Le dossier électronique du patient (DEP) est-il vraiment à l’abri des cyberattaques ?

La numérisation des données de santé est un sujet qui suscite en Suisse autant d’espoirs que de craintes. Au centre de ce débat se trouve le dossier électronique du patient (DEP). De nombreux citoyens suisses se demandent à juste titre : mes informations de santé les plus intimes sont-elles vraiment en sécurité dans un dossier numérique ? La peur des cyberattaques, des accès non autorisés ou simplement de la perte de contrôle est omniprésente et renforcée par la complexité de la technologie.

Les réponses habituelles à ces inquiétudes semblent souvent rassurantes, mais restent superficielles. On parle de « chiffrement de pointe », de « plein contrôle par le patient » et de la loi stricte sur la protection des données en Suisse. Bien que ces points soient corrects, ils brossent un tableau incomplet. Ils masquent les nuances et les défis pratiques qui peuvent survenir au quotidien avec le DEP. La discussion se limite souvent à la défense théorique contre des cybercriminels externes.

Mais que se passe-t-il si les plus grandes failles ne se trouvent pas dans la technologie elle-même, mais dans son application et dans les lacunes systémiques du système de santé ? Cet article choisit délibérément une autre perspective. En tant qu’analyste de la sécurité informatique dans le secteur de la santé, je regarde derrière les promesses marketing et analyse le DEP sous un angle critique mais équitable. Il ne s’agit pas de condamner le système, mais de comprendre son architecture – ses murs solides tout comme ses portes délibérément laissées ouvertes. Nous confronterons la sécurité théorique à l’application pratique et révélerons où votre gestion active en tant que patient est décisive.

Nous analysons le processus d’ouverture, plongeons dans la mécanique des droits d’accès, éclairons les raisons de l’absence de certains documents et examinons la réalité de l’accès en cas d’urgence. De plus, nous comparons la sécurité du DEP avec d’autres outils numériques et montrons pourquoi le lieu de stockage des données en Suisse est un avantage décisif. L’objectif est de vous donner une compréhension réaliste des opportunités et des risques afin que vous puissiez prendre une décision éclairée.

Cet article propose une analyse détaillée des différents aspects du DEP. L’aperçu suivant vous guidera à travers les thèmes centraux que nous traiterons afin de vous donner une base complète pour votre réflexion sur le dossier de santé numérique.

Comment ouvrir un DEP dans votre canton sans vous noyer dans la paperasse ?

L’ouverture d’un dossier électronique du patient (DEP) en Suisse a été conçue pour éviter la paperasse traditionnelle, mais le processus nécessite une préparation consciente. La première étape est le choix d’une « communauté de référence » – le fournisseur certifié de votre DEP. Le choix dépend souvent du canton de résidence. Des fournisseurs comme Post Sanela (anciennement Axsana) sont principalement actifs à Zurich et en Suisse orientale, tandis qu’Abilis opère dans toute la Suisse via des pharmacies partenaires et que CARA couvre la Suisse romande.

La clé d’une ouverture purement numérique est une identité électronique (e-ID) vérifiée. La loi fédérale prescrit que toute personne ouvrant un DEP en ligne doit disposer d’une telle identité. L’option la plus courante est la SwissID. Avec un passeport suisse biométrique ou une carte d’identité, la vérification de l’identité peut se faire entièrement numériquement de chez soi. Sans document biométrique, un contrôle physique de l’identité est nécessaire, par exemple dans une pharmacie ou un centre d’ouverture spécialisé.

Une fois votre e-ID vérifiée, vous la liez au fournisseur de DEP choisi en signant numériquement le formulaire de consentement. Après un court délai de traitement, vous recevez vos données d’accès. Une dernière étape cruciale est l’activation immédiate de l’authentification à deux facteurs (2FA). Cette mesure garantit que même en cas de vol de votre mot de passe, personne ne peut accéder à votre dossier sans votre second appareil (par exemple votre smartphone). C’est un pilier fondamental de l’architecture de sécurité personnelle de votre DEP.

