuriteacute technique des donneacutees via MC-SIS A
cette fin SCS a mandateacute CDI pour eacutelaborer un concept de seacutecuriteacute deacutecrivant les mesures
techniques de seacutecuriteacute mises en place dans MC-SIS Le Preacuteposeacute agrave la protection des donneacutees
bernois a valideacute ce document Ce dernier est mis agrave disposition des preacuteposeacutes cantonaux agrave la
protection des donneacutees qui le requiegraverent Ce concept de seacutecuriteacute de CDI deacutecrit les
meacutethodes (organisationnelles et techniques) de seacutecuriteacute (journalisation sauvegarde
reacuteguliegravere preacutevention du hacking) en lien avec lrsquoaccegraves et le traitement des donneacutees
40 Art 11a al 5 let e LPD re art 12a et 12b OLPD 41 Voir par exemple SCS Rapport de monitorage 2012 des programmes suisses de deacutepistage du cancer du sein un bref bilan
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 15 de 30
254 Droits drsquoaccegraves des personnes concerneacutees
La loi accorde agrave chaque personne le droit de demander si des donneacutees la concernant sont
traiteacutees et si oui quelles donneacutees exactement42 Ce droit beacuteneacuteficie agrave toute personne donc y
compris celles nayant pas participeacute au deacutepistage La personne doit adresser sa demande
daccegraves directement au Programme Si elle adresse sa demande agrave linstitut celui-ci la transmet
au Programme
La personne peut exiger une copie (eacutecrite) de son dossier crsquoest-agrave-dire de toutes les donneacutees
la concernant en main du responsable du fichier (aussi appeleacute laquo maicirctre du fichier raquo) Ce droit
nest donc pas limiteacute aux donneacutees que la personne a elle-mecircme fournies mais seacutetend
eacutegalement aux donneacutees obtenues de tiers (par exemple des meacutedecins experts)43 Lorigine de
telles donneacutees doit ecirctre indiqueacutee44 Le Programme doit eacutegalement preacuteciser agrave la personne
requeacuterante le but du fichier45
Si la personne concerneacutee constate des erreurs dans ses donneacutees elle peut les signaler et
exiger leur correction46 De nouveau la personne doit srsquoadresser au Programme Si elle
srsquoadresse agrave linstitut celui-ci la renvoie au Programme
Concregravetement le Programme cantonal doit eacutetablir une SOP (SOP-4) qui deacutecrit comment
il traite les demandes daccegraves et les demandes de correction Celle-ci aborde notamment
la maniegravere de formuler la demande et drsquoeacutetablir lrsquoidentiteacute de la personne requeacuterante (en principe
carte didentiteacute ou passeport47) deacutetermine qui traite la demande comment lrsquoinformation est
ensuite transmise agrave la personne sous quelle forme et dans quel deacutelai (maximum 30 jours agrave
compter de la demande48)
Les donneacutees sont en principe transmises gratuitement49 Si la remise na pas lieu en mains
propres elle se fait via un support sucircr par exemple un e-mail crypteacute en ayant ducircment veacuterifieacute
42 En droit feacutedeacuteral ce droit daccegraves deacutecoule de lart 8 LPD et est expliciteacute aux art 1 et 2 OLPD Selon lrsquoart 8 alineacutea 1 LPD [t]oute personne peut demander au maicirctre dun fichier si des donneacutees la concernant sont traiteacutees Lalineacutea 2 deacutecrit les donneacutees que le maicirctre du fichier doit fournir en reacuteponse agrave une telle requecircte Lalineacutea 3 autorise la transmission de donneacutees meacutedicales par lintermeacutediaire dun meacutedecin plutocirct que directement agrave la personne concerneacutee si celle-ci le souhaite Lalineacutea 4 regravegle la situation lorsque le maicirctre du fichier a sous-traiteacute certaines activiteacutes agrave un tiers Les informations fournies en reacuteponse agrave une demande daccegraves doivent lecirctre en principe gratuitement selon lalineacutea 5 Finalement lalineacutea 6 preacutecise quil sagit lagrave dun droit inalieacutenable de la personne Les cas de figure ougrave le maicirctre du fichier peut refuser de faire droit agrave une demande daccegraves sont deacutecrits agrave lart 9 cependant dans le cas du deacutepistage aucune exception nentre en principe en consideacuteration 43 En revanche le Programme na pas agrave requeacuterir aupregraves de tiers des donneacutees quil ne deacutetient pas lui-mecircme quand bien mecircme la personne concerneacutee en fait la demande 44 En droit feacutedeacuteral lart 8 al 2 let a LPD preacutevoit Le maicirctre du fichier doit lui communiquer a1 toutes les donneacutees la concernant qui sont contenues dans le fichier y compris les informations disponibles sur lorigine des donneacutees 45 En droit feacutedeacuteral voir lart 8 al 2 let b LPD Le programme est tenu de communiquer toutes les donneacutees concernant la personne qui sont contenues dans le fichier y compris les informations sur lorigine des donneacutees le but et eacuteventuellement la base juridique du traitement les cateacutegories de donneacutees personnelles traiteacutees les participants au fichier et les destinataires des donneacutees (personnes et organes auxquelles les donneacutees sont communiqueacutees) Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence (PFPDT) Droits de la personne concerneacutee en matiegravere de traitement des donneacutees personnelles p 7 46 En droit feacutedeacuteral lart 5 al 2 LPD preacutevoit que [t]oute personne concerneacutee peut requeacuterir la rectification des donneacutees inexactes 47 La demande doit en principe ecirctre faite par eacutecrit (cf en droit feacutedeacuteral art 1 al 1 OLPD) Il faut pour des raisons de preuve la copie drsquoune piegravece drsquoidentiteacute annexeacutee agrave la demande et lrsquoenvoi de la demande par pli recommandeacute La demande drsquoaccegraves et la communication des renseignements demandeacutes peuvent ecirctre faites par voie eacutelectronique (art 1 al 2 OLPD) pour autant que le Programme le preacutevoie expresseacutement et qursquoil prenne des mesures adeacutequates afin drsquoassurer lrsquoidentification de la personne concerneacutee et de proteacuteger les donneacutees de la personne concerneacutee de tout accegraves de tiers non autoriseacutes lors de la communication des renseignements (art 1 al 2 OLPD) La personne peut eacutegalement venir au secreacutetariat du centre de deacutepistage munie drsquoune piegravece drsquoidentiteacute Une situation particuliegravere vise les demandes faites par des membres de la famille de la personne concerneacutee lorsque celle-ci est deacuteceacutedeacutee (agrave ce sujet art 1 al 7 OLPD) 48 Art 1 al 4 OLPD 49 Les renseignements sont en regravegle geacuteneacuterale fournis gratuitement et par eacutecrit sous forme dimprimeacute ou de photocopie (art 1 OLPD et exception agrave lrsquoart 2 OLPD) Les donneacutees meacutedicales et les images de mammographie
