Protection de la vie privée
Information générale concernant la protection de la vie privée lors du traitement des données à caractère personnel des patients de la Clinique Saint-Luc Bouge
Dans le cadre de ses activités de soins de santé, la Clinique Saint-Luc de Bouge (ci-après « la Clinique ») est amenée à collecter et à traiter des données vous concernant.
La Clinique attache une grande importance à la confidentialité et à la sécurité des données personnelles de ses patients.
Article 1 – Pourquoi une information générale sur la protection de vos données à caractère personnel ?
Article 2 – Que faut-il entendre par « traitement de données à caractère personnel » ?
Article 3 – A qui cette information générale s’adresse-t-elle
Article 4 – Qui est le responsable de traitement de vos données à caractère personnel ?
Article 6 – Désignation d’un conseiller en sécurité de l’information
Article 7 – Désignation d’un délégué à la protection des données
Article 8 – Quelles sont les données à caractère personnel traitées ?
Article 9 – Sur quelles bases vos données sont-elles traitées ?
Article 10 – A quelles fins vos données à caractère personnel sont-elles traitées ?
Article 11 – Quelles sont les personnes qui ont accès à vos données ?
Article 12 – Avec qui vos données sont-elles susceptibles d’être partagées ?
Article 13 – Quelle est la durée de conservation de vos données ?
Article 14 – Quelles sont les mesures de sécurité prises par la Clinique pour protéger vos données ?
Article 15 – Procédure suivant laquelle, si nécessaire, les données sont rendues anonymes
Article 16 – Quels sont vos droits ?
Article 18 – Comment sont gérées les éventuelles violations de vos données ?
Article 19 – Comment exercer vos droits ?
Article 1 – Pourquoi une information générale sur la protection de vos données à caractère personnel ?
Par la présente notice, la Clinique entend vous fournir des informations claires et précises sur la manière dont elle traite vos données à caractère personnel en sa qualité de « responsable de traitement ».
Elle souhaite ainsi vous fournir l’assurance que la protection et la gestion de vos données en tant que patient de la Clinique se fera de manière adéquate et responsable et, en particulier, dans le respect :
- De la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ;
- du Règlement UE n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/48/CE (dit « RGPD »), et à ses lois et arrêtés d’exécution ;
- Loi du 22 août 2002 relative aux droits du patient ;
- Loi du 22 avril 2019 relative à la qualité de la pratique des soins de santé ;
- Du point lll, 9 quater de l’annexe à l’A.R du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre ;
- De la loi relative aux hôpitaux et autres établissements de soins, coordonnée le 10 juillet 2008 ;
- De la loi relative à l’assurance obligatoire soins de santé et indemnités coordonnée le 14/07/1994 et ses arrêtés d’exécution ;
Indépendamment de toute obligation légale, notre institution de manière globale et chaque membre du personnel s’engagent envers tout patient au respect du secret médical et à la plus stricte discrétion quant à toute information recueillie à l’occasion de la consultation, examen ou séjour du patient et ce, que cette information concerne ou non des données strictement médicales.
Article 2 – Que faut-il entendre par « traitement de données à caractère personnel » ?
- Une donnée à caractère personnel est toute information de quelque nature qu’elle soit et indépendamment de son support qui permet d’identifier directement ou indirectement une personne physique. Par exemple, votre nom, prénom, photo, adresse mail, n° de téléphone ou encore vos données de santé (telles que les données médicales) sont des données à caractère personnel.
- Un traitement de données à caractère personnel est tout acte de manipulation ou d’exploitation d’une donnée telle que la collecte, l’utilisation, l’enregistrement, la conservation, la communication, la diffusion, la modification ou la suppression d’une de vos données.
Dès que la Clinique effectue un traitement de vos données à caractère personnel, elle est soumise aux exigences légales imposées par le « RGPD ».
Article 3 – A qui cette information générale s’adresse-t-elle ?
Cette information générale a vocation à s’appliquer aux traitements de données à caractère personnel relatives aux patients traités ou admis :
- à la Clinique Saint-Luc de Bouge, rue Saint-Luc 8 à 5004 Bouge ;
- au Centre médical d’Andenne, avenue Roi Albert 36 à 5300 Andenne ;
- au Centre médical de Namur, rue du Lombard 28 à 500 Namur ;
- au Centre médial de Perwez, chaussée de Wavre 5 à 1360 Perwez.
Article 4 – Qui est le responsable de traitement de vos données à caractère personnel ?
L’ASBL SANTE ET PREVOYANCE, représentée par Mr. Adrien DUFOUR et dont le siège social est situé rue Saint-Luc, 8 à 5004 Bouge est juridiquement responsable du traitement de vos données à caractère personnel.
Dans ce cadre, elle s’engage à mettre en œuvre une politique et des mesures de sécurité appropriées en matière de protection des données.
La Clinique peut faire appel à des sous-traitants dans le cadre de traitements décentralisés de données. Ceux-ci sont soumis à la confidentialité et agissent sur instruction et au bénéficie de l’institution.
Enfin, dans certains cas, une autre personne sera conjointement responsable avec la Clinique du traitement des données.