Qui peut voir vos expertises psychologiques et comment bloquer l’accès ?

La fonction de sécurité centrale du DEP n’est pas un mur infranchissable, mais un système précis de contrôle d’accès qui est entièrement entre vos mains. En tant que patient, vous définissez quel professionnel de la santé peut consulter quels documents. Cela se fait via trois niveaux de confidentialité. Les documents que vous classez comme « normaux » sont accessibles à tous les professionnels de la santé que vous avez autorisés. Le niveau « limité » rend les documents visibles uniquement pour les personnes spécifiquement choisies par vous. Le niveau le plus élevé, « secret », signifie que vous seul pouvez voir le document. Les expertises psychologiques ou autres rapports sensibles devraient donc être classés par défaut comme « limités » ou « secrets ».

Cette classification proactive est le cœur de votre souveraineté sur les données. La véritable force du concept de sécurité du DEP réside toutefois dans la combinaison du contrôle préventif (droits d’accès) et de la transparence totale (journal des accès). Chaque accès individuel – qu’il s’agisse d’une lecture ou du téléchargement d’un nouveau document – est consigné nominativement avec un horodatage. Ces journaux ne peuvent être ni manipulés ni supprimés et restent visibles pendant 10 ans conformément aux dispositions légales de la LDEP. Cela crée un fort effet de dissuasion contre toute curiosité non autorisée.

Comme le souligne la plateforme officielle d’information sur le DEP patientendossier.ch, ce système assure une traçabilité maximale :

Le journal des accès consigne nominativement qui a consulté ou déposé des documents et à quel moment : le physiothérapeute Müller, la pharmacienne Gerber ou son assistante Meier. Vous pouvez ainsi non seulement vérifier qui a accédé à votre DEP, mais aussi voir les modifications que vous y avez apportées.

– patientendossier.ch, Plateforme officielle d’information DEP

La sécurité des données sensibles ne dépend donc pas d’un système anonyme, mais de votre gestion active des niveaux de confidentialité et du contrôle régulier du journal des accès. Il s’agit d’un changement de paradigme, passant d’un espoir passif de sécurité à une gestion active.

Pourquoi manque-t-il souvent des rapports importants dans le DEP, alors que le médecin serait obligé de les télécharger ?

L’une des plus grandes sources de frustration pour les utilisateurs du DEP est un dossier apparemment vide ou incomplet. On s’attend à une anamnèse numérique complète, mais on ne trouve souvent que peu de documents. Cela est dû à une lacune systémique qui illustre la différence entre l’obligation théorique et la réalité pratique. Certes, les hôpitaux et les établissements médico-sociaux sont obligés, selon la loi fédérale sur le dossier électronique du patient, de se raccorder au système DEP depuis 2020 ou 2022 et d’y télécharger les documents pertinents. Il en va de même pour les cabinets médicaux nouvellement autorisés.

Cependant, le problème crucial est le suivant : pour tous les médecins installés avant 2022, la participation au DEP est facultative. Une grande partie des professionnels de la santé exerçant en ambulatoire en Suisse n’est donc (pas encore) raccordée au système. Si votre médecin de famille ou votre spécialiste fait partie de ce groupe, ses rapports n’apparaîtront pas automatiquement dans votre DEP. Cette lacune dans l’obligation de participer est la raison principale du remplissage souvent lacunaire des dossiers.

Un autre point souvent mal compris est le but du DEP. Il n’est pas conçu comme un duplicata complet du dossier médical du médecin. Les professionnels de la santé sont encouragés à ne télécharger que les informations qui sont pertinentes pour la suite du traitement par d’autres spécialistes. Les notes internes ou les résultats intermédiaires qui ne sont pas impératifs pour la continuité du traitement restent souvent dans le logiciel local du cabinet. Le DEP est donc par définition un « best-of » des documents les plus importants, et non une chronique exhaustive.