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 16 de 30
lexactitude de ladresse e-mail En principe le Programme ne peut refuser ou limiter la
demande portant sur lrsquoexistence de donneacutees personnelles la demande drsquoaccegraves agrave ces donneacutees
ou encore la demande de correction des donneacutees
255 Reacutevocation du consentement
La personne concerneacutee qui a consenti agrave prendre part au deacutepistage peut en tout temps
reacutevoquer son consentement Elle communique sa deacutecision en principe au Programme si elle
a communiqueacute sa deacutecision agrave linstitut par exemple sur place lors de la visite celui-ci la
transmet au Programme Le Programme doit srsquoassurer que la manifestation de volonteacute reccedilue
a bien eacuteteacute eacutemise par la personne habiliteacutee agrave le faire (p ex veacuterification de lrsquoidentiteacute)
Si le test et lanalyse ont deacutejagrave eu lieu et les reacutesultats ont eacuteteacute transmis la reacutevocation du
consentement nrsquoa toutefois que des effets limiteacutes Aucun traitement ulteacuterieur na lieu Le
Programme doit leacutegalement conserver et archiver le dossier complet Il ne peut donc pas
effacer entiegraverement les donneacutees mecircme si la personne le lui demande
Si lanalyse des donneacutees notamment des images na pas encore eu lieu au moment de la
reacuteception de la reacutevocation le Programme interrompt le traitement des donneacutees Celles-ci ne
sont pas transmises aux meacutedecins speacutecialistes ni agrave dautres tiers Elles sont uniquement
conserveacutees agrave des fins darchivage
Si au moment de la deacuteclaration de reacutevocation lrsquoanalyse a deacutejagrave eu lieu mais que le reacutesultat nrsquoa
pas encore eacuteteacute communiqueacute le reacutesultat nrsquoest pas communiqueacute Le Programme peut srsquoassurer
aupregraves de la personne qursquoelle a pris agrave cet eacutegard une deacutecision informeacutee Il doit cependant veiller
agrave respecter son droit de ne pas savoir Il ne peut donc pas lui imposer une information qursquoelle
ne souhaite pas recevoir quand bien mecircme le reacutesultat du deacutepistage serait positif
La personne peut aussi deacutecider qursquoelle ne souhaite plus ecirctre inviteacutee agrave participer au deacutepistage
Dans ce cas le Programme prend note et respecte sa deacutecision Une mention correspondante
est entreacutee dans MC-SIS
La personne peut eacutegalement reacutevoquer sa reacutevocation cest-agrave-dire consentir agrave nouveau au
traitement de ses donneacutees Dans ce cas la proceacutedure reprend son cours Par exemple si les
donneacutees nont pas eacuteteacute soumises aux meacutedecins experts pour analyse elles le sont degraves que la
personne consent agrave nouveau Est reacuteserveacute le cas ougrave les donneacutees sont alors trop anciennes
pour ecirctre utilement analyseacutees
256 Communication aux Preacuteposeacutes cantonaux agrave la protection des donneacutees
Certaines lois cantonales exigent que la collecte de donneacutees personnelles tout
particuliegraverement de donneacutees meacutedicales sensibles soit annonceacutee Cela concerne eacutegalement
les programmes de deacutepistage Le Programme doit se renseigner si le canton ou le Preacuteposeacute
ont introduit des exigences et des proceacutedures particuliegraveres50 Le document par lequel le
peuvent ecirctre fournies sur CD-ROM Une participation aux frais (maximum CHF 300- art 2 al 2 OLPD) peut ecirctre demandeacutee exceptionnellement par le Programme (art 2 al 1 OLPD) lorsque la personne a deacutejagrave obtenu les renseignements demandeacutes dans les douze derniers mois (sauf si elle a un inteacuterecirct leacutegitime agrave refaire une demande drsquoaccegraves) et lorsque la communication des renseignements occasionne un volume de travail consideacuterable (par exemple si les donneacutees ont deacutejagrave eacuteteacute rendues partiellement anonymes ou neacutecessitent de longues recherches) 50 Typiquement lrsquoannonce au Preacuteposeacute cantonal contient les eacuteleacutements suivants les nom et adresse du maicirctre du fichier le nom et la deacutenomination complegravete du fichier la personne ou lrsquoorgane aupregraves duquel peut ecirctre exerceacute le
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 17 de 30
programme annonce sa collecte de donneacutees au Preacuteposeacute cantonal doit ecirctre consigneacute
par eacutecrit et annexeacute agrave sa Directive_PD
Pour les programmes qui sont organiseacutes sous la forme drsquoune entiteacute de droit priveacute (par
opposition agrave une autoriteacute publique) et qui ne sont pas tenus par le droit cantonal drsquoannoncer
leur fichier au Preacuteposeacute cantonal il convient de veacuterifier si une annonce du fichier au Preacuteposeacute
feacutedeacuteral agrave la protection des donneacutees est requise51 Les Programmes concerneacutes prennent
contact avec le Preacuteposeacute cantonal pour clarifier leurs obligations
En principe aucune donneacutee personnelle crsquoest-agrave-dire au sujet des personnes concerneacutees
(participants) nest communiqueacutee au Preacuteposeacute (feacutedeacuteral ou cantonal)
257 Communication au registre cantonal des tumeurs
Chaque registre cantonal des tumeurs est habiliteacute par la loi cantonale qui lrsquoinstitue agrave recevoir
les informations sur les cancers diagnostiqueacutes sur le territoire cantonal Ces informations lui
sont neacutecessaires pour analyser lrsquoefficaciteacute sur le long terme du deacutepistage cantonal En effet
le diagnostic deacutefinitif etou les informations deacutefinitives relatives agrave la survenue des cancers
drsquointervalle sont enregistreacutes uniquement dans ce registre Cest ainsi quil reacutepertorie tous les
