Deux lois encadrent désormais la mise en œuvre du Règlement général sur la protection des données («RGPD») en Belgique :
1. la loi du 30 juillet 2018 «relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel» publiée au Moniteur belge le 5 septembre 2018 ;
2. la loi du 5 septembre 2018 instituant le comité de sécurité de l’information publiée au Moniteur belge le 10 septembre 2018.
Le RGPD définit certaines obligations particulières pour celui qui traite des données privées dites sensibles.
Outre ces dernières, la loi du 30 juillet 2018 prévoit que les professionnels de la santé doivent prendre les mesures supplémentaires lors du traitement de données de leurs patients :
1. les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;
2. la liste des catégories des personnes ainsi désignées est tenue à la disposition de l’autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant;
3. il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Alors que notre Commission vie privée était davantage un organe purement consultatif dans le domaine de la protection de la vie privée et des données à caractère personnel, l’Autorité de protection des données dispose de compétences bien plus étendues, notamment de pouvoirs d’investigation et de répression des infractions. Une enquête pourra notamment être initiée sur simple plainte d’un particulier, sur demande d’une autorité de contrôle d’un autre état, ou sur demande des instances judiciaires et administratives.
La chambre contentieuse de l’Autorité de protection des données peut imposer des mesures correctives (ex. interdire ou limiter le traitement de données) et même infliger des astreintes et des amendes administratives.
Pour rappel, les données « médicales » comprennent l’ensemble des données se rapportant à l’état de santé d’une personne concernée et qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé mais également les informations collectées lors de la prestation de ces services.
Il peut s’agir d’un numéro, un symbole ou un élément spécifique attribué à un patient pour l’identifier de manière unique à des fins de santé, des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, des antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.
A bon entendeur,