RGLEMENT GNRAL SUR LA PROTECTION DES DONNES 1

RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

1. CONTEXTE 1. 1. CADRE LÉGAL EN BELGIQUE • Loi belge Vie privée • Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel • Directive sur la protection des données à caractère personnel • Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ! • Règlement général sur la protection des données – application : 25 mai 2018 • Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

1. 2. ü ü ü OBJECTIFS DE CETTE NOUVELLE RÉGLEMENTATION Adaptation du cadre juridique à la révolution numérique Harmonisation des différences dans les législations nationales Formation d’une plus grande prise de conscience pour les entreprises / organisations pour la gestion des données ayant trait à la vie privée ü Davantage de droits individuels pour la personne concernée ü Davantage d’obligations pour les entreprises / organisations ü Davantage de sanctions et de contrôles ü Amendes administratives jusqu’à 20. 000 € ou 4% du chiffre d’affaires total ü Atteinte à la réputation

2. DÉFINITIONS 2. 1. DONNÉES À CARACTÈRE PERSONNEL Données à caractère personnel (art. 4) • Toute information se rapportant à une personne physique identifiée ou identifiable • Directement ou indirectement • Exemples: nom, photo, numéro de téléphone, adresse e-mail, plaque d’immatriculation, etc. Données sensibles (art. 9) • Données à caractère personnel indiquant l’origine raciale et ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, traitement des données génétiques, données biométriques en vue de l’identification unique d’une personne, données de santé ou données concernant la vie sexuelle • Exemples: dossier médical, dossier juridique, préférence politique, appartenance syndicale, … • Possibilité pour les États-membres de spécifier les règles Cas particuliers • Personnes décédées – RGPD pas d’application • Données anonymes – RGPD pas d’application

2. 2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL Un traitement est toute opération ou tout ensemble d'opérations appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données à caractère personnel. collecte organisation consultation partage enregistrement

2. 3. SOUS-TRAITANT – RESPONSABLE DU TRAITEMENT • Personne concernée – personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées • Responsable du traitement – détermine l’objectif et les moyens pour le traitement des données à caractère personnel, prend des mesures pour garantir et pouvoir démontrer que le traitement est effectué en accord avec le règlement. Les mesures sont évaluées et, si nécessaire, actualisées • Sous-traitant – traite les données à caractère personnel pour le responsable du traitement • Exemple: vous commandez un produit en ligne sur un webshop. Le webshop fait à son tour appel à une société de transport pour livrer le produit. En l’occurrence, vous êtes la personne concernée dont les données sont traitées, le webshop est le responsable du traitement et la société de transport intervient comme sous-traitant.

3. PRINCIPES GÉNÉRAUX DU RGPD 3. 1. CARACTÉRISTIQUES • Licéité, loyauté et transparence – les données à caractère personnel sont traitées de manière licite, loyale et transparente au regard de la personne concernée • Limitation des finalités – les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées que d'une manière compatible avec ces finalités • Minimisation des données – les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles sont traitées • Exactitude – les données à caractère personnel doivent être exactes et tenues à jour. Les données qui sont inexactes doivent être effacées ou rectifiées • Limitation de la conservation – les données à caractère personnel ne peuvent pas être conservées plus longtemps que nécessaire. Il n’est pas non plus permis de conserver plus de données à caractère personnel que nécessaire • Intégrité et confidentialité – les mesures (techniques et organisationnels) nécessaires sont prises pour garantir un traitement sécurisé des données à caractère personnel

3. 2. DROITS DE LA PERSONNE CONCERNÉE • Fourniture d’informations – préalablement au traitement des données, la personne concernée doit être informée de façon transparente de toutes sortes d’informations reprises dans le règlement • Accès – la personne concernée a le droit d’accès et de copie des données à caractère personnel traitées (notamment le dossier patient). Les règles de la Loi sur les droits du patient restent d’application • Demande des données de connexion – la personne concernée a le droit d’être informée des personnes qui ont consulté le dossier (désignation nominative – communication de la fonction) • Rectification – la personne concernée a le droit de faire corriger les informations erronées (p. ex. l’adresse du patient. Quid des données médicales? ) • Effacement (droit à l’oubli) – la personne concernée a le droit à l’oubli, il ne s’applique cependant pas intégralement pour les données médicales, le délai de conservation reste d’application. • Limitation du traitement – la personne concernée a le droit d’obtenir une limitation du traitement dans des cas spécifiques