cas de cancers diagnostiqueacutes sur le territoire cantonal (dans le cadre ou hors du deacutepistage) et
quil megravene un suivi eacutepideacutemiologique de ces patients ainsi diagnostiqueacutes
La transmission audit registre est assureacutee par le Programme Le cas eacutecheacuteant le registre
cantonal adresse une confirmation du diagnostic au Programme
La communication au registre cantonal des tumeurs est licite parce que fondeacutee sur la loi
cantonale reacutegissant le deacutepistage etou la loi cantonale instituant le registre cantonal des
tumeurs Cette communication est eacutegalement proportionneacutee agrave lobjectif poursuivi agrave savoir
assurer la qualiteacute et lefficaciteacute du deacutepistage Ce proceacutedeacute drsquoannonce est consigneacute dans la
Directive_PD du programme cas eacutecheacuteant dans ses annexes
258 Monitorage interne du Programme et communication aux autoriteacutes
Chaque Programme doit eacutetablir un rapport annuel drsquoactiviteacutes52 baseacute sur des indicateurs de
qualiteacute qursquoil deacutefinit De plus SCS a deacutefini un ensemble minimum drsquoindicateurs qui sont calculeacutes
au niveau national [Annexe V] Ces rapports ne contiennent aucune donneacutee personnelle
mecircme srsquoils sont eacutelaboreacutes agrave partir des donneacutees personnelles auxquelles le Programme accegravede
via MC-SIS
droit drsquoaccegraves la base juridique et le but du fichier les cateacutegories de donneacutees traiteacutees (sont indiqueacutees dans cette rubrique les sortes de donneacutees contenues dans le fichier par exemple les nom adresse profession date de naissance) le cercle des personnes concerneacutees et leur nombre approximatif les cateacutegories de destinataires des donneacutees les cateacutegories de participants au fichier Le Preacuteposeacute cantonal peut exiger des eacuteleacutements ou des informations suppleacutementaires 51 Selon lart 11a al 3 LPD Les personnes priveacutees sont tenues de deacuteclarer leurs fichiers dans les cas suivants a elles traitent reacuteguliegraverement des donneacutees sensibles ou des profils de la personnaliteacute Toutefois lalineacutea 5 de ce mecircme article eacutenonce plusieurs exceptions agrave lobligation de deacuteclarer En droit feacutedeacuteral les art 3 agrave 4 OLPD preacutecisent le contenu de la deacuteclaration et les exceptions agrave lrsquoobligation de deacuteclarer 52 Cf art 10 al 1 de lrsquoOrdonnance sur la garantie de la qualiteacute
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 18 de 30
Les Programmes peuvent mandater un expert externe pour analyser les donneacutees personnelles
issues de MC-SIS Dans ce cas la collaboration avec cet expert doit ecirctre reacutegleacutee par un
contrat eacutecrit incluant une clause de protection des donneacutees
Ces rapports peuvent ecirctre soumis agrave drsquoautres autoriteacutes cantonales ou feacutedeacuterales Le
Programme veacuterifie quelles sont ses obligations de transmission et ses modaliteacutes (notamment
qui transmet quoi comment et quand) et consigne lrsquoinformation dans sa Directive_PD
259 Communication agrave des chercheurs tiers
Chaque programme qui entend collaborer mecircme partiellement avec des tiers agrave des projets
de recherche est tenu de respecter la leacutegislation en matiegravere de recherche (le plus souvent la
Loi feacutedeacuterale sur la recherche sur lecirctre humain (LRH) et ses ordonnances) La reacutecolte
systeacutematique de donneacutees suppleacutementaires agrave des fins de recherche doit faire lrsquoobjet drsquoune SOP-
1 (chapitre 233)
26 Effacement des donneacutees
Avec lrsquoeacutecoulement du temps la conservation des donneacutees peut se reacuteveacuteler disproportionneacutee
et donc cesser drsquoecirctre justifieacutee et licite53 La loi exige alors lrsquoeffacement de ces donneacutees en
drsquoautres termes celles-ci doivent ecirctre rendues totalement et deacutefinitivement inaccessibles54
Selon les cas un effacement partiel peut se justifier (par ex effacement des donneacutees plus
anciennes et maintien des donneacutees plus reacutecentes)
Aujourdrsquohui aucune loi ne regravegle la dureacutee (minimale ou maximale) de conservation des donneacutees
issues du deacutepistage Des lois cantonales fixent parfois la dureacutee de conservation des donneacutees
de santeacute en geacuteneacuteral En lrsquoabsence de deacutelai speacutecifique le deacutelai de prescription des actions
(contractuelles ou deacutelictuelles) en responsabiliteacute est souvent pris comme point de reacutefeacuterence
En drsquoautres termes tant qursquoun Programme ou un institut peut ecirctre attaqueacute en responsabiliteacute
par lindividu concerneacute il doit conserver les donneacutees neacutecessaires agrave sa deacutefense Aujourdrsquohui
le deacutelai de prescription absolu est en principe de 10 ans agrave compter du fait dommageable (ici
lacte meacutedical ayant causeacute le dommage) Le 1er janvier 2020 le deacutelai absolu passera agrave 20 ans
toujours agrave compter du fait dommageable55 Degraves lors le dossier complet ne devrait pas ecirctre
deacutetruit avant lrsquoeacutecoulement drsquoun deacutelai de 20 ans agrave compter du dernier acte Crsquoest ainsi que par
exemple lrsquoanalyse drsquoimages anciennes peut aider agrave expliquer pourquoi certains examens ont
eacuteteacute faits ou nrsquoont pas eacuteteacute faits drsquoune certaine maniegravere
La preacuteservation des donneacutees jusqursquoagrave lrsquoeacutecheacuteance du deacutelai de prescription est autoriseacutee et
obligatoire quand bien mecircme lindividu concerneacute demande lrsquoeffacement anticipeacute (voir aussi
chapitre 255)
53 Pour rappel tout traitement des donneacutees doit ecirctre licite et proportionneacute (art 4 al 1 et 2 LPD) La conservation des donneacutees personnelles constitue un traitement de donneacutees Degraves lors le maicirctre du fichier doit se demander agrave partir de quel moment la conservation de donneacutees cesse decirctre neacutecessaire pour atteindre le but poursuivi et devient donc disproportionneacutee A partir de ce moment le traitement doit cesser ou ecirctre limiteacute dans son ampleur 54 Destruction de donneacutees httpwwwthinkdatachfrglossaire 55 Selon lart 60 al1bis En cas de mort drsquohomme ou de leacutesions corporelles elle se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage ainsi que de la personne tenue agrave reacuteparation et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute Selon lart 128a En cas de mort drsquohomme ou de leacutesions corporelles reacutesultant drsquoune faute contractuelle lrsquoaction en dommages-inteacuterecircts ou en paiement drsquoune somme drsquoargent agrave titre de reacuteparation morale se prescrit par trois ans agrave compter du jour ougrave la partie leacuteseacutee a eu connaissance du dommage et dans tous les cas par vingt ans agrave compter du jour ougrave le fait dommageable srsquoest produit ou a cesseacute