Que pouvez-vous faire ? Parlez activement du DEP à vos médecins. Demandez-leur de vous fournir les rapports importants sous forme numérique (par exemple par e-mail) afin que vous puissiez les télécharger vous-même dans votre dossier. Cette initiative personnelle est actuellement le seul moyen de combler les lacunes créées par les cabinets non participants. Elle souligne à nouveau le principe selon lequel la qualité du DEP dépend fortement de la participation active du patient.

L’erreur de croire qu’en cas d’urgence, l’ambulancier connaîtra votre code

Un malentendu fréquent est de supposer que le DEP sert de canal d’information primaire lors d’une urgence médicale aiguë. L’idée que l’ambulancier puisse simplement accéder au DEP en cas d’inconscience pour s’informer des allergies ou des maladies préexistantes est malheureusement une illusion en pratique. Techniquement et juridiquement, les services de secours en Suisse n’ont pas d’accès direct standardisé au DEP. Les obstacles pour empêcher l’abus d’une telle « clé universelle » sont élevés, et une solution sécurisée à l’échelle nationale n’existe pas encore, bien que des projets pilotes soient en cours.

En réalité, les ambulanciers s’appuient sur des sources d’information plus établies. Le premier point de contact est souvent la carte d’assurance-maladie, sur laquelle des informations de base comme le groupe sanguin ou les allergies peuvent être enregistrées. Tout aussi importantes sont les informations trouvées directement sur le corps ou dans les objets personnels. Se fier exclusivement au DEP en cas d’urgence est donc non seulement peu fiable, mais potentiellement dangereux. Cela révèle un fossé critique entre l’ambition globale de la numérisation et la réalité analogique de la médecine d’urgence.

Au lieu de compter sur une fonctionnalité inexistante, vous devriez assurer la redondance de manière proactive. Il existe plusieurs méthodes éprouvées pour garantir que les informations vitales sont disponibles en cas d’urgence. Ces alternatives ne remplacent pas le DEP, mais le complètent pour le contexte spécifique de l’urgence :

• Créez une carte d’urgence plastifiée pour votre portefeuille, contenant les diagnostics, médicaments, allergies et contacts d’urgence les plus importants.
• Utilisez la fonction « Fiche d’urgence » ou « Medical ID » de votre smartphone, accessible même lorsque l’écran est verrouillé.
• Demandez à votre médecin de famille si des données pertinentes peuvent être enregistrées sur votre carte d’assurance.
• Informez vos proches de votre situation de santé et de l’endroit où se trouvent les documents importants.

La sécurité en cas d’urgence n’est pas garantie par une seule technologie, mais par un réseau de mesures complémentaires.

Quand pouvez-vous montrer sans problème votre dossier zurichois à un médecin au Tessin ?

La structure fédérale de la Suisse se reflète également dans l’architecture du DEP, avec différents fournisseurs (communautés de référence) dans différentes régions. Cela amène souvent à la question : mon DEP de Post Sanela à Zurich fonctionne-t-il aussi chez un médecin au Tessin qui utilise peut-être e-Health Ticino ? La réponse est un oui clair. L’interopérabilité nationale est l’un des piliers centraux du système DEP, ancré dans la loi.

La loi fédérale sur le dossier électronique du patient (LDEP) prescrit impérativement que toutes les communautés de référence certifiées doivent être techniquement compatibles. Comme le confirme patientendossier.ch dans sa FAQ, la loi garantit que le système fonctionne dans toute la Suisse, quel que soit le fournisseur auquel appartiennent le patient et le professionnel de la santé. Un médecin au Tessin peut donc, avec votre autorisation d’accès explicite, consulter les documents téléchargés par votre spécialiste zurichois. Cette mise en réseau est la valeur ajoutée décisive du DEP par rapport aux systèmes locaux isolés des cabinets médicaux et permet une continuité de traitement supra-cantonale.

Le tableau suivant donne un aperçu des plus grandes communautés de référence et confirme leur interopérabilité totale, assurant une communication fluide par-delà les frontières cantonales et linguistiques.

