Questions et réponses relatives à la mise en œuvre

Au fur et à mesure de son avancée, la mise en œuvre du DEP soulève des questions de plus en plus concrètes. Les futures communautés, en particulier, veulent savoir comment doivent s’interpréter les prescriptions de la loi et du droit d’exécution de la LDEP. Un florilège de questions et de réponses sur ce thème est disponible ici.

Contenus du DEP

Quelle est la différence entre le dossier médical électronique et le DEP ?

Le dossier médical électronique constitue la documentation interne du professionnel de la santé (système primaire). Il s’agit donc des données qui sont, par exemple, stockées par le médecin ou ses collaborateurs dans le propre système d’information de l’hôpital ou du cabinet à l’occasion d’une consultation. En ce qui concerne le DEP, les données et les documents importants pour la suite du traitement et le suivi sont mis à la disposition d’autres professionnels de la santé, après que le patient a donné son consentement (système secondaire). Cette compilation des principales données déterminantes pour le traitement est utilisée pour l’échange d’informations entre les différents professionnels de la santé. Elle est constituée d’un sous-ensemble de données et / ou de documents stockés dans les différents systèmes d’information de l’hôpital ou du cabinet. Le DEP ne dispense pas les professionnels de la santé d’assurer la documentation médicale concernant leurs patients (cf. la fiche d’information « La différence entre dossier médical électronique et dossier électronique du patient »).

Qui veille à ce que les données enregistrées dans le DEP soient actuelles et pertinentes et à ce que le dossier reste lisible ?

Le DEP appartient au patient. Ce dernier est donc responsable de sa tenue. Il peut agir lui-même sur divers éléments tels que les droits d’accès et les niveaux de confidentialité. En outre, il est possible de classer ou de filtrer les documents selon différents critères, tels que le lieu d’émission (p. ex. nom de l’hôpital) ou la discipline médicale (p. ex. chirurgie).

S’agissant de la gestion du DEP, il est probable que plusieurs modèles se développent ces prochaines années plutôt qu’une solution unique. Il est par exemple envisageable que les communautés et les communautés de référence ainsi que leurs professionnels de la santé proposent la gestion du DEP comme prestation. Dans un tel modèle, la prestation devrait toutefois être financée par les communautés et les communautés de référence et non par l’AOS (voir aussi la question « Dédommagement des charges pour les professionnels de la santé »).

Quels sont les contenus devant figurer dans le DEP ?

Selon la LDEP, le dossier électronique du patient doit être constitué de données et de documents importants pour les professionnels de la santé impliqués dans la poursuite du traitement. Les informations et données jugées pertinentes pour le traitement dépendent du cas particulier et des antécédents respectifs d’un patient. Ce sont généralement les médecins traitants qui décident quelles données pourraient être pertinentes pour la suite du traitement (cf. la fiche d’information « Informations pertinentes pour le traitement dans le DEP ». Ces informations représentent donc un sous-ensemble des documents et données stockés dans les systèmes d’information des professionnels de la santé.

Les professionnels de la santé devront-ils dorénavant tenir deux dossiers, à savoir le dossier médical dans leur propre système d’information et le DEP ?

Non, le DEP vise avant tout à rendre accessibles à d’autres professionnels de la santé les informations requises pour le traitement et provenant de la documentation médicale existante. Le travail des professionnels de la santé se limite donc à la saisie des documents disponibles dans le DEP. L’envoi selon une forme classique (poste, fax, courriel) est superflu. Aussi la réalisation technique doit-elle viser la plus grande convivialité et efficacité possible.

Faut-il saisir les documents de façon rétroactive dans le DEP ?

Selon la LDEP, le contenu du dossier électronique du patient consiste en informations significatives pour le traitement subséquent. C’est généralement valable pour les documents actuels. On a renoncé à exiger des communautés et communautés de référence qu’elles saisissent rétroactivement les documents dans le DEP.

Ainsi, la présomption légale relative à la saisie de documents se réfère uniquement aux documents qui ont été créés :

  • après qu’un professionnel de la santé s’est affilié à une communauté (de référence) certifiée ; et que
  • le patient a ouvert un DEP.

Les communautés (de référence) sont libres de proposer la saisie de documents plus anciens. Dans ce cas, elles doivent, d’une part, y obliger leurs membres et, d’autre part, elles doivent informer le patient de cette possibilité et obtenir leur autorisation de saisie. Ce consentement peut avoir lieu séparément ou dans le cadre de l’autorisation relative à l’établissement du DEP.

Existe-t-il des dispositions légales relatives au délai durant lequel des don-nées jugées pertinentes pour le traitement doivent être saisies dans le DEP ?

Non. Les communautés et communautés de référence doivent garantir qu’en cas de traitement, les données dans le DEP jugées pertinentes pour le traitement subséquent soient saisies dans le DEP (art. 10, al. 1, let. a, LDEP). Cette disposition n’est pas concrétisée plus avant dans les dispositions d’exécution :il n’est pas non plus prévu de la compléter dans la 1re révision des dispositions d’exécution. 

Il incombe ainsi aux communautés (de référence) d’élaborer une directive ou une politique interne pour la saisie de données dans le DEP et d’exiger des institutions de santé qu’elles s’engagent contractuellement à la respecter. À cet égard, il faut prendre en compte que les délais soient choisis de telle sorte qu’ils n’aillent pas à l’encontre des objectifs du DEP (soutien des processus de traitement, encouragement de la sécurité du patient, amélioration de la qualité de traitement, etc.). Cependant, des règlements spécifiques sont prévus pour la saisie de données sensibles que le patient ne devrait pas consulter sans entretien d’accompagnement avec un professionnel de la santé.

Comment détruire les données médicales saisies dans le DEP ?

Le patient peut exiger à tout moment la suppression ou la destruction de certaines données médicales saisies dans le DEP (art. 10, al. 2, let. c, ODEP et ch. 2.7, let. c de l’annexe 2 de l’ODEP-DFI [conditions de certification pour les communautés et communautés de référence]). Actuellement, il n’existe encore aucun profil d’intégration IHE adopté au niveau international qui permet une destruction automatisée de données dans les sauvegardes de données décentralisées des communautés de référence du patient, à plus forte raison dans les sauvegardes de données décentralisées d’autres communautés (de référence). La transaction « Delete Document Set » [ITI-62] du profil d’intégration IHE XDS Metadata Update (cf. ch. 2.9.13, let. b, de l’annexe 2 de l’ODEP-DFI) conduit uniquement à une suppression de l’entrée dans le registre de documents et non à une destruction des données dans la sauvegarde de données décentralisées. Un profil d’intégration sera probablement à disposition à partir de 2020 au niveau international, qui permettra également la destruction automatisée des documents dans les sauvegardes de données décentralisées. L’organisme eHealth Suisse s’efforcera de l’adapter aussi vite que possible aux particularités nationales en Suisse. Toutefois, tant qu’on n’aura pas encore intégré ces dernières dans les dispositions d’exécution relatives à la LDEP, les communautés (de référence) devront fixer des procédures organisationnelles pour mettre en œuvre les exigences découlant de l’art. 10, al. 2, let. c, ODEP.

Les communautés peuvent-elles enregistrer certains documents uniquement dans le système secondaire du DEP et non dans le système primaire d’un professionnel de la santé (p. ex. plans de traitement partagés, ordonnances interdisciplinaires) ?