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 19 de 30
Concregravetement la Directive_PD du Programme doit deacutecrire comment lrsquoeffacement des
donneacutees est effectueacute notamment qui deacutecide et comment qui effectue lrsquoeffacement et
qui veacuterifie le caractegravere complet de lrsquoeffacement En principe la responsabiliteacute de
lrsquoeffacement incombe au directeur meacutedical de chaque Programme MC-SIS envoie une alerte
au Programme lorsque des donneacutees personnelles sont stockeacutees depuis plus de 20 ans
3 Conclusions
Pour que le deacutepistage atteigne ses objectifs la confiance de la population est indispensable
Pour maintenir cette confiance les donneacutees que confient les personnes doivent ecirctre traiteacutees
dans la plus grande confidentialiteacute Toujours agrave cette fin il importe eacutegalement que les droits des
personnes en matiegravere de protection des donneacutees notamment le droit de consentir et le droit
daccegraves soient respecteacutes
Pour assurer cet objectif chaque Programme doit deacutefinir ses proceacutedures internes et en assurer
le respect Il doit fournir une information complegravete et fiable aux participants au deacutepistage de
nature agrave permettre un consentement libre et eacuteclaireacute Il sensibilise reacuteguliegraverement son personnel
et ses partenaires externes et veille agrave un usage aussi restreint que possible des donneacutees non-
anonymiseacutees Il srsquoassure que les donneacutees sont correctes et agrave jour Enfin il conclut les contrats
garantissant la confidentialiteacute des donneacutees personnelles
En reacutesumeacute les directeurs de Programmes sont responsables de la protection des donneacutees
Chaque Programme doit se doter drsquoune Directive_PD qui tient compte de la leacutegislation feacutedeacuterale
et cantonale speacutecifique et des activiteacutes concregravetes meneacutees par le Programme Autant que
possible le Programme doit impliquer dans la reacutedaction de cette Directive le Preacuteposeacute cantonal
agrave la protection des donneacutees Au besoin il annonce le fichier au Preacuteposeacute cantonal ou feacutedeacuteral
La protection des donneacutees est une tacircche exigeante qui implique une vigilance constante car
nul nrsquoest jamais totalement agrave lrsquoabri drsquoune bregraveche de confidentialiteacute Des proceacutedures internes
solides bien connues de lrsquoensemble des collaborateurs constituent degraves lors un outil-cleacute pour
assurer le niveau de protection le plus eacuteleveacute
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 20 de 30
ANNEXES
Liste
Annexe I Deacutefinitions
Annexe II Bases leacutegales
Annexe III Principes fondamentaux de la protection des donneacutees et droits des
personnes
Annexe IV Modegraveles destineacutes aux participants
Annexe V Concept de monitoring national
Annexe VI Eleacutements constituant la Directive PD (et ses annexes)
Annexe VII Reacutecapitulatif des SOP agrave eacutetablir par les Programmes
Annexe VIII Abreacuteviations courantes
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 21 de 30
Annexe I Deacutefinitions
En Suisse les lois opegraverent des distinctions fondamentales entre les donneacutees personnelles et
les donneacutees anonymes Seul le traitement de donneacutees personnelles est soumis agrave la loi tandis
que le traitement de donneacutees anonymes ne lrsquoest en principe pas En pratique drsquoautres termes
sont parfois utiliseacutes les donneacutees sensibles sont une sous-cateacutegorie des donneacutees personnelles
qui demandent une protection particuliegravere
Donneacutees personnelles les donneacutees personnelles sont toutes les informations relatives agrave
une personne identifieacutee ou identifiable (art 3 a LPD) Par informations on comprend tout type
de renseignements quel que soit le moyen de transmission et le support Les donneacutees traiteacutees
dans le cadre de la santeacute sont en principe des donneacutees agrave caractegravere personnel puisquelles
concernent des personnes physiques identifieacutees ou identifiables56 Les donneacutees identifiantes
permettent drsquoidentifier sans eacutequivoque un individu En principe un individu peut ecirctre identifieacute
de maniegravere univoque par une combinaison de plusieurs des donneacutees suivantes preacutenom nom
date de naissance photo signature taille sexe et origine Dans le domaine meacutedical les
numeacuteros drsquoidentification caracteacuteristiques comme le numeacutero de dossier ou le numeacutero AVS
entrent aussi dans la cateacutegorie des donneacutees identifiantes
Donneacutees anonymes les donneacutees anonymiseacutees ne sont plus du tout correacutelables avec les
personnes concerneacutees ou alors au prix drsquoefforts deacutemesureacutes Elles ne sont plus consideacutereacutees
comme donneacutees personnelles Si les donneacutees sont anonymiseacutees alors les lois sur la
protection des donneacutees ne srsquoappliquent plus Pour anonymiser les donneacutees personnelles lieacutees
agrave la santeacute toutes les informations qui en elles-mecircmes ou combineacutees les unes aux autres
permettent de reacutetablir lidentiteacute de la personne sans efforts disproportionneacutes doivent ecirctre
rendues deacutefinitivement meacuteconnaissables ou ecirctre deacutetruites Cela inclut le nom les numeacuteros
drsquoidentification caracteacuteristiques (numeacutero AVS numeacutero de cas) la date de naissance (le
maximum autoriseacute eacutetant mois et anneacutee) la date exacte du deacutecegraves (le maximum autoriseacute est
eacutegalement le mois et lrsquoanneacutee) et lrsquoadresse exacte (le maximum autoriseacute est le numeacutero de
commune OFS) Il faut toutefois garder agrave lrsquoesprit que les informations meacutedicales ne sont jamais
