Neuf ans après sa création, l’autorité de protection des données de Singapour (Commission) a publié en septembre 2023 un ensemble actualisé de lignes directrices consultatives pour le secteur des soins de santé (lignes directrices révisées).
Comme les autres lignes directrices consultatives publiées par la Commission, les lignes directrices révisées ne sont pas destinées à être juridiquement contraignantes, mais elles guideront l’interprétation et l’application de la loi globale de Singapour sur la protection des données, la loi sur la protection des données personnelles (PDPA), dans le contexte du secteur des soins de santé en plein essor de la nation.
Singapour, destination du tourisme médical
Singapour s’enorgueillit d’un secteur de la santé solide qui s’appuie sur des systèmes et des infrastructures informatiques et numériques de pointe. Elle attire chaque année plus de 500 000 touristes médicaux, ce qui représente environ 1 milliard de dollars de dépenses touristiques. Les principaux prestataires de soins de santé ont établi leur siège régional à Singapour, et le marché des soins de santé du pays devrait atteindre 49,4 milliards de dollars américains d’ici 2029[1].
Réglementation sur la confidentialité des données à Singapour
Alors que la PDPA a été introduite à Singapour pour la première fois en 2012, la loi a été modifiée de manière significative en 2020, avec des changements clés apportés pour mettre en œuvre :
De toutes nouvelles bases juridiques pour le traitement des données à caractère personnel, y compris pour les intérêts légitimes ou pour un objectif d' »amélioration des affaires » de l’organisation responsable du traitement. Ces bases légales supprimeraient la nécessité d’obtenir un consentement.
Un droit à la portabilité des données qui peut être exercé par les individus (les détails de la mise en œuvre devraient suivre en temps voulu).
L’obligation de signaler les violations de données.
des sanctions financières plus lourdes, pouvant aller jusqu’à 10 % du chiffre d’affaires annuel (national) d’une organisation.
Les règles actualisées reflètent l’impact de la numérisation sur le secteur des soins de santé
Dans le même ordre d’idées, les lignes directrices révisées apportent de nombreuses mises à jour importantes. Principalement, elles :
Précisent quand :
Le consentement est valide.
Le consentement est réputé avoir été donné par le patient.
Il est raisonnable d’utiliser des données dans un but particulier.
Faire référence à des exemples de cas réels pour illustrer quand et comment les obligations de la LPDP s’appliquent.
Intégrer les bases juridiques nouvelles et/ou révisées introduites par les modifications apportées à la LPDP en 2020, à savoir
L’exception de l’intérêt légitime
Il peut s’agir d’une
(i) d’une exception générale qui exige de l’organisation qu’elle évalue que ses intérêts légitimes l’emportent sur tout effet négatif sur l’individu, puis qu’elle atténue tout effet négatif ; ou
(ii) d’une exception spécifique spécifiée dans la LPDP, par exemple à des fins d’évaluation dans le contexte de l’emploi, dans le cadre d’une enquête ou d’une procédure judiciaire, ou pour le recouvrement ou le paiement d’une dette.
L’exception relative à l’amélioration des affaires
Cette exception peut être invoquée pour des données à caractère personnel déjà collectées lorsqu’elles sont utilisées pour :
(i) développer de nouveaux biens, services, méthodes ou processus d’exploitation commerciale ;
(ii) comprendre le comportement des consommateurs ; ou
(iii) personnaliser les produits pour eux.
L’exception en faveur de la recherche
Cette exception permet aux organisations de mener de vastes activités de recherche et de développement, y compris dans le domaine des produits de santé ou de la médecine, sous réserve des conditions suivantes :
(i) la recherche ne peut être raisonnablement effectuée sans que les données soient sous une forme permettant l’identification individuelle ;
(ii) l’intérêt public est manifeste ;
(iii) les résultats ne seront pas utilisés pour prendre une décision qui affecte la personne ;
(iv) toute publication des résultats ne doit pas permettre d’identifier la personne concernée ; et
(v) en cas de divulgation, il n’est pas possible de demander le consentement de la personne concernée.
Les lignes directrices révisées prévoient des exemples de cas spécifiques pour illustrer la manière dont ces règles pourraient s’appliquer, dans les contextes suivants
de la collecte de données personnelles de patients à des fins de soins médicaux
de l’obtention du consentement du patient pour le traitement de ses données par des étudiants en médecine ou des médecins en stage ;
les références ; et
à d’autres fins, telles que l’assurance qualité, l’enseignement, le marketing, les situations d’urgence, les fusions et les acquisitions.
Des illustrations spécifiques ont également été insérées pour clarifier la manière dont les organisations de soins de santé doivent répondre aux demandes d’accès et de correction, ainsi que la manière de se conformer aux obligations d’exactitude, de protection, de conservation, de transfert transfrontalier, de notification des violations de données et d’obligation de rendre compte prévues par la LPDP. Enfin, des scénarios supplémentaires ont été ajoutés pour aider les organismes de santé à s’y retrouver dans les règles relatives au programme « Do Not Call » de Singapour, qui est un registre national d’exclusion du télémarketing, lorsqu’ils communiquent avec des patients.
Remarques finales
Les lignes directrices révisées soulignent l’ampleur (et l’expansion) des cas d’utilisation des données des patients dans et par l’industrie des soins de santé. Plus important encore, elles fournissent des orientations indispensables sur l’impact réglementaire de la LPDP sur les entreprises opérant dans l’écosystème des soins de santé de Singapour, ainsi que des solutions pragmatiques pour une mise en conformité proactive. L’accent mis sur la protection de la vie privée des patients, juxtaposé à d’autres objectifs politiques tels que le maintien d’un niveau élevé de santé publique et la garantie d’une réputation solide et florissante pour nos établissements de santé dans le monde, représente une approche collaborative qui est également tournée vers l’avenir et qui devrait être accueillie favorablement par toutes les parties prenantes.