Non, la LDEP se base sur un dossier virtuel du patient et sur une gestion décentralisée des données. Le DEP n’est pas le dossier médical. Autrement dit, le DEP ne contient aucun document original. Il renvoie simplement aux lieux de stockage respectifs des données par le biais d’un registre de documents, soit directement aux systèmes de stockage des professionnels de la santé, soit aux systèmes de stockage des documents internes aux communautés.

Le système de stockage des documents internes aux communautés est une composante décentralisée du DEP qui se situe en amont du système primaire (documentation interne d’un médecin traitant). Cette composante est nécessaire parce que les données du DEP ont leurs propres métadonnées et règles d’exploitation (p. ex. délai de suppression) et afin de pouvoir disposer 24 heures sur 24 des données mises à disposition du dossier électronique du patient, même lorsque les systèmes primaires des professionnels de la santé sont éteints durant la nuit ou le week-end (cf. la fiche d’information « La différence entre dossier médical électronique et dossier électronique du patient »).

Dans quelle mesure l’utilisation des formats d’échange qui seront définis dans l'annexe 4 de l’ODEP-DFI est-elle obligatoire ?

Lors de la première phase de l’introduction du DEP, les données sur la médication ou sur les vaccins administrés peuvent être saisies dans le DEP soit sous la forme d’un document PDF standard, soit en tant que données médicales structurées sous la forme de ce qu’on appelle communément des formats d’échange. Dès lors que les données sont saisies sous une forme structurée, seuls les formats d’échange des informations pertinentes définis dans l’annexe 4 de l’ODEP-DFI peuvent être utilisés. Le but est d’éviter l’utilisation de différentes formes de données médicales structurées n'assurant pas une interopérabilité.

Le système de stockage des documents internes aux communautés est une composante décentralisée du DEP qui se situe en amont du système primaire (documentation interne d’un médecin traitant). Cette composante est nécessaire parce que les données du DEP ont leurs propres métadonnées et règles d’exploitation (p. ex. délai de suppression) et afin de pouvoir disposer 24 heures sur 24 des données mises à disposition du dossier électronique du patient, même lorsque les systèmes primaires des professionnels de la santé sont éteints durant la nuit ou le week-end.

Sous quelle forme le patient reçoit-il les informations des formats d’échange ?

Le patient reçoit les contenus soit sous forme brute (c’est-à-dire sans qu’ils aient été préalablement traités), soit en tant que document édité (comme le ferait un navigateur web qui rend le langage HTML lisible pour l’utilisateur). Autant le portail pour les professionnels de la santé que le portail d’accès pour les patients doivent afficher de façon correcte et complète des données structurées et lisibles par l’être humain (cf. ch. 3.3, let. d et ch. 9.4.2, annexe 2, ODEP-DFI). Il incombe aux prestataires techniques de déterminer comment cette disposition sera mise en œuvre.

Accès au DEP

Qui a accès aux contenus du dossier électronique du patient ?

Qui a accès aux contenus du dossier électronique du patient ?

En principe, seuls les professionnels de la santé auxquels le patient a accordé un droit d’accès peuvent consulter le DEP. Les documents consultables dépendent du niveau d’accès attribué et du niveau de confidentialité du document.

Les assistants au cabinet médical ou les aides en pharmacie ont-ils également accès aux contenus du DEP ?

Oui. Les professionnels de la santé peuvent faire appel à d’autres personnes pour pouvoir traiter les données et les documents dans le DEP. Ces personnes sont définies à l’art. 101 CO comme des « auxiliaires ».

Les auxiliaires agissent toujours au nom et sur mandat du professionnel de la santé responsable ; celui-ci peut les charger d’accéder au DEP. Ils peuvent ainsi avoir le même accès au DEP que le professionnel de la santé duquel ils relèvent.

Le traitement des données par l’auxiliaire fait l’objet du même protocole que celui des professionnels de la santé. Il est donc possible de retracer quelle personne a eu accès au DEP dans le cadre d’un mandat donné.

Qui est considéré comme professionnel de la santé dans le système du DEP ?

Afin d’être considéré comme professionnel de la santé, il faut disposer de la qualification professionnelle et être intégré dans le contexte du traitement (art. 2, let. b, LDEP).

Le contrôle permettant de savoir si une personne dispose de la qualification professionnelle pour devenir professionnel de la santé s’effectue généralement par le biais d’un registre professionnel fédéral ou cantonal. Le spectre est large et s’étend du médecin et du pharmacien à l’opticien, à la soignante, à l’ambulancier et à la masseuse médicale, en passant par la psychothérapeute, la sage-femme et le diététicien (cf. la fiche d’information « Qui peut avoir accès au DEP ? »).

Un assureur-maladie peut-il se procurer un accès au contenu du DEP par le biais d’un modèle d’assurance ?

Non. Seuls les membres d’une communauté (de référence) certifiée ont accès aux données du dossier électronique du patient. Conformément à la LDEP, il peut s’agir exclusivement de professionnels de la santé et de leurs institutions. Même les professionnels de la santé n’ont accès que si le patient leur en a accordé le droit et qu’ils participent au traitement actuel. Les collaborateurs d’une assurance-maladie ne satisfont pas aux critères d’accès au DEP :

 

  • ils ne participent pas au traitement du patient ;
  • ils ne peuvent donc pas être membres d’une communauté (de référence).

Un médecin-conseil peut-il accéder au contenu du dossier électronique du patient en sa qualité de professionnel de la santé ?

Un médecin-conseil des assureurs maladie n’est pas un professionnel de la santé au sens de la LDEP. Il ne participe pas au traitement du patient et ne peut donc pas s’affilier à une communauté (de référence) certifiée (cf. la fiche d’information « Qui peut avoir accès au DEP ? »). Le processus de demande des documents par le médecin-conseil est réglé dans la LAMal et ne dépend pas de la disponibilité d’un dossier électronique du patient.

Cette question ne pose pas de problème pour les médecins-conseil qui exercent cette fonction à plein temps. En revanche, un médecin qui travaille comme médecin-conseil à titre accessoire peut s’affilier à une communauté (de référence) comme professionnel de la santé au sens de la LDEP et sera potentiellement autorisé à accéder à un DEP (exemple : médecin de famille avec fonction de médecin-conseil à titre accessoire). Un tel médecin doit cependant séparer les deux rôles de façon stricte ; il est responsable de ne pas utiliser le système DEP en sa fonction de médecin-conseil.

Qu’en est-il des experts AI et des gestionnaires de cas ?

Il en va de même pour les experts AI et les gestionnaires de cas. Ils ne peuvent pas adhérer à une communauté (de référence) et ne reçoivent aucun accès au DEP.

Les experts AI et les gestionnaires de cas à titre accessoire qui ont accès au DEP dans leur fonction principale ou comme médecin de famille doivent cependant séparer leurs rôles de façon stricte et sont responsables de ne pas utiliser le système DEP en leur fonction accessoire.

Un professionnel de la santé qui dépose un document dans le DEP d’un patient peut-il consulter son DEP également sans droit d’accès ?

Non. Contrairement à la mise à disposition, un accès au DEP (et par conséquent également au document mis à disposition) n’est possible qu’avec un droit d’accès attribué par le patient. Les professionnels de la santé qui saisissent des données médicales dans le DEP, mais qui ne disposent d’aucun droit d’accès au DEP correspondant, ne reçoivent pas de droit d’accès au dossier par la mise à disposition de données dans le DEP. Autrement dit, ils doivent garantir eux-mêmes de manière appropriée qu’ils peuvent le vérifier – p. ex. lors d’incertitudes concernant la version d’un document mise à disposition – par le biais de leur système primaire (p. ex. leur système de cabinet ou d’hôpital). Les accès à un DEP sans droit d’accès préalablement attribué sont autorisés exclusivement dans des situations d’urgence médicale. Les patients sont informés de tels accès.