Ce réseau interopérable est un avantage essentiel, que ce soit lors d’une urgence en vacances, pour obtenir un deuxième avis dans un autre canton ou lors d’un déménagement. La souveraineté sur les données reste toujours entre vos mains : aucun médecin ne peut accéder à votre dossier sans votre validation active, où qu’il se trouve en Suisse.

Pourquoi le « Swiss Cloud » est-il l’alternative la plus sûre aux fournisseurs américains pour les avocats et les banques ?

L’une des garanties de sécurité les plus fondamentales, mais souvent négligées, du DEP est de nature purement géographique et juridique : le lieu de stockage des données. La loi fédérale prescrit sans équivoque que 100 % des données du DEP doivent être stockées physiquement en Suisse. Cela peut sembler être un détail technique, mais du point de vue de la protection des données, c’est un rempart décisif qui va bien au-delà du simple chiffrement. Toutes les données sont ainsi exclusivement soumises au droit suisse strict.

Cette approche « Swiss Cloud » protège les données contre l’accès des autorités étrangères, en particulier celles des États-Unis. Ce qu’on appelle l’US CLOUD Act permet aux autorités américaines d’accéder aux données des entreprises américaines (comme Amazon, Google, Microsoft), même si ces données sont stockées sur des serveurs à l’étranger – donc aussi en Suisse. Si les données de santé étaient hébergées chez un hyperscaler américain, il existerait une porte d’entrée juridique qui pourrait contourner la législation suisse. C’est précisément ce risque qui est éliminé par l’utilisation exclusive d’une infrastructure suisse certifiée pour le DEP.

Cette réglementation est identique aux exigences que les cabinets d’avocats, les banques et autres détenteurs de secrets professionnels imposent à leur infrastructure informatique. Ils stockent également leurs données les plus sensibles de préférence chez des fournisseurs suisses pour se soumettre à la seule juridiction du droit suisse. Le DEP bénéficie ainsi du même statut de protection élevé qu’un secret bancaire ou un secret professionnel d’avocat en ce qui concerne le lieu d’accès physique et juridique. C’est une différence fondamentale avec de nombreuses applications de santé ou de fitness commerciales, dont les données se trouvent souvent sur des serveurs répartis mondialement appartenant à des groupes américains.

La combinaison d’un chiffrement de bout en bout solide et de la forteresse juridique du lieu de stockage en Suisse constitue le fondement externe de la sécurité du DEP. Elle protège le système dans son ensemble contre des accès à grande échelle, légitimés par l’État, depuis l’étranger. La protection contre une cyberattaque n’est donc pas seulement une question de pare-feu, mais aussi du passeport que possède le fournisseur de cloud.

TWINT ou espèces : quel moyen de paiement protège réellement mieux votre vie privée ?

Pour mieux situer les caractéristiques de protection des données du DEP, une comparaison avec des actes quotidiens comme le paiement est utile. Le choix entre TWINT et les espèces est une bonne analogie pour illustrer le concept de traces de données et de contrôle. L’argent liquide est anonyme. Une transaction ne laisse aucune trace numérique directement liée à votre identité. L’inconvénient : en cas de perte ou de vol, l’argent est définitivement perdu, et il n’y a aucune preuve de l’opération.

TWINT, en revanche, est exactement le contraire. Chaque paiement est intégralement enregistré numériquement et est clairement attribué à votre personne. Cela offre confort et sécurité en cas de remboursement, mais crée aussi un profil détaillé de votre comportement d’achat, qui peut être analysé par la banque ou TWINT SA. Vous échangez votre vie privée contre de la commodité et de la traçabilité. Le contrôle sur les données collectées n’est pas entre vos mains, mais entre celles du fournisseur de services, bien que dans le cadre de la loi suisse sur la protection des données.

