Fuite de dossier médical en Suisse : qui est responsable selon la LPD ?
Une fuite de données de santé peut être très intrusive, et la première question est souvent la même : qui répond de l’incident, l’hôpital, la clinique, le cabinet, le prestataire IT ou la plateforme de rendez-vous ? Dans cet article, l’équipe JuriUp vous aide à comprendre, selon la législation suisse et la LPD, comment la responsabilité est généralement répartie, quoi demander concrètement et quelles traces conserver pour protéger vos droits sans surestimer vos prétentions.
La question posée
« Je viens de recevoir un message d’un hôpital dans le canton de Genève indiquant qu’un incident de sécurité pourrait avoir exposé des données liées à mon suivi médical. Le message évoque aussi un prestataire informatique externe et une plateforme de prise de rendez-vous. Qui est responsable selon la LPD, et que dois-je faire tout de suite ? »
Équipe JuriUp
Équipe de rédaction et de contenu juridique JuriUp, en collaboration avec des avocats partenaires en protection des données et droit de la santé.
La réponse de l’équipe JuriUp
En cas de fuite de données médicales en Suisse, la question de la responsabilité dépend rarement d’un seul acteur. En pratique, la LPD distingue généralement entre celui qui décide pourquoi et comment les données sont utilisées, et ceux qui traitent les données pour son compte. L’établissement qui organise le suivi du patient reste souvent au centre du dispositif, même quand l’informatique est externalisée, mais chaque situation doit être analysée selon les faits, les contrats et l’organisation concrète.
1. Pourquoi les données de santé sont si sensibles
Les données de santé sont, selon la législation suisse, des données particulièrement sensibles. Une fuite ne concerne pas seulement un nom ou une adresse, elle peut révéler un diagnostic, un traitement, une hospitalisation, une incapacité de travail, des résultats de laboratoire, ou des éléments intimes qui peuvent avoir des conséquences sociales et économiques. C’est pour cela qu’en 2026, lorsqu’un hôpital, une clinique ou un cabinet privé traite des données médicales, on attend généralement un niveau de sécurité plus élevé et une gestion d’incident plus rigoureuse. Cela ne signifie pas automatiquement que vous obtiendrez une indemnisation, mais cela renforce l’importance des mesures organisationnelles et techniques, ainsi que la qualité de la réaction de l’organisme concerné.Attention : Une notification d’incident ne veut pas toujours dire que vos données ont été publiées ou consultées par un tiers. Elle peut aussi indiquer un risque sérieux ou une exposition potentielle. La nuance compte, surtout pour évaluer un préjudice.
2. Qui décide et qui traite : hôpital, médecin, prestataire IT
Pour comprendre « qui est responsable », il est utile de raisonner de façon simple. Dans la plupart des cas, l’acteur principal est celui qui fixe les finalités du traitement, par exemple assurer votre prise en charge, gérer le dossier patient, facturer, planifier des rendez-vous, coordonner des examens. Autour de lui, on trouve souvent des acteurs qui rendent un service technique ou organisationnel, comme un hébergeur, un éditeur de logiciel médical, un centre d’appels, ou une plateforme de prise de rendez-vous. Dans ce type d’organisation, l’établissement de soins reste généralement tenu de choisir des prestataires adéquats, de cadrer leurs accès, et de surveiller le respect des mesures de sécurité attendues. Le prestataire IT peut aussi avoir sa propre responsabilité, notamment si la faille provient de ses systèmes, de ses erreurs de configuration ou d’un manquement à des obligations de sécurité. La réponse concrète dépend des rôles, des instructions reçues et de la marge de décision de chacun. Une difficulté fréquente en Suisse romande concerne les médecins indépendants qui exercent dans une structure. Selon la manière dont le dossier est organisé, un médecin indépendant peut être responsable de certains traitements, tandis que la clinique ou le centre médical est responsable d’autres traitements, par exemple la prise de rendez-vous centralisée ou l’archivage.Conseil pratique
Si la notification mentionne plusieurs acteurs, demandez clairement qui est votre interlocuteur LPD pour cet incident. C’est souvent l’établissement où vous avez été traité, même si l’incident technique vient d’un fournisseur externe. Si vous ne recevez pas de réponse claire, un avocat spécialisé en protection des données peut vous aider à structurer vos demandes et à éviter des échanges stériles.
3. Scénarios fréquents en Suisse romande
Sans entrer dans des délais ou des montants qui dépendent du cas, voici des situations typiques où la question « responsabilité hôpital LPD » se pose.- Hôpital ou clinique : erreur d’envoi (courriel au mauvais destinataire, pièce jointe mal adressée, fax ou courrier). Ici, la cause est souvent interne, et la responsabilité se discute principalement au niveau de l’établissement.
- Cabinet privé : compte e-mail compromis (mots de passe faibles, phishing, absence de double authentification). Le cabinet peut être au centre, mais il faut aussi vérifier si un prestataire gère l’infrastructure et les sauvegardes.
- Prestataire IT : faille technique (serveur mal configuré, vulnérabilité non corrigée, sauvegarde exposée). L’établissement de soins reste souvent exposé vis-à-vis des patients, puis il peut se retourner contractuellement contre le prestataire selon les accords en place.
- Plateforme de rendez-vous : fuite liée à un compte patient. Selon le service, la plateforme peut traiter des données pour le compte de l’établissement ou pour ses propres finalités. Le partage des responsabilités dépend de l’organisation concrète.