Ouverture d’un DEP

Les patients peuvent-ils consentir à l’établissement d’un dossier électronique par voie électronique ?

 L’art. 3, al. 1, LDEP impose de recueillir un consentement par écrit avant de créer un dossier électronique du patient. Un consentement établi par voie électronique est considéré de forme écrite dans la mesure où il est signé au moyen d’une signature électronique conforme aux exigences du Code des obligations (art. 14, al. 2bis, CO).

Il faut demander le consentement du patient pour l’ouverture d’un DEP. Quels sont les points à prendre en compte pour le consentement ?

Les points suivants doivent être respectés pour demander le consentement du patient à l’ouverture d’un DEP :

  • la déclaration de consentement est rédigée de manière compréhensible et comprend toutes les informations importantes ;
  • le consentement est le résultat d’un acte explicite et délibéré du patient ;
  • le consentement est consigné dans un procès-verbal ;
  • le patient doit pouvoir consulter en tout temps le contenu du consentement ;

L’information et le consentement du patient font partie des conditions de certification techniques et organisationnelles d’une communauté (cf. annexe 2 relative à l’ODEP-DFI, chapitres 6 et 7, sur l’indemnisation, voir aussi la question « Dédommagement des charges pour les professionnels de la santé »).

Des patients peuvent-ils être désavantagés s’ils n’ouvrent pas de DEP ?

Chaque patient bénéficie en principe du même traitement, qu’il ait ouvert un dossier ou non. Il se peut toutefois que l’absence de certaines données médicales constitue un désavantage sur le plan purement factuel.

Une caisse-maladie peut-elle exiger qu’un patient ouvre un DEP ou qu’il y donne accès ?

Non. La LDEP dispose que l’ouverture d’un DEP requiert le libre consentement du patient. Une caisse-maladie ne peut pas « contraindre » un patient à ouvrir un DEP sur la base des conditions complémentaires de l’assurance de base. Elle ne peut pas non plus exiger l’accès à un DEP existant. La LDEP dispose que le patient ne peut être contraint de rendre accessibles des données de son dossier électronique (cf. art. 3, al. 4, LDEP).

La surveillance des assureurs proposant l’assurance de base est exercée par l’OFSP. Celui-ci contrôle les plans d’exploitation des caisses-maladie de manière systématique et globale et examine à cet égard également tout lien non autorisé avec le DEP.

Comment gère-t-on l’ouverture et la tenue d’un dossier électronique du patient pour les enfants ?

La LDEP et ses dispositions d’exécution ne contiennent aucune prescription  particulière sur l’ouverture et la tenue d’un dossier électronique du patient pour un enfant. Les conditions de l’autorité parentale sont réglées dans le code civil suisse (droit de représentation général selon l’art. 296 CC). Une aide à la mise en œuvre relative au DEP pour enfants est en cours d’élaboration par eHealth Suisse.

Comment gère-t-on l’ouverture et la tenue d’un dossier électronique du patient pour des personnes incapables de discernement ou d’exercer les droits ci-vils ?

La LDEP et ses dispositions d’exécution ne contiennent aucune prescription  particulière concernant l’ouverture et la tenue d’un dossier électronique du patient pour une personne incapable de discernement ou d’exercer les droits civils. Les conditions afférentes aux personnes incapables de discernement sont réglées dans le code civil suisse (l’« incapacité de discernement » selon l’art. 16 CC et l’« incapacité d’exercer les droits civils » selon l’art. 17 CC). Cf. aussi l’annexe 1 « Représentation des patients ». Une aide à la mise en œuvre du DEP pour les personnes incapables de discernement est en cours d’élaboration par eHealth Suisse.

Existe-t-il dans les dispositions d’exécution relatives à la LDEP des prescriptions sur la manière de mettre en œuvre le retrait de l’accord supposé du patient relatif à la saisie de données médicales dans le DEP ?

Au vu de l’article 3, al. 2, LDEP, on présuppose en cas de traitement que le patient est d’accord pour que l’institution de santé traitante ou le professionnel de la santé saisisse les données pertinentes du traitement dans le DEP. Il n’est donc pas nécessaire d’obtenir un nouveau consentement pour la mise à disposition de chaque document individuel. On peut considérer ce consentement comme implicite. Si le patient désire que certaines données médicales ne soient pas saisies dans le DEP lors d’un traitement, il doit être actif et le faire connaître explicitement et avant le début du traitement à l’institution de santé ou au professionnel de la santé. Les communautés et communautés de référence doivent prévoir des procédures organisationnelles (ou techniques) afin de savoir comment procéder dans ce cas de figure (art. 10, al. 2, let. a, ODEP et ch. 2.7, let. a, de l’annexe 2 de l’ODEP-DFI [conditions de certification pour les communautés et les communautés de référence]). À cet égard, il faut en particulier fixer une procédure sur la manière de procéder lorsque le patient désire que certains documents produits lors d’un traitement ne soient pas saisis dans le DEP.

Dans le cas où le patient décide ultérieurement qu’il ne souhaite pas que certains documents se trouvent dans son DEP, mais que ceux-ci sont déjà saisis, il peut les supprimer.

Les entrées émanant du patient lui-même sont-elles signalées en tant que telles dans le DEP ?

Oui, elles sont automatiquement signalées. Les dispositions d’exécution en fixent les modalités.

Est-ce-que seul un professionnel de la santé peut informer le patient sur le dossier électronique du patient ?

Non, tant que l’information contient tous les points pertinents et qu’elle est rédigée sous une forme compréhensible, une autre personne (p. ex. l’assistante médicale ou l’administration d’une communauté, etc.) peut également s’en charger.

Qui peut prendre en charge la suppléance d’un DEP ?

Les patients disposant d’un DEP peuvent nommer un suppléant pour leur dossier. La personne désignée n’a pas besoin de propre numéro d’identification ni de propre DEP, mais elle peut uniquement accéder au DEP de la personne représentée par un moyen d’identification individuel émis par un organisme agréé. Il convient également d’informer les suppléants du fonctionnement de base du DEP ainsi que des possibilités, des droits et des tâches en rapport avec l’utilisation du dossier électronique du patient. Afin de respecter les droits de la personnalité représentée, il faut veiller à ce que le droit de suppléance soit accordé conformément aux dispositions de droit civil.

Existe-t-il des formalités relatives à la nomination d’un suppléant par le pa-tient ?

Les dispositions d’exécution ne comportent pas de formalité. Il faut donc observer les règlementations civiles en vigueur – p. ex. les dispositions relatives au droit de la protection de l’enfant et de l’adulte (art. 360-456 CC). Est valable p. ex. pour le mandat pour cause d’inaptitude (art. 360-369 CC), que celui-ci soit signé de main propre et qu’il soit rédigé en la forme authentique. Dans tous les cas, il est judicieux d’organiser le processus d’« enregistrement » de la suppléance de telle sorte que soient documentés par écrit le souhait et la volonté du patient de garantir au suppléant les droits d’accès intégraux à son DEP.

Que faut-il prendre en compte lors d’un changement de communauté de référence ?

Les patients peuvent changer à tout moment de communauté de référence. Les données et documents médicaux déjà rendus accessibles ne sont pas touchés par un changement de communauté de référence et peuvent continuer d’être consultés. La nouvelle communauté de référence doit uniquement reprendre la gestion des droits d’accès. Ces communautés doivent garantir qu’elles peuvent transférer ou reprendre la configuration individuelle de la gestion des autorisations (« policy configuration ») d’un patient d’une autre ou vers une autre communauté de référence.