Article 5 – Désignation d’un médecin qui exerce la responsabilité et la surveillance du traitement des données de santé
Conformément à l’article 9 § 3 du RGPD et à la loi sur les hôpitaux (coordonné le 10 juillet 2008), les données à caractère personnel relative à la santé sont traitées sous la surveillance et la responsabilité du Médecin-Directeur de la Clinique.
Article 6 – Désignation d’un conseiller en sécurité de l’information
Adrien Dufour est désigné en qualité de conseiller en sécurité et est chargé de la sécurité de l’information dans les traitements de données relatives aux patients.
Il conseille les différents acteurs au sein de la Clinique au sujet de tous les aspects de la sécurité de l’information.
Il propose l’adaptation éventuelle des modalités de sécurité des données pour en garantir la confidentialité, l’intégrité, et l’accessibilité réservée aux personnes autorisées.
Article 7 – Désignation d’un délégué à la protection des données
Le délégué à la protection des données est chargé d’informer et de conseiller la Clinique dans le cadre de sa mission de mise en œuvre du RGPD. Il contrôle également le respect des dispositions légales relatives à la protection de vos données.
De plus, conformément aux articles 16 et 19 de la présente notice, il peut être contacté par tout patient qui souhaite exercer ses droits afférents à ses données à caractère personnel.
Enfin, il coopère avec l’Autorité de protection des données (« APD ») et agit de manière indépendante.
Article 8 – Quelles sont les données à caractère personnel traitées ?
Les catégories de données collectées et traitées par la Clinique sont les suivantes :
- Vos données d’identification et caractéristiques personnelles (nom, prénom, date de naissance, sexe, âge, lieu de naissance, photo, numéro de registre national…) ;
- Vos données de contact (e-mail, numéro de téléphone, adresse de résidence…) ;
- Vos données administratives et financières ayant trait à votre consultation ou hospitalisation et qui sont nécessaires à la facturation des soins (y compris votre affiliation mutuelle) ;
- Vos données médicales, infirmières et paramédicales;
- Vos données sociales;
- Et toutes autres données nécessaires à la poursuite des finalités déterminées par la Clinique ou imposées par la législation.
Ces données sont collectées directement auprès de vous (le cas échéant, auprès de votre représentant légal) par les membres de notre personnel et/ou par les prestataires de soins attachés à la Clinique.
Article 9 – Sur quelles bases vos données sont-elles traitées ?
Les traitements de données à caractère personnel effectués par la Clinique sont nécessaires, selon les cas :
- à la sauvegarde de vos intérêts vitaux (admission aux urgences…) ;
- à l’exécution d’un contrat (facturation des prestations…) ;
- à l’exécution d’une mission d’intérêt public dans le domaine de la santé (tenue de registres médicolégaux…) ;
- aux fins de la médecine préventive, de diagnostics médicaux, de la prise en charge sanitaire ou sociale ou de la gestion de nos systèmes et services de soins de santé (établissement de diagnostics, prescriptions de médicaments…) ;
- à des fins de recherches scientifiques, archivistiques et statistiques ;
- en vue de remplir ses obligations légales (lois relatives aux hôpitaux, à l’assurance obligatoire couvrant les soins de santé, aux droits du patient, à l’installation des caméras de surveillance…) ;
- en vue de garantir les intérêts légitimes de l’hôpital (gestion technique, logistique et informatique …).
- À la constatation, à l’exercice ou à la défense d’un droit en justice.
Si le traitement des données à caractère personnel ne peut se baser sur l’un de ces fondements, le traitement ne pourra être effectué que moyennant votre consentement.
Article 10 – A quelles fins vos données à caractère personnel sont-elles traitées ?
Vos données sont collectées et traitées par la Clinique à des fins de :
- gestion administrative (prise de rendez‐vous, consultation (y compris l’identification du patient avant une consultation ou une téléconsultation), séjour, admission aux urgences…) ;
- gestion financière et comptable (facturation, échanges avec les organismes assureurs et mutuelles, gestion du contentieux y compris le recouvrement de créances…) ;
- gestion médicale, infirmière et paramédicale (prise en charge, gestion des actes et des prestations)
- gestion sociale (accompagnement, suivi du dossier social, traitement des plaintes, médiation…) ;
- gestion médicotechnique (pharmacie, laboratoire, imagerie, anesthésie, banque de sang et de tissus, radiothérapie, médecine nucléaire, dons d’organe…) ;
- évaluation de la qualité des soins, gestion des ressources et contrôle des activités hospitalières ;
- tenue de registres médicolégaux ;
- gestion des médicaments (traitements relatifs à la prescription et délivrance des médicaments)
- gestion technique, logistique et informatique ;
- à des fins d’enseignement de la médecine ou des sciences infirmières et paramédicales;
- sécurité (caméras, gestion des visiteurs, contrôle d’accès, dispositifs de sécurité…) ;
- recherche scientifique (études cliniques et développement de nouvelles technologies) ;
- échange et partage de données via le réseau de soins coordonnées (Réseau Santé Wallon).
- Analyse de données hospitalières afin d’établir une comparaison entre les différents hôpitaux (comparaison des indicateurs en termes de performance et de qualité).
La Clinique accorde une attention particulière à ce que vos données soient traitées de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard de la finalité pour lesquelles elles sont traitées et à ce que ces données ne soient pas traitées ultérieurement d’une manière incompatible avec cette finalité.