- Accès interne abusif (consultation du dossier sans motif). Les établissements doivent en principe encadrer les accès et tracer les consultations, mais l’évaluation dépend des politiques internes, des contrôles et des journaux d’accès disponibles.
4. Que faire si vous recevez une notification d’incident
Si vous recevez une notification, évitez de répondre sous le coup de l’émotion. L’objectif est d’obtenir des informations utiles, de conserver des preuves et de réduire le risque concret pour vous, par exemple un risque d’escroquerie, d’usurpation d’identité ou d’atteinte à votre sphère privée. Voici ce que vous pouvez généralement demander, de façon factuelle, par écrit.- Quelles catégories de données sont concernées, et si des données médicales détaillées font partie de l’incident.
- La période durant laquelle l’exposition a pu se produire, et si l’accès non autorisé est confirmé ou seulement possible.
- Les mesures prises pour contenir l’incident, et les mesures supplémentaires prévues.
- Les acteurs impliqués, par exemple hébergeur, éditeur logiciel, sous-traitants, et l’interlocuteur responsable côté établissement.
- Les recommandations pour vous, par exemple changement de mot de passe, vigilance face à des tentatives de contact, ou monitoring de comptes.
À conserver : Gardez la notification reçue, les captures d’écran, les e-mails, les lettres, et une chronologie simple des événements. Si vous constatez des conséquences concrètes, conservez aussi les preuves, comme échanges avec une banque, démarches auprès d’un assureur, ou frais engagés.
Les points clés à retenir
Démarches recommandées
- Relire la notification et identifier l’établissement de soins concerné, la période, et la nature des données potentiellement exposées.
- Demander des précisions par écrit sur les catégories de données, l’accès confirmé ou non, et les mesures de correction.
- Conserver toutes les preuves (message initial, captures d’écran, échanges, chronologie, documents).
- Sécuriser vos comptes si un accès patient existe (mot de passe unique, double authentification si disponible) et rester vigilant face aux tentatives de phishing.
- Documenter les conséquences si elles apparaissent (temps passé, démarches, frais, impacts concrets).
- Demander un avis si la situation est sensible ou confuse, en particulier si plusieurs acteurs se renvoient la responsabilité.
Vous voulez savoir qui est responsable et quoi demander, sans perdre du temps ?
Décrivez votre situation sur JuriUp et nous vous mettons gratuitement en relation avec un expert juridique adapté, par exemple un avocat spécialisé en protection des données ou en droit de la santé, dans votre canton en Suisse romande. Le service est confidentiel, et vous gardez la main sur la suite.
Vous pouvez aussi consulter d’autres contenus pratiques sur le blog JuriUp. Si vous êtes confronté à des questions de preuves et de responsabilité dans un autre contexte, ces articles peuvent aussi vous intéresser : responsabilité, assurance et preuves en cas de dégâts après des travaux, checklist de réception de travaux et défauts, chantier à l’arrêt quand l’entrepreneur ne revient plus, et vos droits en cas de travaux dans un appartement loué.
Questions fréquentes
-
Une fuite de données médicales donne-t-elle automatiquement droit à une indemnisation en Suisse ?
Généralement non. Une fuite peut justifier des explications, des mesures de protection et, selon les cas, des démarches plus poussées. Pour une indemnisation, il faut en principe analyser la gravité de l’atteinte et surtout ses conséquences concrètes, au cas par cas. Si vous hésitez sur la manière d’évaluer votre situation, un avis d’un avocat spécialisé via JuriUp vous évite souvent de surévaluer, ou au contraire de sous-estimer, vos droits.
-
Si l’hôpital dit que c’est la faute d’un prestataire IT, à qui dois-je écrire ?
Dans la plupart des cas, commencez par l’établissement de soins qui vous a notifié l’incident et demandez-lui de confirmer l’interlocuteur responsable du suivi LPD. Même en présence d’un prestataire externe, l’établissement reste souvent votre point de contact. Si les acteurs se renvoient la balle, JuriUp peut vous orienter vers un expert juridique pour structurer une demande claire et obtenir des réponses utiles.
-
Que dois-je demander dans une notification d’incident pour vraiment comprendre le risque ?
Demandez quelles données sont concernées, si l’accès non autorisé est confirmé ou seulement possible, et quelles mesures ont été prises. Une formulation simple et factuelle suffit souvent. Conservez aussi une copie de toutes les réponses, car la chronologie peut devenir importante si l’incident a des conséquences ultérieures.
-
La plateforme de rendez-vous est-elle responsable si mon nom et mon rendez-vous ont fuité ?
Cela dépend du rôle de la plateforme et de ce qu’elle fait réellement avec les données. Dans certains modèles, elle traite des données pour le compte d’un établissement. Dans d’autres, elle peut avoir ses propres finalités. Si vous voulez une réponse fiable, il faut analyser les faits, les flux de données et parfois les conditions contractuelles.
-
Comment réagir si je soupçonne un accès abusif à mon dossier médical par une personne interne ?
Demandez à l’établissement quelles vérifications peuvent être faites et si des traces d’accès existent. Restez factuel, gardez une copie de vos demandes et des réponses. Si la situation est sensible, notamment dans un contexte de conflit, un avocat spécialisé peut vous aider à formuler la demande de manière à obtenir une réponse exploitable.