Comme la configuration de la gestion des autorisations peut être gérée uniquement au sein de la propre communauté de référence, un patient ne peut autoriser que les professionnels de la santé enregistrés dans la même communauté de référence que lui à exercer la transmission des droits d’accès. Lors d’un changement de communauté de référence, il faut donc autoriser, le cas échéant, les professionnels de la santé de la nouvelle communauté de référence. De même, il faut à nouveau enregistrer les suppléants dans la nouvelle communauté de référence (pour l’ensemble de la réponse, cf. ch. 8.5 de l’annexe 2 de l’ODEP-DFI).

Comment le patient doit-il s’identifier lorsqu’il ouvre un DEP ?

Le patient peut établir son identité au moyen de son passeport, de sa carte d’identité ou de son attestation d’établissement, autrement dit d’un document d'identité au sens de la loi fédérale sur les documents d'identité des ressortissants suisses et de la loi fédérale sur les étrangers (cf. explications relatives à l’art. 17 ODEP). Si le patient dispose déjà d’un moyen d’identification d’un éditeur certifié selon la LDEP, il peut s’en servir pour s’identifier. En outre, le patient peut également déposer par voie électronique une demande sur laquelle est apposée une signature électronique qualifiée au sens de la loi sur la signature électronique.

L’identification par vidéo étant admise pour l’émission d’un moyen d’identification certifié (cf. chapitre 13, identité électronique), cette méthode devrait également l’être pour l’ouverture d’un DEP. Il incombe à l’organisme de certification de décider si le processus choisi par la communauté de référence est admissible.

Même si l’annexe 2 de l’ODEP-DFI (« CTO ») ne contient aucune directive à cet égard, il est recommandé de conserver une copie du moyen d’identification, à des fins de preuve.

LDEP et droit cantonal

La LDEP et les dispositions d’exécution y afférentes impliquent-elles de nou-velles tâches pour les cantons ?

La LDEP et les dispositions d’exécution n’engendrent aucune tâche contraignante pour les cantons. Ceux-ci doivent cependant vérifier la compatibilité de leur législation avec la loi et engager, si nécessaire, les adaptations nécessaires en vue de sa mise en œuvre. Le comité directeur de la CDS a recommandé aux cantons de créer, si nécessaire, les bases juridiques relatives aux thématiques suivantes :

 

  • affiliation des hôpitaux cantonaux ou d’autres établissements hospitaliers ayant un mandat de prestations cantonal à une communauté de droit privé ou communauté de référence ;
  • cofinancement de la constitution, de la certification et de l’exploitation de communautés ou communautés de référence, si le canton entend solliciter des aides financières de la Confédération à cet effet ;
  • obligation éventuelle des professionnels de la santé qui exercent sous leur propre responsabilité à s’affilier à une communauté ou communauté de référence certifiée.

(décision de la CDS du 4 juillet 2013, voir aussi l’aide à la mise en œuvre « Adaptations légales dans les cantons » et celle de KPMG (2014) « Modèles possibles d’organisation et de financement de communautés et de communautés de référence » (en allemand), en particulier le chapitre sur les recommandations pour le secteur public)

Une base légale est-elle requise sur le plan cantonal pour que les hôpitaux et, le cas échéant, d’autres institutions saisissent des données dans le DEP ?

La LDEP crée la base légale pour la communication des données au DEP. Les cantons devraient cependant vérifier si leur législation (p. ex. loi sur la protection des données, loi sur la santé, loi sur les hôpitaux) contient des dispositions empêchant la participation des institutions à des communautés ou communautés de référence. Si c’était le cas, les réglementations devraient être adaptées dans la perspective de la participation au DEP. Une base juridique est requise pour la communication de données au DEP, par exemple, pour les hôpitaux publics, si le droit cantonal exige leur participation et estime que la deuxième phrase de l’art. 3, al. 2, LDEP, n’y suffit pas.

Quels amendements aux bases juridiques les cantons doivent-ils apporter pour que les projets de mise en œuvre actuels puissent être transférés dans une communauté ou communauté de référence selon la LDEP ?

Les bases juridiques cantonales relatives aux projets de mise en œuvre actuels sont extrêmement variables. Il existe parfois des lois et ordonnances spécifiques, certains cantons ont mis en place des réglementations pour des essais pilotes, d’autres encore s’appuient sur le droit existant. Si un projet de mise en œuvre doit être transféré dans une communauté ou communauté de référence, chaque canton doit clarifier ses bases juridiques, notamment pour les aspects suivants :

 

  • toutes les thématiques évoquées dans la réponse à la question 1 ;
  • il doit en outre s’assurer que les dispositions cantonales autorisent les professionnels de la santé à saisir des données dans le dossier électronique du patient selon la LDEP. Le cadre juridique du canton est déterminant à cet égard et, plus précisément, les lois sur la protection des données, les réglementations relatives à la sécurité des données, les lois sur la santé, les lois sur les hôpitaux, etc. (cf. question ci-dessus).

Les fournisseurs de prestations hospitalières sont directement contraints de s’affilier à une communauté ou communauté de référence certifiée. Est-il dès lors possible de faire l’impasse sur une obligation dans le droit cantonal?

Non, le cas échéant, les dispositions d’exécution cantonales relatives à la planification hospitalière selon la LAMal devront être adaptées. La disposition transitoire dans la LAMal relative à la modification du 19 juin 2015 (DEP) prévoit à ce sujet une période transitoire de trois ans pour les hôpitaux (y compris pour les conventionnés au sens de l’art. 49a, LAMal) et de cinq ans pour les maisons de naissance et les EMS.

Une obligation cantonale autonome (p. ex., dans les contrats de prestations) est nécessaire si les fournisseurs de prestations hospitaliers sont contraints de mettre à disposition les données des patients sous forme électronique avant que n’expire la période transitoire.

Que se passe-t-il si un établissement de soins stationnaires ne s’est pas affi-lié à une communauté (de référence) après l’expiration de la période transitoire ?

Les cantons sont responsables de la mise en œuvre des modifications apportées à la LAMal. Les hôpitaux qui ne se sont pas affiliés à une communauté ou communauté de référence trois ans après l’entrée en vigueur de la LDEP doivent être radiés de la liste des hôpitaux par le canton responsable. Cette règle vaut aussi pour les maisons de naissance et les EMS une fois le délai des cinq ans arrivé à échéance.

Les cantons sont-ils libres de constituer un organe de coordination intracan-tonal et si oui, sous quelle forme ?

La CDS invite les cantons à prendre en charge la coordination des activités intracantonales en vue de réaliser le dossier électronique du patient. La LDEP ne donne aucune consigne aux cantons en ce qui concerne leur organisation interne.

Constitution et exploitation des communautés

Quelle peut être la composition des communautés et communautés de référence ?

Différents scénarios sont envisageables pour la composition des communautés ou communautés de référence. Par exemple :

 

  • des professionnels de la santé de différentes disciplines (p. ex. médecins, physiothérapeutes et pharmaciens) et d’institutions de la santé (p. ex. hôpitaux, EMS) situés dans une même région, dans un même canton ou dans plusieurs cantons ;
  • un ou plusieurs hôpitaux ou d’une association d’hôpitaux regroupant les médecins et les institutions qui prescrivent l’intervention et assurent la suite du traitement (p. ex. cliniques de réadaptation) et d’autres professionnels de la santé ;
  • des professionnels de la santé ou des institutions exerçant dans un même domaine d’activité (p. ex. laboratoires d’analyse, cabinets de radiologie ou pharmacies) ;
  • des formes existantes de collaboration médicale (p. ex. groupes hospitaliers, réseaux de médecins).