Article 11 – Quelles sont les personnes qui ont accès à vos données ?
Le traitement de vos données à caractère personnel est effectué uniquement par les membres du personnel dûment habilité.
Les personnes désignées ci‐dessous sont amenées à traiter vos données à caractère personnel dans les limites nécessaires à leurs missions et aux finalités spécifiques du traitement :
- les médecins et dentistes attachés à la Clinique ainsi que leurs éventuels assistants se voyant déléguer la responsabilité de rassembler et de traiter vos données médicales dans les services médicaux où ils exercent leurs activité professionnelles ;
- les membres du personnel attachés aux différents services infirmiers, médicotechniques et paramédicaux de la Clinique ayant la responsabilité de collecter et de traiter vos données dans les unités de soins ou laboratoires où ils sont affectés ;
- les membres du personnel administratif attachés à l’administration centrale ou aux unités de soins assurant la collecte, la mise à jour, le traitement et la conservation de vos données administratives ;
- les étudiants amenés à réaliser un stage et, éventuellement, leurs superviseurs;
- les bénévoles mettant à disposition leur aide ;
- le personnel informatique amené à gérer et à sécuriser le système d’information.
L’ensemble des personnes travaillant à la Clinique, ainsi que les collaborateurs de la Clinique qui traitent vos données personnelles sont tenus au secret professionnel et/ou à une obligation de confidentialité.
Article 12 – Avec qui vos données sont-elles susceptibles d’être partagées ?
Vos données à caractère personnel peuvent être partagées avec les personnes/organismes suivants :
- les organismes de sécurité sociale, les compagnies d’assurances et autres organismes d’aide sociale pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient.
- l’institut national de l’assurance maladie‐invalidé (INAMI) pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient;
- les autorités publiques qui y sont autorisées ;
- tout prestataire de soins externe à la Clinique ayant un lien thérapeutique avec vous ;
- l’assureur de l’institution en cas de litige avec vous ;
- les sous-traitants externes ou tiers externes auxquels l’Institution fait appel pour le traitement des Données à caractère personnel et pour lesquels des garanties appropriées sont en place quant à la protection des Données à caractère personnel (par exemple : service transport à domicile, expédition courrier, envoi SMS de confirmation des rendez-vous, société de recouvrement, etc.);
- Les prestataires de soins externes, dans le cadre de la continuité des soins (ex : ambulanciers, SMUR, transport adapté pour malades, bandagisteries) ;
- d’autres destinataires lorsque la communication de vos données est strictement encadrée par la loi ou par l’obtention de votre consentement.
Si dans le cadre de ce partage, un transfert de vos données a lieu en dehors de l’Espace Economique Européen (comprenant l’Union européenne, l’Islande, la Norvège et le Liechtenstein), la Clinique s’assurera de mettre en place toutes les mesures nécessaires pour que le partage de ces données respecte les obligations imposées par législation relative à la protection des données.
Article 13 – Quelle est la durée de conservation de vos données ?
Dans le respect de nos obligations légales, la durée de conservation de vos données personnelles, est de :
- pour le dossier patient : minimum 20 ans (dossier infirmier) et minimum 30 ans et maximum 50 ans (dossier médical) à compter du dernier contact avec le patient;
- minimum 25 ans pour les recherches cliniques (après l’achèvement de celles-ci) ;
- 7 à 10 ans pour les données relatives à la gestion financière et comptable ;
- 1 an pour les données de médiation (dossier clôturé) ;
- 1 mois pour les images caméra (le délai peut toutefois être prolongé en cas de preuve d’infraction)
Lorsque la période de conservation a expiré, vos données personnelles seront supprimées dans un délai d’un an sauf si :
- la conservation de vos données est requise par la loi.
- la conservation répond à un motif d’intérêt général (conservation nécessaire d’un point de vue médical ou nécessaire pour la défense des intérêts légitimes de la Clinique).
- La conservation est nécessaire à la constatation, à l’exercice ou à la défense des droits en justice.
Les données pourront être conservées de manière illimitée sous une forme anonymisée, c’est-à-dire de manière telle qu’il s’avère raisonnablement impossible de réidentifier les personnes par association de données
Article 14 – Quelles sont les mesures de sécurité prises par la Clinique pour protéger vos données ?
Par ailleurs, toutes les dispositions techniques et organisationnelles utiles seront également prises pour éviter la perte ou l’altération des données ainsi que pour prévenir toute consultation, toute modification ou toute communication illicite de données.
Par conséquent :
- Plusieurs méthodes sont mises en place pour sauvegarder les données à caractère personnel.
- En outre, toutes les mesures possibles sont prises en vue de sécuriser physiquement les lieux où se trouvent les données sauvegardées (locaux identifiés et protégés, d’accès limité, dispositifs de prévention et de traitement des dangers physiques tels que les incendies, etc).
- Un délégué à la protection des données et un conseiller en sécurité de l’information ont été désignés au sein de la Clinique.
Article 15 – Procédure suivant laquelle, si nécessaire, les données sont rendues anonymes
Dans la mesure où les données personnelles sont anonymisées de telle sorte qu’elles ne puissent normalement amener à individualiser et identifier le patient, elles peuvent :
- être communiquées au SPF Santé publique conformément à l’article 86 de la loi sur les hôpitaux.
