RGPD

Règlement général sur la protection des données (RGPD)

En tant que dispensateur de soins, vous êtes amené à traiter des données personnelles. Vous devez donc vous conformer au Règlement général sur la protection des données (RGPD), d’application depuis le 25 mai 2018. Les informations ci-dessous vous présentent les grandes lignes du RGPD. Seul le RGPD est considéré comme la source officielle.


Le RGPD : de quoi s’agit-il ?

Le RGPD, mieux connu par l’abréviation anglaise « GDPR » pour « General Data Protection Regulation », introduit de nouvelles règles en matière de gestion et de protection de données à caractère personnel pour les traitements des données effectués dans le cadre des activités d’un établissement (du responsable de traitement ou d’un sous-traitant) sur le territoire de l’Union européenne (UE). Peu importe que le traitement ait lieu ou non dans l’UE.

Il définit la façon de traiter les données personnelles, c.-à-d. toutes les données permettant d’identifier une personne physique.

Le RGPD :

  • renforce les principes de base qui sont le cœur de la protection des données et qui existaient déjà dans la Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel
  • renforce les obligations qui étaient déjà prévues par cette même loi, auxquelles vous étiez déjà tenu, en particulier en ce qui concerne les données de santé de votre patientèle
  • prévoit des sanctions.

Quel est l’objectif du RGPD ?

L’objectif du RGPD est :

  • d’harmoniser les législations nationales en matière de protection de la vie privée au sein de l’Union européenne
  • d’adapter les règles à la nouvelle réalité numérique
  • de donner aux citoyens davantage de droits sur l’utilisation qui est faite de leurs données personnelles.

Quelle est l’autorité administrative responsable en Belgique ?

L’autorité administrative responsable du contrôle et de la bonne application du RGPD en Belgique est l’Autorité de protection des données (APD). En vertu de la loi du 3 décembre 2017 portant sa création, l’APD remplace depuis le 25 mai 2018 la Commission de la protection de la vie privée. Elle est en mesure de mener des audits et obtient des pouvoirs de sanction et de répression.

Qu’entend-on par données à caractère personnel ?

Selon l’article 4, §1er du RGPD, il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable (…) ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Si un code remplace les données d’identification, la personne reste indirectement identifiable. Les informations codifiées doivent être protégées de la même manière que les données personnelles.

Nous parlons de données anonymes seulement lorsque l’information ne peut raisonnablement plus être liée à un individu (en tenant compte de la technologie disponible). Dans ce cas, le RGPD n’est alors plus applicable.

Qu’entend-on par données « sensibles » ?

Le RGPD prévoit une protection particulière pour les données à caractère personnel « sensibles ».

Les données de santé et génétiques font notamment partie de ces données « sensibles », au même titre que les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données biométriques aux fins d’identifier une personne physique de manière unique, ainsi que les données concernant la vie sexuelle ou l’orientation sexuelle.

Qu’entend-on par traitement de données ?

Il s’agit de toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel (p. ex. collecte, enregistrement, conservation, communication par transmission, effacement ).

A quels principes de base devez-vous vous conformer lorsque vous traitez des données à caractère personnel ?

  • Licéité, loyauté et transparence
    Vous devez traiter les données à caractère personnel de manière licite, loyale et transparente au regard de la personne concernée.
  • Limitation des finalités
    Les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées que d’une manière compatible avec ces finalités.
  • Minimisation des données
    Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • Exactitude
    Les données à caractère personnel doivent être exactes et tenues à jour. Les données qui sont inexactes doivent être effacées ou rectifiées sans tarder.
  • Limitation de la conservation
    Les données à caractère personnel ne peuvent pas être conservées plus longtemps que nécessaire.
  • Intégrité et confidentialité
    Les mesures (techniques et organisationnelles) nécessaires sont prises pour garantir un traitement sécurisé des données à caractère personnel.

Quels sont les droits des personnes concernées ?

Le RGPD confère des droits aux personnes concernées que vous devez respecter, sauf exceptions légales (conservation du dossier patient, réglementation fiscale, etc.) :

Droit à l’information

Lorsque vous collectez des données à caractère personnel, vous devez fournir des informations à la personne concernée.