Le canton peut-il constituer et exploiter une communauté (de référence) ?

Selon l’art. 2, al. 2, let. b, LDEP, une communauté (de référence) est une unité organisationnelle de professionnels de la santé et de leurs institutions. La LDEP part du principe que les communautés ou communautés de référence sont des organismes de droit privé. Les cantons devraient vérifier si leur législation prévoit des restrictions susceptibles d’empêcher la participation des hôpitaux cantonaux ou d’autres établissements de soins à une communauté (de référence).

Même si une communauté (de référence) est définie comme une unité organisationnelle de professionnels de la santé et de leurs institutions, le canton peut participer à sa constitution ou à son exploitation. Il est notamment envisageable qu’il mette en place avec des tiers une entité pour une communauté (de référence) et qu’il y siège. Pour de plus amples informations, se reporter au rapport KPMG du 19 décembre 2014 sur la constitution de communautés (en allemand).

Les cantons peuvent-ils uniquement participer à des communautés (de réfé-rence) sur leur territoire ?

Les cantons sont libres de participer à la constitution de communautés ou de communautés de référence sur le plan organisationnel ou financier. Ils ont toute latitude pour décider de la / des communauté(s) qu’ils entendent soutenir financièrement.

La LDEP prévoit une série de tâches et de fonctions pour les communautés (de référence). Les communautés (de référence) ont-elles le droit de proposer des services supplémentaires (p. ex. systèmes experts pour soutenir la prise de décision) ?

La LDEP n’interdit pas aux communautés de proposer des prestations supplémentaires. La fonction du DEP ne doit cependant pas être affectée, et les données qui y figurent ne doivent être utilisées qu’aux fins définies par la LDEP. Les communautés ne peuvent, par exemple, proposer des systèmes experts que sur la base des données que les professionnels de la santé ont préalablement transférées du DEP dans leur système primaire avec le consentement des patients.

Quelles sont les formes d’organisation autorisées pour les communautés (de référence) ?

Par définition, les communautés (de référence) sont des unités organisationnelles de professionnels de la santé et de leurs institutions (art. 2, let. d et e, LDEP). Ainsi, seuls ces acteurs – et aucun autre, comme p. ex. les cantons ou les assureurs maladie – peuvent être membres d’une communauté (de référence). La communauté (de référence) peut cependant déléguer à des tiers les tâches qui lui incombent conformément aux dispositions de droit civil pertinentes, par exemple, à une organisation d’entreprise externe. Entre autres, la communauté (de référence) peut lui transmettre les tâches liées à l’obtention de la certification.

Dans tous les cas, la communauté (de référence) est certifiée comme telle.

Qui décide si une solution de mise en œuvre d’une condition de certification, choisie par la communauté (de référence) donnée, est conforme à la loi ?

Il incombe aux organismes de certification de décider si les solutions de mise en œuvre choisies par une communauté (de référence) correspondent ou pas aux dispositions de la LDEP (art. 11, let. a, LDEP). Les présentes questions et réponses n’ont pas de caractère contraignant (dans la mesure où elles ne se rapportent pas aux bases légales du DEP) et sont de nature purement informative. Les aides à la mise en œuvre et les fiches d’information d’eHealth Suisse sont à traiter de la même manière, c’est-à-dire comme soutien pour la mise en œuvre du DEP. L’évaluation définitive de la conformité incombe en tous les cas aux organismes de certification.

La certification des communautés (de référence) peut être réalisée en plusieurs étapes sur la base d’aspects organisationnels et techniques. Qui décide si une exigence est de nature technique ou organisationnelle ?

Les dispositions de la LDEP et des ordonnances sur le DEP ne précisent pas si les éléments de la certification sont de nature organisationnelle ou technique. Dans la plupart des cas, cette distinction va de soi. Il arrive pourtant que des éléments soient à la fois organisationnels et techniques (p. ex. l’authentification à deux facteurs, qui doit être techniquement possible, mais dont la mise en œuvre est de nature organisationnelle/procédurale).

Le déroulement précis du processus de certification est fixé d’une part sur la base du plan de contrôle de l’organisme de certification, ce plan ayant été préalablement approuvé par le Service d’accréditation suisse. D’autre part, les aspects relatifs au contenu et au calendrier du processus de certification feront partie des points discutés entre les communautés (de référence) et leur organisme de certification (cf. feuille de route DEP).

Une communauté (de référence) a-t-elle le droit de stocker les documents du DEP dans un seul système pour tous les fournisseurs de prestations qui lui sont rattachés ?

Oui. Même si la LDEP est fondée sur le principe de la décentralisation et qu’elle prévoit qu’une communauté (de référence) procède à plusieurs archivages de documents, les communautés (de référence) sont, à maints égards, libres de s’organiser comme elles le souhaitent au niveau interne. Aucune disposition légale n’interdit un stockage commun des documents. Différents établissements de santé peuvent s’associer et procéder à un stockage commun des documents du DEP. Aussi, il peut même arriver qu’une seule archive soit créée pour toute une communauté (de référence).

Si une communauté (de référence) ne crée qu’une seule archive, le système de gestion de la protection et de la sécurité des données doit faire l’objet d’une attention particulière (sur la base des art. 10 et 12, al. 4, ODEP en relation avec les ch. 2.4, 4.2.1, 4.2.3 et 4.15.2, annexe 2, ODEP-DFI).

Comment une communauté (de référence) doit-elle fixer la limite maximale pour la requête de données médicales destinées à être visualisées ou enregistrées dans le portail d’accès pour les professionnels de la santé ?

L’annexe 2 de l’ODEP-DFI (« CTO ») dispose au ch. 3.3 que le portail d’accès pour les professionnels de la santé doit « prévoir, pour la requête de données médicales destinées à être visualisés ou enregistrées, des limites maximales admises définies en nombre de données médicales par unité de temps, avec activation de mesures adéquates de blocage ou de sécurité renforcée en cas de dépassement ». L’Office fédéral de la santé publique (OFSP) et eHealth Suisse ne formulent pas de recommandation nationale sur ce point. Les CTO laissent délibérément une liberté d’action aux communautés à cet égard. Si toutes les marges de manœuvre laissées aux communautés sont limitées par des dispositions légales de la Confédération ou par des recommandations nationales, le principe d’une mise en œuvre décentralisée n’est pas respecté. L’idée est ici simplement de rappeler que la loi vise à empêcher des téléchargements exagérés et qu’il convient donc de tenir compte du principe de proportionnalité lorsque cette limite maximale est fixée.

Les communautés (de référence) ont tout intérêt à se consulter sur ce point et à se faire part des éventuelles solutions auxquelles elles sont parvenues. Le groupe de coordination des communautés (de référence) offre un espace de discussion à cet égard.

Obligation d’affiliation au DEP

Quelles sont les institutions de santé qui doivent proposer un DEP ?

Les hôpitaux, y compris les cliniques de réhabilitation et les cliniques psychiatriques ainsi que les maisons de naissance et les EMS, sont légalement tenus de proposer un DEP d’ici, respectivement,  2020 et 2022. Il s’agit d’institutions qui facturent des prestations de services hospitaliers à la charge de l’assurance obligatoire des soins (AOS). Les fournisseurs de prestations selon les art. 39 et 49a, al. 4, de la loi sur l’assurance-maladie (LAMal) sont concernés.