- servir à des objectifs de gestion et/de recherche interne ou externe, épidémologique et/ou scientifique, ainsi que pour des objectifs imposés par les autorités publiques.
Article 16 – Quels sont vos droits ?
L’objectif, conformément à la législation, est de vous assurer l’exercice d’un meilleur contrôle sur les données à caractère personnel qui sont traitées.
INFORMATION
C’est l’objet de la présente notice, laquelle vous informe sur les éléments suivants :
- l’identité de celui qui traite les données à caractère personnel ;
- la/les raison(s) pour laquelle/lesquelles chaque traitement est effectué ;
- les finalités du traitement des données (à quoi vont servir vos données) ;
- les destinataires des données (suivant les besoins : organismes assureurs, pharmaciens, professionnels de santé participant à la prise en charge à domicile et autres transferts vers des autorités compétentes) ;
- les transferts de données vers l’étranger (par exemple dans le cas où vous disposez d’un médecin à l’étranger auquel il faut transmettre des informations) ;
- les catégories de données traitées ;
- la durée de conservation des données ;
- les droits de la personne concernée (accès, rectification, effacement, limitation, opposition, portabilité) ;
- le droit d’introduire une éventuelle réclamation auprès de l’Autorité de protection des données (« APD ») ;
- les coordonnées du délégué à la protection des données.
ACCES
Vous avez le droit de prendre connaissance et éventuellement de demander une copie de vos données personnelles traitées. Plus précisément, vous avez le droit d’obtenir les informations suivantes :
- la confirmation que vos données à caractère personnel sont ou ne sont pas traitées par la Clinique
- Les finalités du traitement
- Les catégories de données à caractère personnel traitées
- Les destinataires ou catégories de destinataires auxquels vos données à caractère personnel ont été ou seront communiquées.
- Si possible, la durée de conservation envisagée de vos données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
- les autres droits que vous pouvez faire valoir concernant le traitement de vos données à caractère personnel
- le droit d’introduire une réclamation auprès de l’Autorité de protection des données (« APD »)
- Lorsque les données à caractère personnel ne sont pas collectées directement auprès de vous, toute information disponible quant à leur source.
- Si vos données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, des informations quant aux garanties appropriées en ce qui concerne ce transfert.
- L’existence d’une prise de décision automatisée, y compris un profilage.
La consultation par un patient de son dossier médical est toutefois soumise à une restriction importante. En vertu de la loi sur les droits des patients, un patient jouit d’un droit à une consultation directe de son dossier, sauf des notes personnelles du prestataire de soins, des données relatives aux tiers et de celles pour lesquelles le prestataire de soins invoque l’exception thérapeutique.
Par ailleurs, en ce qui concerne la consultation de données récemment ajoutées, l’exercice du droit à la consultation peut être repoussé de 15 jours maximum à compter de la date d’ajout afin de donner au médecin l’opportunité de discuter d’abord de ces données directement avec le patient.
RECTIFICATION
Si certains types de données (telles des données d’identification) sont inexactes ou incomplètes, vous pouvez demander à les compléter ou à les rectifier. Cette demande peut être introduite auprès du service de médiation ou auprès du médecin responsable.
Pour les données médicales, ce droit de rectification n’est pas destiné à permettre de contester un diagnostic médical, qui est le résultat d’une appréciation professionnelle et qui constitue donc une « opinion médicale ». Les contestations subjectives concernant le diagnostic sont appréciées par le médecin concerné. Les données doivent être rectifiées ou complétées si et seulement si le médecin constate qu’elles sont inexactes ou incomplètes.
EFFACEMENT
Il vous est possible de demander la suppression de certaines données si au moins une de ces situations correspond à votre cas :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été initialement collectées ou traitées ;
- Si vous retirez votre consentement à l’utilisation de vos données et s’il n’existe aucun autre fondement juridique au traitement ;
- Si vos données font l’objet d’un traitement illicite ;
- Si vos données doivent être effacées pour respecter une obligation légale ;
- Si vous vous êtes opposé au traitement de vos données et qu’il n’existe pas de motif légitime impérieux pour le traitement.
Toutefois, des exceptions à ce droit à l’effacement existent, dont des exceptions légales. La Clinique a l’obligation légale de conserver votre dossier médical et les informations qui s’y trouvent au minimum 30 ans et maximum 50 ans à dater de votre dernier contact (cfr. article 13 de la présente notice)
LIMITATION DU TRAITEMENT
Dans certains cas spécifiques, vos données seront bloquées (conservées uniquement) en attendant que les circonstances qui ont provoqué la limitation soient résolues :
- Vous contestez l’exactitude des données et la Clinique a besoin de temps pour procéder à leur vérification ;
- Vous demandez une certaine limitation de leur utilisation ;
- Vous vous opposez à leur traitement.
OPPOSITION
Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à l’utilisation de vos Données, lorsque nous les utilisons pour notre intérêt légitime ou lorsque le traitement se fonde sur l’intérêt public ou recourt à du profilage.
Nous cesserons alors le traitement de vos Données à moins que nous puissions démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés ou lorsque ces Données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice.