Le DEP se positionne comme une troisième voie qui tente de combiner les avantages des deux mondes : la traçabilité sous votre seul contrôle. Comme avec TWINT, chaque action – chaque accès à un document – est intégralement journalisée. Contrairement à TWINT, ce ne sont pas des tiers (comme une banque) qui sont les observateurs primaires de ce journal, mais vous-même. Vous avez à tout moment une vue d’ensemble sur qui a accédé à quelles données et quand. En même temps, contrairement à l’anonymat de l’argent liquide, vous déterminez proactivement qui peut même effectuer une « transaction » (un accès aux données). La comparaison suivante illustre ces différences.

Le DEP n’est donc pas un espace anonyme, mais un coffre-fort transparent. Le risque n’est pas l’analyse secrète de vos données, mais un accès non autorisé – qui serait toutefois immédiatement remarqué et suivi grâce à la journalisation. Cette architecture mise sur la dissuasion par la transparence.

Pourquoi économisez-vous 15 % de prime d’assurance maladie avec le modèle Telmed ?

Outre le DEP, il existe d’autres offres de santé numériques en Suisse qui proposent souvent des incitations financières. L’exemple le plus proéminent est le modèle Telmed des caisses d’assurance maladie. Les assurés de ce modèle s’engagent à contacter d’abord un centre de conseil médical par téléphone ou via une application avant chaque visite chez le médecin. Ce tri effectué par du personnel médical qualifié vise à éviter les visites inutiles chez le médecin et à réduire les coûts de la santé. En récompense, les caisses accordent, selon les comparaisons actuelles des caisses maladie suisses, un rabais de prime de 15 à 20 % par rapport au libre choix du médecin.

Du point de vue de la sécurité, la comparaison entre une application Telmed et le DEP est révélatrice. Bien que les deux traitent des données de santé numériques, ils sont soumis à des réglementations totalement différentes. Le DEP est régi dans les moindres détails par une loi fédérale stricte (LDEP) : le chiffrement de bout en bout, le stockage des données exclusivement en Suisse, le contrôle d’accès granulaire par le patient et la journalisation intégrale sont prescrits par la loi et contraignants pour tous les fournisseurs.

Les applications Telmed, quant à elles, sont soumises aux dispositions générales de protection des données et aux conditions générales de la caisse maladie concernée. L’architecture de sécurité n’est pas standardisée par la loi. Les données pourraient potentiellement être transmises à des tiers ou stockées sur des serveurs hors de Suisse, selon la conception du service. L’échange de données se fait entre vous et la caisse maladie (ou son prestataire), et non dans un système en réseau de professionnels de la santé que vous contrôlez. Vous échangez une partie de votre autodétermination informationnelle et potentiellement un niveau de sécurité inférieur contre une économie de prime significative.

Cela montre que la « santé numérique » n’est pas un concept monolithique. Le DEP, avec son accent sur le contrôle maximal du patient et ses normes de sécurité ancrées dans la loi, représente un système unique, mais aussi plus complexe et (jusqu’à présent) sans incitation financière. Les modèles Telmed sont plus pragmatiques, axés sur les coûts et déplacent davantage le contrôle des données vers le fournisseur. La décision pour ou contre un tel modèle est donc aussi un arbitrage entre coûts, commodité et degré de souveraineté souhaité sur les données.

L’analyse montre que le dossier électronique du patient est un outil puissant mais exigeant. Sa sécurité contre les cyberattaques externes est très élevée grâce à son architecture décentralisée, son chiffrement fort et le cadre juridique suisse. Les risques les plus importants se situent à l’intérieur du système et dans son application. Un droit d’accès accordé par inadvertance ou la confiance aveugle en un remplissage exhaustif sont des dangers plus réalistes qu’une cyberattaque de grande envergure. L’ultime sécurité du DEP dépend donc intrinsèquement de votre volonté d’assumer le rôle de gestionnaire actif et critique de vos propres données de santé. Commencez dès aujourd’hui à façonner consciemment le contrôle de vos données de santé numériques en ouvrant un DEP et en gérant activement ses paramètres de sécurité.