entiegraverement anonymes car chaque cas est unique et mecircme avec des donneacutees laquo anonymiseacutees
raquo il est souvent possible de remonter au patient
Donneacutees sensibles les donneacutees personnelles sur la santeacute (selon une interpreacutetation large)
sont consideacutereacutees comme des donneacutees sensibles (art 3 c LPD)
Traitement de donneacutees personnelles toute opeacuteration relative agrave des donneacutees personnelles
ndash quels que soient les moyens utiliseacutes ndash notamment la collecte la conservation lrsquoexploitation
la modification la communication lrsquoarchivage ou la destruction de donneacutees (art 3 e LPD)
Communication de donneacutees personnelles est consideacutereacutee comme communication le fait
de rendre des donneacutees accessibles (art 3 f LPD) notamment drsquoautoriser leur consultation de
les transmettre de les publier
En particulier dans le contexte de la recherche le terme de donneacutees pseudonymiseacutees est
couramment utiliseacute car la recherche sur de telles donneacutees est soumise agrave des regravegles moins
strictes que sur des donneacutees identifiantes
56 European Data Protection Supervisor Avis 12015 La santeacute mobile concilier innovation techologique et protection des donneacutees p6
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 22 de 30
Donneacutees pseudonymiseacutees ou codeacutees la pseudonymisation (ou deacuteidentification) est le
proceacutedeacute de seacuteparation des donneacutees identifiantes du reste des donneacutees personnelles La
correacutelation des deux ensembles de donneacutees ainsi creacuteeacutes a lieu au moyen drsquoun pseudonyme ou
drsquoun code (un identificateur non parlant) devant ecirctre preacutesent aussi bien dans les donneacutees
identifiantes (souvent sous forme drsquoune table de correspondance) que dans les donneacutees
restantes (dites pseudonymiseacutees) La reacuteunion des deux ensembles de donneacutees
(deacutepseudonymisation reacuteidentification) est ainsi rendue possible aux seules personnes
autoriseacutees crsquoest-agrave-dire uniquement celles qui ont accegraves agrave la table de correspondance Les
donneacutees pseudonymiseacutees demeurent des donneacutees agrave caractegravere personnel dans la mesure ougrave
elles peuvent ecirctre reacuteidentifieacutees non seulement par le responsable du traitement mais aussi
par des tiers qui les combinent avec des informations externes eacutemanant dautres sources
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 23 de 30
Annexe II Bases leacutegales
Ce chapitre eacutenonce les bases leacutegales au niveau international feacutedeacuteral et cantonal Il est
eacutegalement fait reacutefeacuterence aux regravegles non-contraignantes (dites laquo soft law raquo) applicables en
matiegravere de deacutepistage
A Conventions internationales ratifieacutees par la Suisse
Convention du Conseil de lEurope pour la protection des personnes agrave leacutegard du
traitement automatiseacute des donneacutees agrave caractegravere personnel (STE ndeg108) signeacutee agrave
Strasbourg le 28011981 elle est entreacutee en vigueur pour la Suisse le 1er feacutevrier 1998 Les
parties signataires srsquoengagent agrave appliquer les regravegles fixeacutees par la convention aux fichiers et
aux traitements automatiseacutes de donneacutees agrave caractegravere personnel tant dans les secteurs publics
que priveacutes Ses normes ne sont toutefois pas directement applicables (self-executing) et les
individus ne peuvent donc pas en tirer directement des droits La mise agrave jour de cette
Convention et la modernisation des principes eacutenonceacutes figurent dans la directive europeacuteenne
de 1995 sur la protection des donneacutees sous la forme du regraveglement geacuteneacuteral sur la protection
des donneacutees (RGPD) En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement
applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux programmes de
deacutepistage du cancer en Suisse
B Bases leacutegales feacutedeacuterales
Cette section eacutenumegravere et deacutecrit briegravevement lrsquoensemble des lois feacutedeacuterales qui traitent drsquoune
maniegravere ou drsquoune autre des donneacutees meacutedicales Il est toutefois preacuteciseacute que la LPD demeure
le principal texte applicable notamment car il sert geacuteneacuteralement de modegravele aux cantons
eacutelaborant leur leacutegislation en matiegravere de protection des donneacutees par des autoriteacutes cantonales
Constitution feacutedeacuterale (art 13) RS 101 la Constitution feacutedeacuterale accorde agrave toute personne le
droit fondamental laquo drsquoecirctre proteacutegeacutee contre lrsquoemploi abusif des donneacutees qui la concernent raquo
(art 13 al 2 Cst) Elle garantit ainsi le droit agrave lrsquoautodeacutetermination en matiegravere drsquoinformation ce
qui signifie que tout individu a fondamentalement le droit de deacuteterminer lui-mecircme quand et agrave
qui il entend reacuteveacuteler des faits personnels le concernant57 Les Constitutions cantonales
contiennent des dispositions similaires (art 21 constitution genevoise art 12 constitution
fribourgeoise art 15 constitution vaudoise art 18 constitution bernoisehellip etc)
Loi feacutedeacuterale du 19 juin 1992 sur la protection des donneacutees (LPD) RS 2351 et
Ordonnance du 14 juin 1993 relative agrave la loi feacutedeacuterale sur la protection des donneacutees
(OLPD) RS 23511 la loi feacutedeacuterale sur la protection des donneacutees srsquoapplique agrave lrsquoensemble des
traitements de donneacutees personnelles effectueacutes par lrsquoadministration feacutedeacuterale ou par les
personnes priveacutees Elle ne concerne donc a priori pas les programmes cantonaux qui sont
soumis aux lois cantonales sur la protection des donneacutees Les donneacutees concernant la santeacute ndash
notes sur le deacuteroulement drsquoun traitement descriptions de symptocircmes diagnostics reacutesultats
drsquoanalyses ou radiographies ndash sont des donneacutees sensibles dont le traitement neacutecessite une
protection speacuteciale Ce document se base principalement sur la LPD
Loi sur lrsquoenregistrement des maladies oncologiques (LEMO) RS 81833 et son
ordonnance (OEMO) RS 818331 les donneacutees figurant dans les registres cantonaux des