DROIT DE NE PAS FAIRE L’OBJET D’UNE DECISION
Une décision entièrement automatisée est une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.
Dans le secteur des soins de santé, et en particulier dans le contexte de votre prise en charge, chaque décision vous concernant est validée par un professionnel des soins de santé
PORTABILITE
Vous pouvez demander de recevoir les données que vous avez fournies à la Clinique dans un format structuré, lisible par une machine et couramment utilisé et de les transférer ou les faire transférer directement lorsque cela est techniquement possible dans une autre institution.
Dans ce cadre, la Clinique privilégie le transfert du dossier médical par le biais du Réseau Santé Wallon qui permet l’échange électronique de documents médicaux entre prestataires de soins intervenant pour la même personne concernée à condition qu’un lien thérapeutique soit établi.
INTRODUIRE UNE PLAINTE AUPRES DE L’AUTORITE DE PROTECTION DES DONNEES
Vous avez également le droit d’introduire une réclamation auprès de l’Autorité de Protection des données (APD) : https://www.autoriteprotectiondonnees.be/citoyen/agir/introduire-une-plainte
En cas d’exercice de vos droits, la Clinique s’engage à répondre à votre demande dans un délai d’un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
Le délai de réponse ne commence à courir que si la demande reçue est complète et correctement identifiée. En effet, il est nécessaire que nous puissions établir de manière certaine votre identité afin d’éviter toute communication de Données à des tiers non habilités. Le cas échéant, nous vous demanderons des éléments pour prouver votre identité.
Article 17 – Quelles sont les modalités de traitement des données dans le cadre spécifique des téléconsultations ?
Les téléconsultations se font via la plateforme Microsoft Teams.
Microsoft agit en tant que responsable du traitement pour toutes les données à caractère personnel traitées à l’occasion de l’utilisation de la plateforme, notamment pour permettre l’identification et l’accès à la plateforme.
Nous vous invitons à vous référer à la déclaration de confidentialité de Microsoft (https://docs.microsoft.com/fr-fr/microsoftteams/teams-privacy) et à prendre contact avec Microsoft pour obtenir des informations ou faire valoir vos droits relatifs à ces données.
Les données à caractère personnel traitées par la Clinique dans le cadre des téléconsultations, notamment en vue d’en fixer la date, d’identifier le patient au début et d’assurer le suivi et la facturation après la téléconsultation, ainsi que les données concernant la santé traitées pendant la téléconsultation, sont traitées sur la base des mêmes fondements, aux mêmes fins, et en respectant les mêmes limites de conservation et les mêmes garanties de sécurité que ceux applicables dans le cadre de consultations fixées dans les locaux de la Clinique. Les images et le son des téléconsultations ne sont pas enregistrés.
Article 18 – Comment sont gérées les éventuelles violations de vos données ?
Toute personne constatant une violation de données à caractère personnel (ex : une fuite ou une perte de données à caractère personnel) est invitée à en avertir la Clinique (ainsi que son délégué à la protection des données) le plus rapidement possible, en fournissant un maximum d’informations (faits, circonstances, …).
La Clinique fera le nécessaire pour notifier la violation en question à l’Autorité de protection des données (« ADP ») dans les 72 heures après en avoir pris connaissance, à moins que la violation ne présente pas un risque pour les droits et libertés du patient.
Lorsque la violation présente un risque élevé pour les droits et libertés des personnes concernées, ces dernières seront informées dans les meilleurs délais du risque, des faits et des mesures prises pour remédier ou atténuer le risque ou la violation.
Article 19 – Comment exercer vos droits ?
Pour toute question concernant le traitement de vos données personnelles et l’exercice de vos droits énumérés à l’article 16, vous pouvez prendre contact avec le délégué à la protection des données (DPO) désigné au sein de la Clinique :
- par e-mail à l’adresse: dpo@slbo.be
- par courrier (daté et signé) à l’adresse suivante :
ASBL SANTE ET PREVOYANCE
A l’attention du délégué à la protection des données
Rue Saint-Luc, 8
5004 BOUGE
En prouvant votre identité (cfr article 16 de la présente notice)
Cette information générale pourrait être amenée à évoluer selon les nécessités de bon fonctionnement ou de modification des obligations légales.
Téléchargez le document – cliquez ici – POLITIQUE CONFIDENTIALITE – RECHERCHE SCIENTIFIQUE SLBO
Politique de confidentialité relative aux traitements de données à caractère personnel réalisés dans le cadre de notre mission de recherche (scientifique)
l. Préambule
A côté de sa mission de prestation de soins de santé de qualité, d’excellence et innovants, la Clinique a une autre mission qui est la recherche (scientifique).
Nous entendons par la mission de « recherche » : toute action entreprise en vue de produire et développer des connaissances scientifiques dans le domaine de la santé. Nous nous concentrons principalement sur l’amélioration de la connaissance des maladies, sur le développement de méthodes de diagnostic, de nouveaux traitements ou de dispositifs médicaux avec, pour objectif final, la volonté d’améliorer sans cesse les prises en charge médicales et de soins de nos patients.
Cette mission de recherche (scientifique) se concrétise la plupart du temps par la réalisation
d’études, d’essais cliniques mais aussi par des travaux scolaires (TFE, mémoire).
ll. Qu’entend-on par « traitement de données à caractère personnel » ?