Pour évaluer si une institution est ou non tenue de proposer un DEP dans certains cas particuliers, il faut savoir si l’on autorise cette institution en tant qu’hôpital ou EMS conformément à l’art. 39, al. 1 ou 3, ou à l’art. 49, al. 4, de la loi sur l’assurance maladie LAMal. Dans ce cas, elle doit proposer un DEP. Ce critère est aussi valable pour les ateliers, centres de jour, foyers et potentiellement d’autres institutions, ainsi que pour les institutions qui facturent uniquement une partie de leurs prestations à la charge de l’AOS, car il faut autoriser ces institutions comme hôpitaux ou EMS conformément à la LAMal – même pour une partie des prestations seulement.

 

Tous les autres institutions et professionnels de la santé peuvent décider librement de s’affilier ou non à une communauté du DEP.

Pour de plus amples informations, y compris des exemples : cf. la fiche d’information « Qui doit proposer un DEP ? ».

Une fois affiliés au système DEP, les hôpitaux et les EMS doivent-ils déposer les documents pertinents pour le traitement dans les DEP des patients ?

Oui. Une demande explicite du patient n’est pas nécessaire, car, en cas de traitement, l’on part du principe que la personne concernée est d’accord pour que les professionnels de la santé saisissent ses données dans son DEP (art. 3, al. 2, LDEP).

D’un point de vue purement juridique, le devoir de saisir des données dans le DEP découle du sens et du but de la/du (L)DEP et en particulier de l’art. 39, al. 1, let. f, LAMal. Sur ce point, les communautés doivent veiller à ce que les institutions de santé qui leur sont affiliées soient dotées de règles stipulant que seules les données du dossier médical pertinentes pour le traitement sont mises à disposition dans le dossier électronique du patient (annexe 2 à l’ODEP-DFI, section 2.4, let. a).

Les laboratoires ont-ils accès au DEP d’un patient ?

Les laboratoires et les instituts indépendants qui effectuent des analyses sur mandat d’un médecin valent également comme établissement de santé au sens de la LDEP, notamment lorsqu’ils répondent aux exigences des articles 53 et 54 de l’ordonnance sur l’assurance-maladie (OAMal). Il incombe à la communauté (de référence) concernée de contrôler si un laboratoire indépendant satisfait à ces exigences. Il en va de même pour la saisie des professionnels de la santé qui travaillent dans ledit laboratoire.

Questions concernant la responsabilité

Comment le droit de la responsabilité civile s’applique-t-il à l’utilisation du DEP ? La responsabilité des professionnels de la santé est-elle engagée pour les contenus qu’ils insèrent ?

Les questions relatives à la responsabilité sont réglées à l’art. 41 et à l’art. 97 ss CO ainsi que dans les lois spéciales applicables (cf. art. 1, al. 4, LDEP). Le dossier électronique du patient ne crée pas de situation qui ne serait pas couverte par les règles en vigueur. Celui qui tient une documentation sur le patient doit dès à présent s’attendre à ce que les tiers se fient aux informations correspondantes. Sa responsabilité peut être engagée vis-à-vis du patient si ce dernier subit un dommage lors du traitement par des tiers, en raison du caractère incomplet ou erroné des informations figurant dans la documentation.

La responsabilité d’un professionnel de la santé qui n’utilise pas le DEP est-elle engagée en cas d’erreurs de traitement qui auraient pu être évitées grâce aux informations contenues dans ledit dossier ?

La LDEP ne change rien à l’attribution des responsabilités et aux questions de responsabilité (cf. aussi la question ci-dessus). Il faudra toujours juger au regard des circonstances du cas particulier concret si une erreur s’accompagne d’une violation des devoirs de diligence. Il est essentiel à cet égard de savoir si un professionnel de la santé a pris une décision acceptable sur la base des informations disponibles ainsi que des possibilités diagnostiques et thérapeutiques de l’époque. Le DEP représente un nouveau canal d’information susceptible d’être pris en considération dans un cas particulier lors de l’appréciation de cette question.

Qu’en est-il de la responsabilité pour les communautés et communautés de référence ? Sont-elles, par exemple, engagées en cas d’erreurs de transmission des données ?

La LDEP ne change rien à l’attribution des responsabilités et aux questions de responsabilité (cf. aussi les questions ci-dessus et l’expertise succincte relative aux questions de responsabilité dans le contexte de la LDEP).

 

La responsabilité et une responsabilité civile éventuelle pour les erreurs de nature technique ou la non-disponibilité d’une documentation électronique du patient sont évaluées selon les principes déjà appliqués à l’utilisation de la technologie dans les soins en général (systèmes informatiques en général, mais aussi appareils de radiographie, machines de traitement, respirateurs, etc.). Si la diligence requise a été respectée, notamment en ce qui concerne l’évaluation et la sélection, l’instruction et la formation ainsi que l’exploitation et l’entretien, la responsabilité du fournisseur de prestations n’est pas engagée pour les dommages imputables à des défectuosités techniques des appareils ou systèmes.

 

En matière de sécurité des données, il est envisageable que les communautés et communautés de référence conviennent de mesures de précaution concrètes avec leurs prestataires techniques. Celles-ci peuvent notamment inclure :

 

  • l’élaboration d’un concept de sécurité ;
  • l’obligation de respecter des normes de sécurité universellement reconnues pour le développement et l’exploitation de systèmes d’information sûrs ;
  • l’obligation de procéder à des audits de sécurité périodiques.

Conformément à l’art. 12, al. 1, let. b, LDEP, le Conseil fédéral peut prescrire les précautions essentielles aux communautés dans le cadre de la certification. Cette démarche a été réalisée dans le cadre des dispositions d’exécution (p. ex. annexe 2 relative à l’ODEP-DFI).

Que se passe-t-il lorsqu’on retire son autorisation d’exercer à un professionnel de la santé ?

Les autorités cantonales sont responsables de l’attribution de l’autorisation d’exercer la profession (p. ex. offices du médecin et du pharmacien cantonal). Si les conditions pour exercer la profession ne sont plus remplies sous la propre responsabilité professionnelle, alors l’autorité cantonale doit retirer l’autorisation. Par conséquent, l’autorité cantonale doit exclure ce professionnel de la communauté (de référence) correspondante ainsi que de l’accès au DEP. Les dispositions au ch. 1.3.5 de l’annexe 2 de l’ODEP-DFI s’appliquent par analogie. En outre, l’autorité cantonale n’enregistre pas non plus le professionnel de la santé correspondant dans le service de recherche central des institutions de santé et des professionnels de la santé. Il incombe aux communautés (de référence) de convenir avec les autorités cantonales de quelle manière celles-ci seront informées du retrait d’une autorisation d’exercer la profession.

Financement

Où se trouvent les questions et réponses sur les aides financières?

Les questions et réponses sur les aides financières se trouvent sur le site web suivant de l’Office fédéral de la santé publique : https://www.bag.admin.ch/bag/fr/home/themen/strategien-politik/nationale-gesundheitsstrategien/strategie-ehealth-schweiz/umsetzung-vollzug/finanzhilfen.html.

 

Comment dédommager les professionnels de la santé pour leur travail relatif au DEP ?