tumeurs seront transmises agrave un organe national denregistrement du cancer financeacute par la
Confeacutedeacuteration qui sera chargeacute de les regrouper de les eacutevaluer et de les publier A lavenir un
ensemble minimal de donneacutees comprenant notamment le diagnostic preacutecis la date agrave laquelle
57 KienerKaumllin Grundrechte Berne 2007 p158
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 24 de 30
il a eacuteteacute poseacute et celle agrave laquelle le traitement a deacutebuteacute sera collecteacute pour chaque cas Le patient
dispose des droits suivants quant agrave la protection des donneacutees droit agrave lrsquoinformation (art 5)
droit drsquoopposition (art 6) droit drsquoobtenir un soutien et drsquoacceacuteder aux donneacutees (art 7)
Loi sur la radioprotection (LRaP) RS 81450 cette loi preacutevoit que le meacutedecin chargeacute
deffectuer un examen communique agrave lautoriteacute de surveillance les donneacutees neacutecessaires agrave la
surveillance meacutedicale et agrave leacutetablissement de statistiques (art 14 LRaP)
Loi sur dossier eacutelectronique du patient (LDEP) RS 8161 et autres lois agrave venir dans le
domaine eHealth cette loi rappelle le principe du consentement libre et eacuteclaireacute du patient
quant au traitement de ses donneacutees (art 3) ainsi que le droit drsquoaccegraves du patient aux donneacutees
le concernant (art 4) Des normes cantonales et feacutedeacuterales dans le domaine de lrsquoeHealth vont
encore voir le jour avec des effets probables dans le domaine de la protection des donneacutees
Il faut suivre les deacuteveloppements dans ce domaine avec attention Le deacutelai de mise en œuvre
eacutechoit en avril 2020 pour les hocircpitaux Les meacutedecins en cabinet priveacute ne sont pas obligeacutes
drsquooffrir agrave leurs patient un dossier eacutelectronique
Loi feacutedeacuterale relative agrave la recherche sur lrsquoecirctre humain (LRH) RS 81030 et art 321 Code
peacutenal suisse RS 3110 cette loi contient des dispositions sur la transparence et la protection
des donneacutees La question est de savoir si la loi sur la recherche a des effets dans le domaine
du deacutepistage58 La recherche est deacutefinie agrave lrsquoart 3 comme eacutetant la recherche meacutethodologique
visant agrave obtenir des connaissances geacuteneacuteralisables pratiqueacutee notamment sur les donneacutees
personnelles lieacutees agrave la santeacute Dans ce sens le deacutepistage peut ecirctre consideacutereacute comme de la
recherche59 De mecircme les donneacutees qui ont eacuteteacute obtenues dans le cadre du programme et qui
sont utiliseacutees pour obtenir de nouvelles connaissances constitueraient eacutegalement de la
recherche et les dispositions de la loi sur la recherche seraient alors applicables60
Loi feacutedeacuterale sur lrsquoassurance maladie (LAMal) RS 83210 les assureurs doivent prendre
les mesures techniques et organisationnelles neacutecessaires pour garantir la protection des
donneacutees (art 84b) et avoir des regraveglements de traitement des donneacutees conformes agrave la LPD
Code peacutenal art 321 Les donneacutees de patients ne peuvent ecirctre communiqueacutees agrave des tiers que
si le patient libegravere le meacutedecin de son devoir de discreacutetion ou que la loi le permet Lrsquoobligation
de garder le secret en vertu du code peacutenal (art 321 CP) ne vaut que pour les professions
mentionneacutees dans celui-ci crsquoest-agrave-dire les meacutedecins et leurs auxiliaires Les infirmiers et
assistants meacutedicaux peuvent ecirctre consideacutereacutes comme des auxiliaires Une violation de
lrsquoobligation de garder le secret peut entraicircner une poursuite peacutenale sur plainte du leacuteseacute
Ordonnance sur la garantie de la qualiteacute des programmes de deacutepistage du cancer du
sein reacutealiseacute par mammographie RS 8321024 cette ordonnance fixe les conditions
minimales que doivent remplir les Programmes mais ne contient pas drsquoarticle speacutecifique en
matiegravere de protection des donneacutees
C Bases leacutegales cantonales
Lois cantonales sur la protection des donneacutees presque chaque canton dispose drsquoune loi
cantonale sur la protection des donneacutees Les lois cantonales sur la protection des donneacutees
reacuteglementent le traitement des donneacutees par des autoriteacutes cantonales dont font partie entre
autres les programmes de deacutepistage Ces bases leacutegales srsquoappliquent agrave lrsquoensemble des
autoriteacutes cantonales et ne sont donc pas speacutecialement conccedilues pour le traitement de donneacutees
58 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 59 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5 60 Bericht Datenschutz Brustkrebs-Fruumlherkennungsprogramme in der Schweiz p5
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 25 de 30
meacutedicales Elles eacutenoncent des grands principes de protection des donneacutees ainsi que des droits
aux individus dont les donneacutees sont traiteacutees par les autoriteacutes Il est du devoir des Programmes
en collaboration avec le Preacuteposeacute cantonal agrave la protection des donneacutees dassurer la protection
des donneacutees et le respect de la reacuteglementation au niveau cantonal
Les diffeacuterentes lois cantonales
httpwwwprivatimchdeinternaldatenschutzgesetzgebung-kantone
Lois et ordonnances cantonales sur la santeacute les lois cantonales sur la santeacute et leurs
ordonnances peuvent contenir des dispositions sur le deacutepistage du cancer et sur la protection
des donneacutees notamment sur le dossier meacutedical du patient Il existe parfois une ordonnance
speacutecifique concernant le programme cantonal de deacutepistage (par exemple agrave Fribourg)
D Soft law
Il srsquoagit des directives des bonnes pratiques ou des normes de qualiteacute qui sont applicables en
Suisse sans toutefois avoir force leacutegale
Normes de qualiteacute pour le deacutepistage organiseacute du cancer du sein en Suisse (2014) ces
normes de la Ligue suisse contre le cancer contiennent des dispositions sur la conservation
et lrsquoarchivage des mammographies (p6 sectd) lrsquoaccegraves aux donneacutees deacutemographiques pour les
Programmes (p7 secto et sects) lrsquoapplicabiliteacute de la loi sur la protection des donneacutees (p7 sectr)