Vous devez transmettre ces informations :

  • de manière claire :
    • d’une façon concise, compréhensible et aisément accessible
    • en des termes clairs
    • surtout si l’information est destinée à un enfant
    • par écrit et au besoin par voie électronique
    • oralement si la personne concernée en fait la demande
  • gratuitement
    • si les demandes sont manifestement infondées ou excessives, le paiement de frais raisonnables peut être réclamé ou le responsable peut refuser la demande
    • sans porter préjudice aux droits de tiers : secret professionnel, droits de propriété intellectuelle, copyright.

Quelles sont les informations à fournir à la personne concernée ?

Lorsque des données sont collectées auprès de la personne concernéeLorsque des données ne sont pas collectées auprès de la personne concernée
L’identité et les coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données
Les finalités du traitement auquel sont destinées les données ainsi que la base juridique du traitement
Lorsque le traitement est fondé sur l’article 6 (1)(f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiersLes catégories de données à caractère personnel concernées
Les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent
Si d’application, le fait que le responsable du traitement a l’intention de transmettre les données vers un pays tiers ou une organisation internationale ; ou s’il existe ou non une décision d’adéquation de la Commission européenne ; quelles sont les garanties appropriées ou adaptées ; les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition
La durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
 Lorsque le traitement est fondé sur l’article 6(1) (f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
L’existence du droit d’accès et de rectification ou d’effacement des données, de limitation du traitement, le droit de s’opposer au traitement et le droit à la portabilité des données
Le droit de retirer son consentement à tout moment, pour les traitements basés sur l’article 6.1(a) ou 9.2(a)
Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Des informations précisant si la fourniture de données est une obligation légale ou contractuelle ou si elle constitue une condition nécessaire à la conclusion d’un contrat et si la personne concernée est tenue de fournir les données + les conséquences éventuelles de la non-communication de ces donnéesLa source d’où proviennent les données et, si d’application, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.
L’existence d’une prise de décision automatisée, y compris un profilage, visé à l’article 22, (1 et 4), et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée

 

Droit d’accès

Toute personne concernée a le droit d’accès et de copie des données à caractère personnel traitées (notamment le dossier patient). Les règles de la Loi du 22 août 2002 relative aux droits du patient restent d’application.

Droit de rectification

Toute personne a le droit de demander que les données inexactes ou incomplètes traitées soient rectifiées ou complétées (p. ex. adresse du patient).

Droit d’effacement (à l’oubli)

Les données de la personne qui en fait la demande doivent être supprimées dans les meilleurs délais. Si ces données ont été transmise à des tiers, vous devez informer ces tiers pour qu’ils les effacent. Ce droit ne s’applique cependant pas intégralement pour les données médicales, le délai de conservation reste d’application. Une limitation porte également sur les traitements opérés pour des motifs d’intérêt public liés à la santé publique.

Droit à la limitation du traitement

Toute personne peut vous demander, dans des cas spécifiques, de ne pas traiter ses données, ce qui vous octroie seulement le droit de les stocker. Cependant, des motifs d’intérêt public peuvent impliquer un traitement plus important que le seul stockage.

Obligation de notification

Vous devez communiquer à la personne concernée toute rectification ou effacement de ses données.

Droit à la portabilité des données

Toute personne peut demander à récupérer ses données (dans une forme électronique, couramment utilisée et structurée) pour pouvoir changer de responsable de traitement de données.

Droit d’opposition

Sauf exceptions légales, toute personne peut refuser que vous traitiez ses données.

Quand pouvez-vous traiter des données à caractère personnel ?

Principes de base

Vous pouvez traiter les données à caractère personnel à l’une des conditions suivantes :

  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. 
    • le consentement doit être donné sur une base volontaire, doit être informé, doit être spécifique et clair
    • le responsable du traitement doit prouver le consentement
    • la personne concernée a le droit de retirer son consentement à tout moment.
  • le traitement est nécessaire pour exécuter un contrat auquel la personne concernée est partie ou pour exécuter des mesures précontractuelles prises à la demande de celle-ci.
  • le traitement est nécessaire pour respecter une obligation légale à laquelle le responsable du traitement est soumis.
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; p.ex. traitement des données à caractère personnel lors d’une admission dans un service d’urgence.
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • le traitement est nécessaire pour veiller aux intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

Pour toutes les opérations de traitement, il faut vérifier à quelle(s) condition(s) elles peuvent être réalisées.

Qu’en est-il du traitement des données de santé ?