Le Conseil fédéral s’est exprimé à ce sujet dans sa réponse à l’interpellation 17.3694 en date du 22 novembre 2017. En ce qui concerne les charges, il convient de différencier les cas de figure suivants :

 

  • Charges relatives à la saisie ou la consultation de documents dans le DEP : Ces charges sont déjà comprises dans les tarifs et les indemnisations actuelles pour les professionnels de la santé qui peuvent les facturer à la charge de l’assurance obligatoire des soins (AOS). En termes technico-légaux : conformément à l’art. 25, al. 1, LAMal (RS 832.10), l’AOS prend en charge les coûts pour les prestations qui servent au diagnostic ou au traitement d’une maladie et de ses conséquences. Outre la prestation médicale sur le patient, il s’agit aussi des prestations directement liées, comme l’étude et la mise en place de documentations et de rapports, l’utilisation d’une infrastructure, etc., qu’il s’agisse de rapports sur support papier ou de documents électroniques, d’un envoi par poste ou par courriel crypté, ou encore, de la mise à disposition du document correspondant dans le dossier électronique du patient ; autrement dit, tous les coûts encourus par un fournisseur de prestations conformément à l’art. 35 LAMal pour la gestion du DEP de ses patients, sont déjà couverts. Les professionnels qui ne sont pas reconnus comme fournisseurs de prestations conformément à l’art 35, LAMal, comme les droguistes ou les ostéopathes, qui peuvent cependant adhérer à une communauté (de référence) en vertu de l’art. 2, let. b et c, LDEP, sont libres de facturer à leurs patients les charges de la gestion du dossier électronique du patient.
  • Charges relatives à l’information des patients sur le DEP au sens de l’art. 3, al. 1, LDEP : La communauté de référence du patient qui veut ouvrir un DEP (art. 15, ODEP) est responsable de fournir cette information. Les coûts encourus doivent donc être couverts par les ressources de la communauté de référence. Cela est également valable lorsque l’organisation interne de la communauté de référence implique que le devoir d’informer est assumé par les professionnels de la santé. Ces professionnels peuvent facturer le temps correspondant non pas à la charge de l’AOS, mais de la communauté de référence du patient. D’un point de vue légal, rien ne s’oppose à ce que d’autres acteurs tels que les cantons, les fonds de loterie, les assureurs privés, etc., prennent en charge les coûts pour ces activités d’information à l’aide de bons.
  • Charges relatives à l’entretien du DEP par un professionnel de la santé : Ces charges ne peuvent pas non plus être refacturées à la charge de l’AOS, mais doivent être facturées au patient ou à la communauté de référence du patient.

Utilisation secondaire et portails destinés à des tiers

Une base légale est-elle requise pour l’utilisation secondaire des données du dossier électronique du patient (p. ex. évaluation anonyme pour la gouvernance du système de santé) ?

Oui, car l’utilisation secondaire des données du dossier électronique du patient n’est pas stipulée dans la LDEP. L’utilisation des données est envisageable pour la constitution de registres de maladies ou de qualité, à des fins de statistiques ou de recherche ou comme base pour l’optimisation des processus administratifs. Le cas échéant, les dispositions correspondantes devront être complétées ultérieurement dans la législation spéciale. Une base législative cantonale est requise si les cantons entendent utiliser les données du dossier électronique du patient pour la gouvernance du système de santé. Ils doivent par conséquent vérifier la compatibilité de leur droit avec la LDEP et l’adapter, le cas échéant. Les dispositions en matière de protection des données s’appliquent.

Le portail d’accès au DEP pour les patients peut-il être assorti de services supplémentaires ou d’offres destinées à des tiers ?

La position générale de l’OFSP à cet égard est la suivante :

  1. Le patient doit avoir la possibilité d’ouvrir un DEP et d’y accéder via le portail d’accès sans devoir s’engager au sujet d’éventuels services supplémentaires ou offres destinées à des tiers.
  2. Les exigences applicables au portail d’accès destiné aux patients et valables pour la certification sont exposées dans les dispositions d’exécution. Il s’agit notamment de la délimitation du portail d’accès par rapport à d’autres services, de l’authentification ainsi que des exigences en matière de protection et de sécurité des données (LDEP, ODEP, ODEP-DFI). Il convient de relever en outre que l’introduction de services supplémentaires et d’informations sur le portail d’accès est soumise aux dispositions légales applicables (p. ex. la législation sur les produits thérapeutiques pour ce qui est de la publicité pour des médicaments ou la législation en matière de protection des données).
  3. Le fait que le DEP et des services supplémentaires/offres destinées à des tiers se côtoient représente un défi de taille pour la communauté de référence, qui doit veiller à ce que les patients fassent toujours confiance au DEP. Aussi, les patients doivent pouvoir savoir en tout temps s’ils se trouvent à l’intérieur ou à l’extérieur de l’espace de confiance sécurisé. Il faut également éviter que des données du DEP ne soient exportées automatiquement et sans le consentement exprès du patient dans des domaines fonctionnels ou dans des mémoires de données « à l’extérieur » du DEP et qu’elles sortent ainsi du champ d’application de la LDEP. Une erreur dans la gestion de l’authentification ou dans l’utilisation des données médicales peut avoir des conséquences négatives sur la confiance que les patients accordent au DEP.

L’organisme de certification vérifiera au cas par cas – et ce dans le cadre de la procédure de certification – si des services supplémentaires ou des offres destinées à des tiers sont en conformité avec les dispositions légales de la LDEP.

Services spécialisés

Qui contacter en cas de conflits concernant le DEP ?

Dans le cas de situations conflictuelles ou de plaintes, les points de contact actuels de la Confédération et des cantons (p. ex. préposé cantonal ou fédéral à la protection des données) sont valables comme autorités de plainte ou comme organe de médiation.

Qui assume la surveillance en matière de droit sur la protection des données du patient qui se trouvent dans la communauté (de référence) (pas celles enregistrées dans les systèmes des institutions concernées) ?

La LDEP part du principe que les communautés et communautés de référence s’organisent selon le régime de droit privé. Partant, le préposé fédéral à la protection des données et à la transparence (PFPDT) est compétent.

Services de recherche centraux

Quels services de recherche de données la Confédération met-elle à disposition ?

 

La Confédération gère les services de recherche qui fournissent les données de référence nécessaires à la communication entre les communautés et les communautés de référence (art. 14 LDEP), à savoir les services suivants :

 

  • Service de recherche des communautés et des communautés de référence (Community Portal Index CPI)
  • Service de recherche des institutions de santé et des professionnels de la santé (Healthcare Provider Directory HPD)
  • Service de recherche des métadonnées (Metadata Index MDI)
  • Service de recherche des identificateurs d'objet enregistrés pour le dossier électronique (Object Identifier OID)

 

Les services de recherche sont sous la responsabilité de l’Office fédéral de la santé publique (OFSP), mais leur exploitation technique est prise en charge par l’Office fédéral de l’informatique et de la télécommunication (OFIT) (cf. fiche d’information « Services de recherche centraux » (en allemand)).

La fondation Refdata est responsable de l'attribution des OID, lesquels sont nécessaires pour la communication électronique entre les communautés.

Quelles données le service de recherche des communautés et des commu-nautés de référence (Community Portal Index CPI) gère-t-il ?

 

Le CPI est une application à laquelle les systèmes des communautés (de référence) ont accès via des interfaces et sur laquelle des données peuvent être recherchées. Une communauté (de référence) peut notamment apprendre si une autre communauté (de référence) avec laquelle elle souhaite communiquer est autorisée à participer au système du DEP et par quels points d'accès des données peuvent être échangées.

 

L’OFSP tient à jour dans le CPI les données ainsi que les certificats (authentification) de chaque communauté.

 

Le CPI contient entre autres les informations suivantes pour chaque communauté (de référence) :

 

  • sa désignation ;
  • le certificat électronique ;
  • son OID ;
  • les personnes de contact ;
  • la date de sa certification ou de sa nouvelle certification ;
  • l’organisme de certification ;
  • son statut (actif / inactif) ;
  • les points d’accès (passerelles) pour la communication avec les communautés (de référence).

