L’hébergement des données de santé des patients est un sujet brûlant en Suisse, à la croisée des impératifs de sécurité nationale, de la révision de la LPD (Loi sur la Protection des Données) et de l’emprise croissante des GAFAM (Google, Amazon, Facebook, Apple, Microsoft) sur les infrastructures informatiques mondiales.
L’enjeu n’est pas seulement technique ; il est politique, éthique et souverain.
1. Le Spectre du « CLOUD Act » : Le Dilemme Américain
La principale controverse en Suisse concerne le choix des prestataires de Cloud, notamment lorsqu’il s’agit de données de santé considérées comme hautement sensibles.
Le risque d’extraterritorialité
La loi américaine CLOUD Act (Clarifying Lawful Overseas Use of Data Act), promulguée en 2018, permet aux autorités judiciaires et policières américaines d’obliger les entreprises technologiques américaines – y compris leurs filiales étrangères (même celles basées en Suisse) – à divulguer des données stockées sur leurs serveurs, indépendamment de leur localisation géographique.
- Le Conflit Juridique : Ce pouvoir d’accès direct est potentiellement en conflit direct avec la souveraineté suisse et le secret médical inscrit dans le Code pénal (Art. 321 CP). Si un hébergeur (filiale d’un géant américain) est contraint par les États-Unis de livrer des données de patients suisses, il enfreint les lois suisses.
- La Réponse Suisse : Pour les données de santé, de nombreux établissements (hôpitaux, cliniques, cabinets) et fournisseurs de services e-santé privilégient la stratégie du « Swiss Finish » : exiger que les données restent stockées sur des serveurs exclusivement en Suisse et sous juridiction suisse, pour tenter de se prémunir contre le CLOUD Act.
Le Cas de la Confédération : La polémique a pris de l’ampleur lorsque la Confédération elle-même a adjugé des contrats de Cloud public à des géants américains et chinois (comme Alibaba), suscitant des inquiétudes sur la souveraineté numérique du pays et l’exclusion des prestataires locaux.
2. L’Épée de Damoclès de la Nouvelle LPD (2023)
L’entrée en vigueur de la Loi fédérale sur la protection des données (LPD) révisée au 1er septembre 2023 a haussé le niveau d’exigence pour tous les acteurs du domaine de la santé.
- Responsabilité Accrue : La nouvelle LPD renforce l’obligation de sécurité par conception et impose au responsable du traitement (le médecin ou l’établissement de santé) de s’assurer que son sous-traitant (l’hébergeur) peut garantir une sécurité adéquate.
- Sanctions Renforcées : Les dispositions pénales ont été renforcées. Une violation des exigences de sécurité ou de la divulgation non autorisée des données peut entraîner des sanctions plus lourdes (jusqu’à 250 000 CHF d’amende pour les personnes physiques).
- Transfert de Données : Pour les transferts de données de santé hors de Suisse (nécessitant des garanties contractuelles spécifiques), la nouvelle LPD rend les conditions encore plus strictes, encourageant implicitement l’hébergement local.
3. La Bataille des Systèmes : L’Exemple Bernois
Le débat sur l’hébergement se reflète également dans le choix des systèmes d’information hospitaliers (SIC).
- L’Affaire Epic à Berne : Le canton de Berne a récemment déclenché une controverse en privilégiant le système d’information clinique de l’entreprise américaine Epic Systems pour ses hôpitaux. Des associations suisses ont remis en question ce choix, invoquant des craintes sur les coûts, la dépendance technologique et l’accès aux données par une société étrangère.
- Monopole et Dépendance : Le secteur de la santé suisse se demande s’il ne glisse pas vers une dépendance informatique vis-à-vis de quelques fournisseurs étrangers, rendant l’innovation locale plus difficile et la sécurité des données plus incertaine face aux lois extraterritoriales.
4. La Réponse des Acteurs Suisses : Le « Cloud de Confiance »
Face à ces menaces, une vague de prestataires suisses locaux met en avant des arguments de « Cloud de confiance » :
- Juridiction Claire : Ils offrent la garantie que les données sont soumises uniquement au droit suisse, éliminant les risques liés au CLOUD Act.
- Proximité et Éthique : Ils mettent en avant l’avantage d’une infrastructure physique proche des utilisateurs (meilleure latence) et un engagement éthique fort, aligné sur la culture de la discrétion et de la sécurité helvétique.
En conclusion, l’hébergement des données de santé en Suisse est un champ de tension permanent. La protection du secret médical face aux puissances étrangères est le fil rouge d’un débat qui continuera de façonner l’e-santé helvétique.