- Une donnée à caractère personnel : toute information permettant d’identifier directement ou indirectement une personne physique identifiée ou identifiable (= personne concernée).
Ex : un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Des données de santé (telles que les données figurant dans un dossier médical) sont également des données à caractère personnel.
- Un traitement de données à caractère personnel : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel.
Ex : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
lll. Pourquoi une information générale sur le traitement de vos données à des fins de recherche scientifique ?
Notre institution souhaite ainsi vous fournir l’assurance que la protection et la gestion de vos données dans le cadre de la recherche se fera de manière adéquate et responsable et, en particulier, dans le respect :
- Des législations relatives à la protection des données qui comprennent :
- Le Règlement UE n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/48/CE (dit « RGPD »), et à ses lois et arrêtés d’exécution.
- Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, M.B., 5 septembre 2018.
- Et toute autre loi ou réglementation applicable en matière de Données à caractère personnel, de respect de la vie privée et de Traitement des Données à caractère personnel, dans sa version éventuellement modifiée, remplacée ou remise en vigueur.
- De la loi du 07 mai 2004 relative aux expérimentations sur la personne humaine, B., 18 mai 2004.
- De l’Arrêté royal du 30 juin 2004 déterminant les mesures d’exécution de la loi du 7 mai 2004 relative aux expérimentations sur la personne humaine en ce qui concerne les essais cliniques de médicaments à usage humain, M.B., 2 juillet 2004.
- De la loi du 07 mai 2017 relative aux essais cliniques de médicaments à usage humain, B., 22 mai 2017.
- De la loi du 22 août 2002 relative aux droits du patient, B., 26 septembre 2002.
- De la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins, B., 7 novembre 2008, pour ce qui concerne le comité d’éthique.
- De la loi du 22 avril 2019 relative à la qualité de la pratique des soins de santé, B., 15 mai 2019.
Par ailleurs, nous sommes soumis à toute une série de normes éthiques et déontologiques comme la déclaration d’Helsinki, les directives ICH-GCP (CPMP/ICH/135/95) etc.
lV. A qui s’adresse la présente politique ?
La présente politique de confidentialité est destinée à :
- tout patient ayant donné son accord pour être enrôlé dans un projet de recherche (recherche prospective) ;
- tous les patients de la Clinique dont les données personnelles peuvent être traitées ultérieurement à des fins de recherche dans le cadre de recherche rétrospectives, de réalisation de statistiques.
Détails sur le traitement de données à caractère personnel dans le cadre de la mission de recherche scientifique
Qualification de la Clinique
Les recherches sont commanditées par des promoteurs1. Au regard de la protection des données, ceux-ci sont qualifiés de responsables de traitement2.
- Lorsqu’il s’agit d’une firme pharmaceutique, d’un autre hôpital, d’une université qui est
promoteur, la Clinique qui fournit l’information, est majoritairement sous-traitant3.
- Lorsque la Clinique est elle-même promoteur de la recherche, la Clinique est alors le responsable de traitement.
A côté du promoteur (responsable de traitement), il y a l’investigateur qui porte toute la responsabilité administrative et pratique de l’organisation locale d’un projet de recherche clinique. Cette responsabilité est à la fois médicale (paramédicale) et légale. Elle s’exerce vis- à-vis du promoteur, de l’institution (Clinique), du participant et du Comité d’Ethique.
Les catégories de recherche
Que le promoteur soit externe ou interne à la Clinique, il est important de savoir qu’il existe 2 grandes catégories de recherche :
- Recherche rétrospective : toute investigation caractérisée par la réutilisation de données déjà présentes dans le dossier du patient, aucune nouvelle donnée n’est générée au sujet d’un patient. Aucun nouveau contact n’est pris avec le patient.
Ce type de recherche peut être menée à l’aide d’outils technologiquement modernes et innovants comme des algorithmes d’intelligence artificielle et peut entraîner le traitement d’un grand volume de données (« big data »).
- Recherche prospective : toute investigation qui nécessite la collecte de nouvelles informations/ données auprès du Cette collecte peut avoir lieu soit par des actes qui s’écartent de la routine de traitement du patient (recherche interventionnelle) soit simplement en observant une ou plusieurs prises en charge ou réponses aux traitements standards (recherche observationnelle).
1 Promoteur = une personne, une entreprise, une institution ou un organisme responsable du lancement, de la gestion et/ ou du financement d’une expérimentation ; le promoteur exerce les droits de propriété intellectuelle sur la conception de l’expérimentation, sa réalisation et les données scientifiques qui en résultent ; Il peut n'y avoir pour une expérimentation qu’un seul promoteur. Le promoteur peut être une firme pharmaceutique, un autre hôpital, une université, une fondation scientifique 2 Le responsable de traitement = la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. 3 Le sous-traitant = la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Finalités et fondements juridiques
Recherche rétrospective
Lorsque vous vous rendez en tant que patient à la Clinique, nous traitons vos données personnelles pour pouvoir assurer le bon suivi de vos soins. Par conséquent, la Clinique détient de nombreuses informations médicales. Celles-ci ne peuvent pas être traitées pour d’autres finalités que pour assurer vos soins, excepté pour de la recherche statistique ou scientifique.