Comment le service de recherche des métadonnées est-il conçu ?

À l’instar du HPD et du CPI, le service de recherche des métadonnées (Metadata Index MDI) est également une application à laquelle les systèmes des communautés (de référence) accèdent via une interface et sur laquelle des métadonnées peuvent être consultées (dans leurs versions actuelles ou précédentes). Les métadonnées à utiliser sont définies dans l'annexe 3 de l’ODEP-DFI. Le MDI permet de recevoir les métadonnées sous une forme techniquement lisible afin qu’elles puissent être utilisées par les systèmes des communautés (de référence) sans rupture de support.

Quels OID le service de recherche des OID enregistrés pour le dossier élec-tronique gère-t-il ?

Les communautés et les communautés de référence, les institutions de santé qui leur sont affiliées (et leurs professionnels de la santé) ainsi que les unités d’organisation qui leur sont subordonnées doivent posséder un identificateur d’objet (OID) pour pouvoir être incluses dans l’espace de confiance du système du DEP. Chacune de ces unités se voit attribuer un OID, à l’exception des professionnels de la santé qui reçoivent un autre type d’identificateur appelé GLN (Global Location Number). L’OID et le GLN permettent d’identifier de manière univoque une communauté, une institution, une unité ou une personne.

 

Les communautés (de référence) doivent demander à la fondation Refdata des OID pour elles-mêmes et pour les institutions de santé qui leur sont affiliées. En outre, les institutions de santé peuvent attribuer elles-mêmes des OID – notamment à des divisions et à des groupes –, lesquels seront basés sur celui qu’elles ont reçu de Refdata.

Contrairement aux autres services de recherche, le service de recherche des OID ne fonctionne pas via une interface technique ; l’accès se fait par l’interface utilisateur graphique (GUI) : http://oid.refdata.ch/Public/SimpleOidSearch.aspx.

Identité électronique

Une communauté (de référence) peut-elle choisir quelles identités électroniques (eID) certifiées elle souhaite accepter pour l'accès au DEP ?

La LDEP et ses dispositions d’exécution stipulent que toutes les personnes participant (patients et professionnels de la santé) au DEP doivent disposer d’une identité électronique sécurisée (eID) et que les éditeurs de moyens d’identification doivent être certifiés. Toutefois, elles ne précisent pas que les communautés (de référence) doivent accepter l’ensemble des eID certifiées. En d’autres termes, les communautés (de référence) peuvent choisir elles-mêmes quelles eID certifiées elles souhaitent accepter pour l'accès au DEP.

Il convient toutefois de relever qu’en tout cas lors de la première phase de l’introduction du DEP, le choix d’eID certifiées sera probablement très limité. En outre, une communauté (de référence) ne devrait en principe pas avoir besoin de procéder à des adaptations spécifiques sur le plan technique pour l’intégration de différentes eID. Il est en effet prévu de standardiser la communication avec l’Identity Provider (IDP) par des dispositions qui seront fixées dans le cadre de la première révision de l’annexe 8 de l’ODEP-DFI. Il s’agit de nuances d’ordre technique et non de modifications substantielles du droit d’exécution.

Un éditeur de moyens d’identification peut-il vérifier par vidéo l’identité de la personne qui demande un moyen d’identification ?

Oui. On peut imaginer le déroulement suivant : un patient ou un professionnel de la santé obtient d’un éditeur certifié un moyen d’identification doté d’un identifiant électronique univoque et d’un mécanisme d’authentification d’accès fiable. Dans un deuxième temps, la personne active le moyen d’identification en fournissant la preuve qu’elle dispose des facteurs d’authentification nécessaires (par ex. mot de passe confidentiel). Pour terminer, d’autres caractéristiques d’identification personnelles sont associées en toute sécurité au moyen d’identification. Cette démarche peut s’effectuer via un entretien personnel ou une identification par vidéo.

Numéro d’identification du patient NIP et Master Patient Index MPI

Les communautés et communautés de référence ont-elles le droit d’enregistrer et d’utiliser le NAVS13 (numéro d’assuré selon l’article 50c de la loi fédérale sur l’assurance-vieillesse et survivants [LAVS]) ?

Non, le NAVS13 ne doit être utilisé par une communauté (de référence) qu’aux deux fins énumérées de façon exhaustive à l’art. 5, al. 2, LDEP :

 

  • demander auprès de la centrale de compensation un numéro d’identification du patient ;
  • attribuer correctement le numéro d’identification du patient.

De quelle manière les personnes qui ne possèdent pas de numéro AVS peu-vent-elles obtenir un numéro d’identification du patient ?

Si un patient ne possède pas de numéro AVS, alors la communauté de référence peut demander pour lui un numéro d’assuré auprès de la Centrale de compensation CdC. Ce numéro a pour seul objectif l’attribution d’un numéro d’identification du patient.

La communauté de référence, et non pas le patient, doit demander le NAVS13 auprès de la CdC par le biais du « Formulaire de demande d’attribution du NAVS13 en mode batch offline ».

Pourquoi le numéro AVS n’est-il pas utilisé comme numéro d’identification du patient ?

La LDEP introduit le numéro d’identification du patient pour le domaine du DEP. Il faut impérativement utiliser ce numéro à cet effet. On a examiné l’utilisation du NAVS13 dans le cadre de l’élaboration de la loi et on a rejeté cette utilisation pour des raisons de protection des données. Pour l’utilisation du NAVS13, cf. ci-avant.

La Centrale de compensation de la Confédération publie le numéro d’identification du patient, numéro qui peut être utilisé comme caractéristique pour l’identification univoque du patient. Il n’est mathématiquement pas imputable à d’autres numéros comme celui de l’AVS.

Peut-on saisir, dans l’index du patient (Master Patient Index ; MPI) d’une communauté (de référence), les données de référence de tous les patients traités dans les institutions de santé cantonales ou privées de ces communautés (de référence) ?

Cette saisie est possible non pas sur la base de la LDEP, mais uniquement sur celle d’autres dispositions cantonales et fédérales valables pour ce cas de figure. La LDEP admet uniquement la saisie de données de patients qui ont autorisé la gestion d’un DEP.

À quel moment les nouveau-nés reçoivent-ils un numéro d’identification du patient, de sorte qu’on puisse leur ouvrir un dossier ?

Un numéro d’identification du patient est nécessaire pour l’ouverture d’un dossier électronique du patient pour un nouveau-né. La Centrale de compensation (CdC) attribue ce numéro après la saisie de l’enfant dans la banque de donnée UPI de la CdC. Le processus peut durer quelques jours jusqu’à ce que la CdC saisisse le nouveau-né dans la banque de données après sa naissance.

Comment modifie-t-on les données démographiques saisies dans l’index du patient (MPI) lors d’un changement de nom ou de domicile ?

Lors d’un changement de nom ou de domicile, il incombe au patient de modifier lui-même ces informations via le portail d’accès pour les patients ou de l’annoncer à sa communauté de référence, afin que les données démographiques saisies dans l’index du patient puissent être mises à jour. Il n'est pas possible de confronter régulièrement les données démographiques de tous les patients enregistrés dans l’index du patient d’une communauté de référence et celles provenant de la base de données d’identification de la CdC. Une telle comparaison serait possible non pas sur la base de la LDEP, mais uniquement sur celle d’autres dispositions cantonales et fédérales valables pour ce cas de figure.

Dernière modification 18.06.2018