• Opposition – la personne concernée a le droit de s’opposer au traitement des données à caractère personnel. Le législateur a directement visé les pratiques marketing • Décision automatisée – la personne concernée a le droit d’opposition contre une décision qui résulte d’une décision automatisée • Portabilité des données – il s’agit d’une forme améliorée d’accès donnant à la personne concernée le droit de recevoir les données à caractère personnel qui lui sont d’application dans une forme électronique, couramment utilisée et structurée

3. 3. BASE – TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL • Consentement de la personne concernée Ø le consentement doit être donné sur une base volontaire, doit être informé, doit être spécifique et clair Ø le responsable du traitement doit prouver le consentement Ø la personne concernée a le droit de retirer son consentement à tout moment • Nécessaire à l’exécution d’un contrat • Nécessaire pour satisfaire une obligation légale • Nécessaire pour protéger les intérêts vitaux de la personne concernée • Nécessaire pour remplir une tâche d’intérêt général • Nécessaire à la défense des intérêts légitimes du responsable du traitement

3. 4. SPÉCIFIQUE – TRAITEMENT DES DONNÉES DE SANTÉ En principe Interdiction de traitement des données de santé Fondements juridiques pertinents qui justifient le traitement • Il y a le consentement formel du patient. • Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique si la personne concernée n’est physiquement ou juridiquement pas en mesure de donner son consentement • Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail • Le traitement est nécessaire pour des raisons d’intérêt général dans le domaine de la santé publique

4. RGPD – MISE EN CONFORMITÉ 4. 1. PRISE DE CONSCIENCE Les personnages-clés de l’organisation doivent être informés de la nouvelle réglementation. Ils sont les mieux placés pour évaluer: Ø quelles conséquences le RGPD aura pour l’organisation; Ø où les points problématiques se situent éventuellement au sein de l’organisation Tous les membres du personnel, en particulier ceux qui traitent des données à caractère personnel, doivent être conscients de la façon dont ils doivent gérer les données à caractère personnel

4. 2. DÉSIGNATION D’UN « PILOTE » • Délégué à la protection des données – DPO (data protection officer) • Quand? Ø Le traitement est effectué par une autorité publique ou un organisme public (Ordre des médecins!); Ø Les traitements exigent du fait de leur nature, de leur portée et/ou de leurs finalités un suivi régulier et systématique à grande échelle des personnes concernées; Ø Traitement à grande échelle de catégories particulières de données (p. ex. données de santé) ØLe médecin individuel n’y est pas soumis (instructions de la Commission vie privée) ØLes hôpitaux y sont par contre soumis ØQuid des pratiques de groupes? • Tâches? Ø Surveillance du respect du règlement; Ø Information et recommandations du responsable du traitement et du sous-traitant sur leurs obligations; Ø Etc. • Caractéristiques? Ø Objectif; Ø Dans et en dehors de l’entité; Ø Connaissances concernant la vie privée; Ø Etc.

4. 3. REGISTRE DES ACTIVITÉS DE TRAITEMENT – SÉCURITÉ • Réalisation d’un audit interne des traitements de données et élaboration d’un registre des activités de traitement: Ø Ø Ø Identifier le responsable du traitement, et éventuellement le délégué à la protection des données; Finalités du traitement; caractère personnel; Délais dans lesquels les données à caractère personnel doivent être supprimées; Mesures de sécurité prises; Etc. • Sécurité du traitement Ø Le sous-traitant et le responsable du traitement prennent des mesures afin de garantir un niveau de sécurité adapté au risque (p. ex. par la pseudonymisation et le chiffrement des données à caractère personnel, en veillant à ce que les systèmes de sécurité soient fiables, etc. )

• Procédures internes prévues pour la gestion des données Ø Ø Ø Information, formation et sensibilisation des membres du personnel; Appréciations et actualisations régulières; Procédure pour l’élaboration d’un traitement légitime des données (documents stratégiques, élaboration d’un formulaire standard de consentement éclairé, etc. ); Ø Procédures de demandes d’informations et plaintes (p. ex. gestion des droits de la personne concernée); Ø Procédures pour les fuites de données: • Principes: mesures de protection suffisantes • Signalement aux autorités de contrôle dans les 72 heures • Communication immédiate aux personnes concernées en cas de risques élevés de violation de leurs droits et libertés • En cas de données sensibles, le risque est plus élevé • Etc.

Questions ?