En effet, la loi prévoit que le traitement ultérieur de données à caractère personnel à des fins de recherche scientifique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales (prestation de soins de santé de qualité, d’excellence et innovants), pour autant, évidemment, que ces traitements de données soient correctement cadrés et sécurisés .
C’est pourquoi, en raison de cette comptabilité des finalités, une simple information par la présente politique de confidentialité est suffisante.
Recherches prospectives
En raison de la collecte de nouvelles données, vous devez avoir donné votre consentement pour participer à ce type de recherche et vous devez être spécifiquement informé du traitement de vos données personnelles dans ce cadre (exigence d’un consentement éclairé).
Le fait d’accepter de participer à un projet de recherche (prospectif) induit par nature que des données personnelles supplémentaires à votre suivi médical classique, générées pour alimenter la recherche, seront traitées par l’investigateur, le promoteur de la recherche et toute autre personne mentionnée dans l’information qui vous a été donnée.
En d’autres termes, en consentant à participer à ce type de recherche, automatiquement vous consentez à ce que vos données personnelles soient traitées à des fins de recherche scientifique.
Types de données collectées
Cela dépend de l’objet de la recherche mais nous veillons à ce que le promoteur ne reçoive pas des données permettant d’identifier le patient.
Si la recherche est rétrospective, on se base uniquement sur l’examen de dossiers médicaux et sur base de données du passé qui se trouvent dans les dossiers des patients, dans des dossiers médicaux ou dans des dossiers administratifs ou autres bases de données et pour autant que, d’aucune façon, il ne soit pas acquis de nouvelles données relatives à ces patients.
En d’autres termes, seules des données existantes dans le dossier patient sont collectées. Ce type de recherche ne génère pas de nouvelles données à propos d’un patient (cfr supra).
Les données collectées sont anonymisées4 ou pseudonymisées (= codées)5.
Si la recherche est prospective, de nouvelles informations / données à caractère personnel sont générées et collectées directement auprès du patient. L’investigateur qui enrôle les patients garde séparément les données d’identification des patients ayant accepté de participer à la recherche. Les données fournies au promoteur sont anonymisées ou pseudonymisées6.
Dans tous les cas, aucune donnée identifiante ne peut apparaitre dans les travaux et/ou les publications qui découlent de la recherche.
Mesures de sécurité
Ces mesures de sécurité consistent en des mesures techniques et organisationnelles définies par le promoteur (responsable de traitement). La Clinique veille à ce que ces mesures de sécurité soient conformes avec les bonnes pratiques.
Le promoteur ne reçoit pas de données permettant d’identifier un patient (cfr supra- point 3). Lors de la réalisation de la recherche, l’investigateur est tenu de traiter uniquement les données nécessaires à l’objectif de la recherche. C’est pourquoi, il anonymisera ou pseudonymisera les données.
Il s’engage également à respecter la charte informatique de la Clinique et le secret professionnel (art. 458 du Code pénal).
Parmi les mesures organisationnelles, la Clinique :
- A désigné un conseiller en sécurité de l’information chargé de la sécurité du système informatique. Il conseille la Clinique au niveau des mesures à adopter pour assurer une sécurité de l’information. Autrement dit, il propose des modalités nécessaires pour garantir la confidentialité, l’intégrité et la disponibilité des informations.
- A désigné un délégué à la protection des données chargé d’informer et de conseiller la Clinique sur la mise en œuvre des législations relatives à la protection des données
- Veille à conclure un contrat de traitement de données déterminant les responsabilités et obligations des parties impliquées dans le traitement des données.
4 L’anonymisation = traitement de données qui consiste à utiliser un ensemble de techniques de manière à rendre impossible toute identification (directe ou indirecte) de la personne physique par quelque moyen que ce soit et de manière irréversible.
5 La pseudonymisation (codage) = le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne physique précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable (art. 4.5 du RGPD) ;
6 Le promoteur ne recevra que les codes / pseudonymes. Il sera incapable de rattacher le code à l’identité du patient participant à la recherche.
- Désigne un maître de stage (collaborateur salarié) afin de superviser l’étudiant durant son stage et la rédaction de son travail scolaire.
Destinataires des données
- Le promoteur reçoit uniquement les éléments permettant d’étudier son sujet de recherche et d’en tirer des conclusions.
- Dans le cadre d’une recherche où le promoteur n’est pas la Clinique, d’autres intervenants sont destinataires des données, il s’agit des Attachés de Recherche Clinique : des personnes mandatées par le promoteur ayant pour mission de vérifier l’exactitude des données traitées et de vérifier le bon déroulement de la recherche sur le site concerné.
- Des auditeurs, des agents de l’AFMPS peuvent également accéder sous certaines conditions et sous la supervision d’un médecin aux données des sujets de recherche à des fins de contrôle de qualité.
- Le Comité d’éthique peut accéder au dossier patient si un évènement indésirable s’est produit lors de la réalisation de la recherche ou si la recherche ne se déroule pas en conformité avec les bonnes pratiques cliniques.
Durée de conservation des données
La Clinique a l’obligation légale de conserver les données de recherche prospective durant minimum 25 ans après la fin de celle-ci.