lrsquoeacutechange de donneacutees (p8 sectt) le controcircle de la qualiteacute des donneacutees (p10 sectk et p11 sectc)
European guidelines for quality assurance in breast cancer deacutepistage and
diagnosis Fourth Edition le document rappelle que selon la directive 9546EC pour le
controcircle de la collecte de donneacutees la protection des donneacutees personnelles est un droit
fondamental de tout citoyen de lrsquoUE61 Les lignes directrices europeacuteennes preacutecisent que la
lettre drsquoinvitation au Programme doit contenir des informations sur la protection des donneacutees
et la confidentialiteacute62 Le document insiste sur lrsquoattention qui doit ecirctre porteacutee aux regravegles de
protection des donneacutees lors de lrsquoimpleacutementation drsquoun Programme (p398) lors de la collecte
lrsquoenregistrement la gestion et lrsquoeacutevaluation des donneacutees (p399) et dans le cadre du monitorage
(p399)
European guidelines for quality assurance in colorectal cancer deacutepistage and
diagnosis First Edition le document demande une protection adeacutequate de toute donneacutee
personnelle traiteacutee dans le cadre du Programme ainsi que le respect des directives
europeacuteennes concernant la protection des donneacutees et des leacutegislations nationales (p56)
Lrsquoaccegraves aux registres de population requiert une base leacutegale (p42)
61 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p18 62 European guidelines for quality assurance in breast cancer screening and diagnosis Fourth edition p388
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 26 de 30
Annexe III Principes fondamentaux et droits des personnes
En Suisse la protection contre le traitement abusif des donneacutees personnelles est ancreacutee dans
la Constitution feacutedeacuterale et est ensuite preacuteciseacutee dans une multitude de textes leacutegaux et de
recommandations
Elle a pris une grande importance dans le domaine de la santeacute car laquo plus les services
eacutelectroniques de santeacute sont deacuteveloppeacutes plus les donneacutees doivent ecirctre seacutecuriseacutees et
disponibles rapidement (hellip) Le traitement de donneacutees meacutedicales implique une intervention
dans les droits fondamentaux et les droits de la personnaliteacute des personnes concerneacutees (p
ex les patients) Pour que lrsquointervention soit leacutegitime des mesures leacutegales organisationnelles
et techniques doivent ecirctre prises La qualiteacute de ces mesures a une forte influence sur la
confiance que lrsquoon accorde aux services eacutelectroniques de santeacute raquo
La preacutesente section est diviseacutee en deux parties La premiegravere reacutecapitule les principes qui sont
eacutenonceacutes ou deacutecoulent de la leacutegislation suisse La seconde reacutesume les principaux droits des
personnes concerneacutees
Principes fondamentaux
Principe de liciteacute de la collecte (art 4 al 1 LPD) tout traitement de donneacutees doit ecirctre licite
Lorsque le traitement est effectueacute par une autoriteacute publique il est licite srsquoil est permis par une
loi (base leacutegale) ou srsquoil est autoriseacute par le consentement explicite de la personne concerneacutee
Dans de plus rares cas une troisiegraveme justification envisageable peut tenir agrave un inteacuterecirct public
ou priveacute preacutepondeacuterant
Principe de proportionnaliteacute (art 4 al 2 LPD) mecircme si le traitement repose sur une base
leacutegale ou sur le consentement de la personne63 il doit ecirctre effectueacute conformeacutement aux
principes de la proportionnaliteacute et de la bonne foi Seules peuvent ecirctre collecteacutees les donneacutees
personnelles utiles et neacutecessaires agrave atteindre un but deacutetermineacute Le principe de proportionnaliteacute
entre notamment en compte dans le choix et lrsquoampleur des variables collecteacutees
Principe de finaliteacute (art 4 al 3 LPD) les donneacutees personnelles ne doivent ecirctre traiteacutees que
dans le but speacutecifiquement indiqueacute aux personnes qui les fournissent au stade de leur collecte
En drsquoautres termes les personnes concerneacutees doivent savoir dans quel but des questions leur
sont poseacutees et agrave quoi vont servir les reacuteponses alors fournies Dans des cas plus rares il est
eacutegalement possible de traiter des donneacutees dans le but requis ou permis par une loi64
Principe drsquoexactitude (art 5 al 1 LPD) celui qui traite des donneacutees personnelles doit srsquoassurer qursquoelles sont correctes Il prend toute mesure approprieacutee permettant deffacer ou de rectifier les donneacutees inexactes ou incomplegravetes au regard des finaliteacutes pour lesquelles elles sont collecteacutees ou traiteacutees
Droits des personnes
Droit drsquoaccegraves laquo La LPD accorde agrave toute personne le droit de savoir si des donneacutees et le cas
eacutecheacuteant quelles donneacutees la concernant sont traiteacutees Ainsi la personne est mise en position
drsquoexercer un certain controcircle sur son droit au respect de sa vie priveacutee et de son
63 Art 4 al 1 LPD (disposition reacuteviseacutee en vigueur depuis janvier 2008) Ameacutedeacuteo Wermelinger Daniel Schweri
laquoTeilrevision des Eidegnoumlssischen Datenschutrechts ndash Es nuumltzt nicht viel schadetes etwasraquo in Jusletter 3 mars 2008 ch 10 64 FMH Bases juridiques pour le quotidien du meacutedecin Un guide pratique p 104
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 27 de 30
autodeacutetermination informationnelle Sa demande nrsquoa pas besoin drsquoecirctre motiveacutee Elle est
adresseacutee au maicirctre du fichier Elle peut lrsquoecirctre par voie postale par voie eacutelectronique ou en
personne pour autant que le maicirctre puisse veacuterifier correctement lrsquoidentiteacute de la personne En
principe le maicirctre du fichier doit reacutepondre dans les 30 jours et doit fournir gratuitement les
donneacutees requises Exceptionnellement si le maicirctre du fichier refuse il doit motiver sa deacutecision
httpswwwedoebadminchedoebfrhomeprotection-des-donneesgeneralitesle-droit-
d_acceshtml
Droit de reacutevocation du consentement Chaque personne qui a eacuteteacute ameneacutee agrave consentir au
traitement de ses donneacutees peut reacutevoquer son consentement audit traitement Cette reacutevocation
