Société Numérique est favorable à la numérisation dans le système de santé – mais pas à n’importe quel prix. Avec le nouveau dossier électronique de santé, la Confédération inverse le principe du volontariat : au lieu de l’opt-in, c’est désormais l’opt-out qui s’appliquerait. Le traitement centralisé des données prévu crée en outre un risque élevé d’abus. Les données de santé doivent rester sous le contrôle des patientes et des patients. Un dossier doit être sûr et autodéterminé. C’est la seule manière de créer la confiance nécessaire.
Position actualisée du 26 mars 2026
Introduction
Société Numérique partage l’objectif de la nouvelle loi fédérale sur le dossier électronique de santé proposée par le Conseil fédéral. Selon le message, le dossier électronique de santé doit améliorer la qualité des traitements, accroître la sécurité des patientes et des patients dans le cadre du droit à l’autodétermination en matière d’information et, en même temps, accroître l’efficacité et contenir les coûts du système de santé en réduisant les redondances. Nous ne soutenons toutefois pas la numérisation dans le système de santé à n’importe quel prix.
Le « oui » extrêmement serré à l’e-ID dans les urnes a montré que la population en Suisse n’accepte pas l’ampleur des abus et de la surveillance aujourd’hui rendus possibles par les données. Les technologies numériques doivent satisfaire aux normes les plus élevées en matière de protection des données et de sécurité afin que la population leur fasse confiance et les accepte. Les applications numériques doivent améliorer la vie des personnes, protéger leurs droits et renforcer leur autodétermination. Avec la loi sur l’e-ID, la population a clairement indiqué qu’elle n’accepte des solutions numériques que si elles respectent le principe de minimisation des données, sont sûres et d’utilisation optionnelle.
Critique
La principale critique du projet de dossier électronique de santé concerne le passage prévu d’un système volontaire d’opt-in à un modèle d’opt-out. Au lieu de laisser les personnes en Suisse décider elles-mêmes si elles souhaitent un dossier, la Confédération veut en créer un automatiquement pour tout le monde. Celles et ceux qui ne le souhaitent pas doivent agir activement et s’y opposer. L’opposition est enregistrée dans le registre. Le caractère volontaire disparaît ainsi. (art. 20 et art. 21 LDSan)
Les prestataires de soins devraient en outre être tenus d’alimenter automatiquement le dossier avec l’ensemble des données de santé pertinentes pour le traitement – même si les personnes traitées n’ont jamais « mis en service » un tel dossier. Il s’agit d’une atteinte grave au droit fondamental à l’autodétermination en matière d’information. (art. 14, al. 1, en lien avec l’art. 14, al. 3, let. a, en lien avec l’art. 20 LDSan)
Le traitement centralisé prévu de ces données, avec un besoin de protection particulièrement élevé par la Confédération, est également problématique. Une telle architecture crée non seulement un risque élevé d’abus de données et de surveillance étatique, mais elle est aussi inutile d’un point de vue technique et organisationnel. (art. 5 LDSan)
Revendication
Nous demandons un système dans lequel chaque personne conserve, dans la mesure souhaitée, le plein contrôle sur ses données de santé. Cela inclut en particulier que le dossier électronique de santé soit volontaire.
Dans tous les cas, les données doivent être stockées avec un chiffrement de bout en bout. Les clés sont alors stockées de manière décentralisée par chaque personne concernée. Cela permet aussi de sauvegarder les clés, au besoin même imprimées sur un morceau de papier.
L’accès ne doit être accordé qu’aux prestataires de soins avec le consentement explicite des personnes concernées. Un tel consentement peut être général ou restrictif, selon la volonté de chaque personne concernée.
Au lieu de laisser l’ensemble de la population livrée à elle-même avec une lettre du canton et sa décision concernant un nouveau DES personnel, un processus d’intégration (« onboarding ») remanié est nécessaire. Celui-ci permet un conseil direct lors d’un contact (personnel) avec le système de santé et, sur cette base, une décision éclairée concernant un DES personnel. Les personnes peuvent ainsi décider de manière active et autodéterminée si elles souhaitent un DES ou non – et si oui, si elles le gèrent elles-mêmes ou en confient la gestion à un service fiduciaire. Ce processus d’intégration permet également de garantir le chiffrement du DES dès le moment où il est alimenté en données, puisque les utilisatrices et utilisateurs sont impliqués activement.
Avec un tel dossier de santé, la participation reste réellement volontaire, la sécurité des données est garantie et la vie privée est protégée.
Contexte technique
La question du lieu physique de stockage du dossier électronique de santé est en réalité secondaire. Il est toutefois essentiel que (1) les données soient accessibles aux prestataires de soins et que (2) les données restent sous le contrôle des personnes concernées. Le point (1) exclut un stockage sur les appareils des personnes concernées. Le point (2) signifie que les données sont chiffrées par les prestataires de soins avec la clé publique de la personne concernée, ce qui lui permet d’accéder (à l’aide de sa clé secrète) au dossier de santé. Et lui permet de contrôler par la suite qui d’autre doit obtenir un accès supplémentaire. Si les données sont protégées de cette manière, elles pourraient, au final, même être stockées de manière centralisée.
Pour toutes les personnes qui ne veulent pas ou ne peuvent pas participer, il faut continuer à prévoir des voies classiques de traitement et de documentation – sans aucun désavantage.
Résolu de cette manière, on pourrait tout au plus s’en tenir au principe d’opt-out proposé et créer des DES vides pour toutes les personnes. Toutefois, avant la première alimentation, des clés correspondantes devraient être générées pour tout le monde, ce qui présuppose une implication correspondante des personnes concernées. Cela nécessite un processus d’intégration différent avec une décision active pour ou contre un DES personnel, avant qu’un DES ne soit alimenté en données. Ce processus d’intégration, y compris la création des clés, doit alors avoir lieu lors du premier contact avec le système de santé (visite médicale ou similaire). À ce moment-là, toutes les personnes restent libres de se décider contre un DES après avoir reçu un conseil éclairé.
Dans cette architecture, il appartient à la Confédération de fournir le cadre légal correspondant, des logiciels librement utilisables et l’infrastructure nécessaire.
Mise en contexte des délibérations des commissions au printemps 2026
Option adaptation
Le Parlement peut remanier le projet selon les idées et principes décrits ci-dessus et par toute une série de propositions. Les éléments centraux sont l’attribution du contrôle purement aux utilisatrices et utilisateurs (sans accès par la Confédération, art. 5 et 8), le chiffrement (nouvel article 10) ainsi que le processus d’ouverture adapté (art. 20). Les propositions sont liées entre elles et ne fonctionnent pas individuellement, car il s’agit d’un concept global.
Option renvoi ou suspension
Compte tenu du remaniement nécessaire du projet, le renvoi (avec le mandat correspondant) est une véritable option. Cela permettrait à l’administration de proposer à nouveau un projet repensé avec d’autres principes (contrôle par les utilisatrices et utilisateurs, processus d’intégration autodéterminé, chiffrement).
Une suspension du projet est également une option, afin de gagner plus de temps pour le développement des bases technologiques, le cas échéant aussi dans le cadre d’un processus ouvert avec la sphère scientifique et la société civile.
Les deux options coûtent du temps – mais sont potentiellement moins risquées que le passage aux urnes avec le projet actuel.