En ce qui concerne les données de recherche rétrospective, nous nous basons sur les données qui figurent dans votre dossier médical. Vos informations médicales sont conservées par la Clinique durant 30 ans afin de respecter une obligation légale. Toutefois, la réalisation et l’organisation de la recherche rétrospective nécessite peut-être la création de différents documents : analyse, l’établissement des conclusions, la publication des résultats et les contrôles qualité. Ces documents seront supprimés dès qu’ils ne seront plus nécessaire à l’objectif de la recherche.
Toutefois, la Clinique pourra conserver les données de recherche de manière illimitée si :
- Les données de la recherche ont été anonymisées
- Dans le cas où les données de la recherche ont été pseudonymisées, les clés de pseudonymisation des données ont été supprimées
Transfert de données hors Espace Economique Européen (EEE)
Si dans le cadre de la recherche, les données quittent le territoire de l’espace économique européen (par exemple : si le promoteur de la recherche est une société pharmaceutique située en dehors de l’EEE), la Clinique veillera à ce que les transferts de données soient encadrés par divers instruments de sorte que les garanties prescrites par le RGPD soient respectées.
Vos droits et comment les exercer
En tant que personne concernée et sous certaines conditions, vous avez le droit de nous demander de :
- fournir des informations complémentaires sur la manière dont nous utilisons et traitons vos données personnelles ;
- fournir une copie des données personnelles que nous conservons vous concernant ;
- faire corriger toute inexactitude figurant dans vos données personnelles que nous détenons ;
- supprimer les données personnelles pour lesquelles nous n’avons plus de fondement juridique justifiant leur traitement ;
- retirer votre consentement si le traitement de vos données est fondé sur le consentement ;
- vous opposer à tout traitement de données personnelles aux fins de traitement ultérieur de recherche, à moins que la Clinique Saint Luc ne prouve qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent vos intérêts, droits et libertés ;
- à recevoir toutes les données vous concernant fournies par vous à la Clinique et de les transférer ou les faire transférer directement, lorsque cela est techniquement possible et à condition que le traitement soit fondé sur le consentement de la personne concernée ou sur un contrat et qu’il soit effectué à l’aide de procédés automatisés, dans une autre institution et
- restreindre la façon dont nous traitons les données personnelles pendant que nous examinons votre demande.
Toutefois, lorsque l’exercice de ces droits rend impossible ou nuit gravement à la réalisation de l’objectif poursuivi par la recherche, il se peut que certains de ces droits ne puissent être exercés qu’après la fin de la recherche afin de garantir une évaluation correcte des résultats de la recherche.
Vous pouvez exercer ces droits en introduisant une demande auprès de l’investigateur qui suit votre parcours dans la recherche et/ou auprès du Délégué à la Protection des Données à l’adresse suivante : dpo@slbo.be . Ce dernier peut prendre les mesures nécessaires pour contrôler votre identité lorsque vous introduisez une telle demande.
Si vous estimez que vos données sont utilisées en violation du Règlement en vigueur sur la protection des données (RGPD), vous pouvez introduire une plainte auprès de l’Autorité de contrôle. En Belgique, il s’agit l’Autorité de Protection des Données (APD) (https://www.autoriteprotectiondonnees.be/introduire-une-requete-une-plainte).
Afin de garantir le droit à l’image des personnes présentes au sein de notre institution et d’assurer la tranquillité d’esprit de tous, notre institution souhaite porter à votre connaissance les règles suivantes :
1. Il est strictement interdit de photographier, filmer ou de prendre des enregistrements audio au sein de l’hôpital.
Cette interdiction est applicable de manière générale et donc notamment :
- vis-à-vis du personnel médical / infirmier de l’hôpital dans le cadre des actes médicaux et prestations de soin réalisés (par exemple dans les chambres ou les cabinets de consultation de l’hôpital)
- vis-à-vis de l’ensemble du personnel de l’hôpital en-dehors du cadre des actes médicaux et prestations de soin réalisés (par exemple dans les couloirs ou les salles d’attente de l’hôpital)
- vis-à-vis des autres patients et visiteurs de l’hôpital
Le non-respect de cette interdiction par un patient ou son entourage peut être constitutive d’une rupture du lien de confiance indispensable entre le patient et son médecin et rendre impossible la poursuite de la relation thérapeutique ou la réalisation d’un acte médical. En cas de violation de cette interdiction, l’hôpital se réserve donc le droit de mettre un terme aux prestations de soin en cours.
2. Par dérogation à cette première règle, les enregistrements audios sont autorisés à condition d’avoir eu l’accord préalable et exprès de la personne concernée.
Ainsi, les patients ne retiennent pas toujours la totalité des informations qui leur sont communiquées par le médecin lors d’une consultation. Par exemple, certains patients souhaitent enregistrer la consultation médicale avec leur smartphone pour pouvoir réécouter ces informations par la suite. Ce type d’enregistrement est en principe strictement interdit. Par exception, si le patient obtient un accord préalable et express du médecin concerné, il peut être autorisé à procéder à l’enregistrement de sa consultation.
Même en cas d’accord préalable et exprès de la personne concernée à enregistrer, cet enregistrement devra être réservé à un usage strictement privé. L’enregistrement ne peut donc pas être rendus public ou partagé sur les réseaux sociaux sans l’accord exprès et préalable de la personne concernée.