peut ecirctre communiqueacutee en tout temps Elle peut intervenir par eacutecrit ou par oral Le maicirctre du
fichier doit srsquoassurer qursquoelle eacutemane bien de la personne dont les donneacutees sont traiteacutees Il doit
veacuterifier que la personne exprime reacuteellement sa volonteacute libre et eacuteclaireacutee La reacutevocation du
consentement signifie que le maicirctre du fichier ne peut plus agrave partir de ce moment invoquer le
consentement comme motif justifiant la liceacuteiteacute du traitement Les traitements effectueacutes avant
la reacutevocation restent conformes au droit Le maicirctre du fichier qui entend continuer agrave traiter les
donneacutees (y compris les stocker) apregraves la reacutevocation doit pouvoir invoquer un autre motif
justificatif (p ex une base leacutegale un inteacuterecirct priveacute preacutepondeacuterant)
Droit de rectifier les donneacutees incorrectes Chaque personne dont les donneacutees personnelles
sont traiteacutees peut demander agrave ce que laquo ses raquo donneacutees incorrectes soient corrigeacutees Ce droit
couvre aussi les donneacutees consideacutereacutees incomplegravetes La personne concerneacutee adresse sa
demande au maicirctre du fichier Si les donneacutees sont inexactes le maicirctre du fichier est tenu de
les corriger pour qursquoelles soient doreacutenavant correctes Si les donneacutees sont incomplegravetes et donc
susceptibles drsquoinduire en erreur le maicirctre du fichier est tenu de les compleacuteter La correction
ou le compleacutement doit intervenir sans frais pour la personne concerneacutee en principe dans les
30 jours De nouveau lrsquoidentiteacute de la personne demandant la rectification doit ecirctre
correctement veacuterifieacutee
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 28 de 30
Annexe IV Modegraveles destineacutes aux participants
Brochures drsquoinformation et flyers
Cancer du sein httpswwwswisscancerscreeningchkrebs-
frueherkennungbrustbroschueren-und-flyer
Cancer du cocirclon httpswwwswisscancerscreeningchid=278
Annexe V Monitorage national
Indicateurs de participation Couverture par invitation [] Taux de participation agrave un an []
Taux de participation en premiegravere invitation agrave 12 mois [] Taux de fideacutelisation []
Indicateurs de performances Taux de deacutetection du cancer [11000] Taux des rappels
[11000] Taux de faux positifs [11000] Valeur preacutedictive positive []
Indicateur de pronostic Taux de cancer invasif [] Taux de DCIS [] Stades preacutecoces [
] Cancers Stades avanceacutes [ ]
Annexe VI Table des matiegraveres pour les Directives de protection des donneacutees propres
agrave chaque programme
1 Reacutesumeacute
2 Bases leacutegales cantonales autorisant le traitement de donneacutees personnelles
3 Workflow du Programme
4 Identification des eacutetapes avec un risque de bregraveche de seacutecuriteacuterisque accru pour la
protection des donneacutees (particuliegraverement si les donneacutees sont envoyeacutees par drsquoautres
biais que MC-SIS)
5 SOP-1-4 ainsi que la politique de mise agrave jour
6 Politique drsquoaccegraves aux locaux politique de gestion des documents eacutecrits (notamment
les formulaires papier remplis par les participants) politique de gestion des
imprimantes et accegraves des visiteurs aux locaux
7 Politique de sensibilisation des collaborateurs
8 Politique drsquoeacutechange des donneacutees entre autres avec le registre des tumeurs ou par le
biais drsquoautres canaux que MC-SIS (p ex cleacute USB etc)
9 Dureacutee de conservation des donneacutees et proceacutedure drsquoeffacement
10 Annonce du fichier au Preacuteposeacute agrave la protection des donneacutees
Annexes
11 Contrats avec des tiers (instituts prestataires externes)
12 Modegravele de lettre drsquoinvitation
13 Modegravele du formulaire de consentement
14 Brochure drsquoinformation
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 29 de 30
Annexe VII Set minimal de Standard Operating Procedures (SOP) et annexes en lien
avec la protection des donneacutees
SOP-1 Proceacutedure en cas dacquisition systeacutematique de donneacutees suppleacutementaires
SOP-2 Proceacutedure de veacuterification des donneacutees collecteacutees
SOP-3 Description des proceacutedeacutes drsquoactualisation et de controcircle de la matrice des droits
drsquoaccegraves
Matrice des droits Matrice des droits drsquoaccegraves au systegraveme MC-SIS et aux locaux
comprenant une liste nominative du personnel et de ses tacircches
SOP-4 Proceacutedure reacuteglant le traitement des demandes daccegraves des personnes
concerneacutees
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures
Protection des donneacutees septembre 2019 Page 30 de 30
Annexe VIII Abreacuteviations courantes
CDI Conseils et deacuteveloppements informatiques SA
Cst Constitution feacutedeacuterale de la Confeacutedeacuteration suisse
Directive_PD Document ougrave le Programme consigne sa politique lieacutee agrave la protection des donneacutees
Test FIT Fecal immunochemical test
FMH Feacutedeacuteration des meacutedecins suisses
Institut Institut de radiologie ou de gastroenteacuterologie qui collabore avec
les Programmes
LAMal Loi feacutedeacuterale sur lassurance maladie (RS 83210)
LEMO Loi feacutedeacuterale sur lrsquoenregistrement des maladies oncologiques (RS
81833)
LPD Loi feacutedeacuterale sur la protection des donneacutees (RS 2351)
LPGA Loi feacutedeacuterale sur la partie geacuteneacuterale du droit des assurances
sociales (RS 8301)
LRH Loi feacutedeacuterale relative agrave la recherche sur lecirctre humain (RS 81030)
MC-SIS Multi-Cancer Deacutepistage Information-System
OEMO Ordonnance sur lrsquoenregistrement des maladies oncologiques (RS
818331)
OFS Office feacutedeacuteral de la statistique
OFSP Office feacutedeacuteral de la santeacute publique
OPAS Ordonnance sur les prestations de lassurance des soins (RS
83211231)
PFPDT Preacuteposeacute feacutedeacuteral agrave la protection des donneacutees et agrave la transparence
RGDP
Regraveglement geacuteneacuteral sur la protection des donneacutees En tant que reacuteglementation europeacuteenne le RGPD est obligatoirement applicable agrave lrsquoensemble de lrsquoUnion europeacuteenne Il ne srsquoapplique pas aux Programmes de deacutepistage du cancer en Suisse
SCS Swiss Cancer Screening
SOP Standard operating procedures