Le traitement des données de santé (et autres données dites « sensibles ») est interdit  sauf :

  • s’il y a consentement préalable et explicite du patient.
  • si le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique si la personne concernée n’est physiquement ou juridiquement pas en mesure de donner son consentement
  • si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail
  • si le traitement est nécessaire pour des raisons d’intérêt général dans le domaine de la santé publique.

Quelles sont vos obligations dans le cadre du RGPD ?

Créer un registre des activités de traitement

Si vous traitez des données « sensibles », ce qui est votre cas en tant que dispensateur de soins, vous devez créer un registre par type de traitements, mis à jour régulièrement. Exemples de types de traitement : données des dossiers patient, données enregistrées via l’agenda online des consultations.

Vous devez conserver ce registre et pouvoir le présenter sur demande de l’Autorité de protection des données (APD).

Ce registre reprendra les informations comme le responsable du traitement, sa finalité, le type de données, le support, les personnes avec lesquelles vous les avez partagées, les infos quant aux risques et les mesures de sécurité.  

Vous trouvez un modèle de registre sur le site web de l’APD.

Désigner un délégué à la protection des données

Le RGPD prévoit dans certains cas la désignation d’un délégué à la protection des données, mieux connu par l’abréviation anglaise DPO pour « Data Protection Officer ». Ce DPO est une personne au sein de l’organisation qui veille à ce que vous traitiez correctement les données à caractère personnel.

Seules les opérations de traitement à grande échelle nécessitent la désignation d’un DPO.

Le §91 du préambule du RGPD spécifie :

  • « Par traitement à grande échelle, on entend le traitement qui vise à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peut affecter un  nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible.(…)
  • Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d’impact relative à la protection des données ne devrait pas être obligatoire. »

Réaliser une analyse d’impact relative à la protection des données (AIPD)

En vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une « analyse d’impact relative à la protection des données » (AIPD) (ou « DPIA » en anglais pour Data Protection Impact Assessment). Il s’agit d’une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés.

Seules les opérations de traitement à grande échelle nécessitent la désignation d’un DPO.
(voir explication ci-dessus relative au §91 du RGPD pour le traitement à grande échelle)

Quelles sont vos responsabilités en tant que responsable de traitement ?

Conformité avec les règles du RGPD

En tant que responsable du traitement, vous devez agir en conformité avec les règles du RGPD et être en mesure de le démontrer (par une obligation de documentation, notamment, par la création du registre des activités de traitement).

Traitement et stockage de données par un sous-traitant

Si le stockage ou le traitement de vos données est sous-traité (p. ex. agenda en ligne, données dans le Cloud, service externe de tarification), il est notamment de votre responsabilité de vérifier que votre prestataire répond aux exigences du RGPD en termes de sécurité et de confidentialité des données et fournit des garanties suffisantes contre leur perte, leur destruction, leur altération, ou encore leur accès et leur diffusion sans autorisation. Nous attirons votre attention sur l’article 28 du RGPD qui est plus complet quant à votre responsabilité.

Utilisation des services e-Santé

Les différents services e-Santé mis à votre disposition sur le portail e-Santé ont également tenus de respecter les obligations prévues par le RGPD.

Utilisation des logiciels dans le cadre de votre pratique

Si vous utilisez un logiciel dans le cadre de votre pratique (p. ex. gestion de dossier patient, facturation), il est notamment de votre responsabilité de vérifier que votre prestataire répond également aux exigences du RGPD, via votre contrat.

Sécurisation de l’échange de données électronique

Vous devez veiller à utiliser un canal sécurisé, avec un niveau adapté au risque  pour transmettre les données médicales de manière électronique (p. ex.  eBox citoyen, eHealthBox, 7-Zip File manager).

Quelles sont les sanctions en cas de non-respect du RGPD ?

En cas de non-respect du RGPD, l’Autorité de protection de données peut exiger du responsable de traitement ou de son sous-traitant de prendre des mesures correctrices (p. ex. mise en conformité dans un délai déterminé, limitation de traitement, rectification ou effacement de données). Le non-respect du RGPD peut également s’accompagner de sanctions financières dissuasives déterminées par les Autorités de contrôle locales.

Plus d’informations

Réglementation

Explication complémentaire (Website de l’Autorité de protection des données – APD)

Contacts

Règlement général sur la protection des données (RGPD)

​Pour toutes informations concernant votre profession, contactez votre association professionnelle, société scientifique ou ordre médical.

Pour toute question plus spécifique sur le RGPD, contactez l’Autorité de protection des données (APD