RGPD : un état des lieux

Le 25 mai prochain, la nouvelle législation européenne sur la protection de la vie privée (le RGPD) entrera en vigueur. Ce nouveau règlement aura des répercussions sur la gestion des données à caractère personnel dans votre pratique. Par conséquent, il importe que vous soyez correctement informé à ce sujet pour pouvoir prendre les mesures appropriées.

 Cette nouvelle législation étend les principes de base bien connus de la loi belge de 1992 relative à la protection de la vie privée. Le RGPD aura un impact encore plus fort, dans la mesure où il introduit des obligations claires et d’éventuelles sanctions. L’adoption de ce nouveau règlement vise principalement à garantir une protection et une sécurité adéquates des données à caractère personnel, dans une société où la digitalisation occupe une place de plus en plus prépondérante et où le traitement de ce type d’informations est devenu indispensable.

 Dans le secteur des soins de santé aussi, les données à caractère personnel revêtent une importance cruciale. Nous sommes dès lors face à un défi de taille sur le plan juridique, opérationnel et technologique. Toutefois, nous appréhendons surtout ce changement de manière positive. En effet, nous estimons que la gestion et la protection correctes d’informations de qualité favorisent la fourniture de soins et de services optimaux.

 Nous recevons, nous aussi, de plus en plus de questions à propos de la manière dont Corilus et nos logiciels répondent aux exigences du RGPD. Satisfaire aux exigences du RGPD constitue bien évidemment l’une de nos priorités. Mais tout d’abord, commençons par énumérer les principes généraux de ce règlement.

Les 7 principes de base du RGPD

1. Transparence : la personne dont les données sont traitées doit en être informée et avoir la possibilité d’exercer ses droits.
2. Limitation des finalités : les données à caractère personnel ne doivent être collectées que dans un but légitime bien précis et non à d’autres fins.
3. Limitation des données : seules les données à caractère personnel nécessaires pour l’objectif visé peuvent être collectées.
4. Exactitude : les données à caractère personnel doivent être correctes et le rester.
5. Limitation de la durée de conservation : les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire.
6. Intégrité et confidentialité : les données à caractère personnel doivent être protégées contre les accès non autorisés, la perte ou la destruction.
7. Justification : le responsable doit pouvoir démontrer que ces règles sont respectées (obligation de documentation).

Corilus et le RGPD

Pour être prêts pour le 25 mai 2018, nous avons collaboré avec des experts chevronnés en protection de la vie privée afin d’entreprendre ensemble les démarches nécessaires. Voici un bref aperçu des activités prévues :

1. Sensibilisation : en interne, nous veillons à permettre la conscientisation nécessaire et mettons en place une politique claire en matière de sécurité des informations. Pour pouvoir évaluer correctement les obligations liées au RGPD, tous nos collaborateurs doivent maîtriser au minimum les principes généraux et la terminologie exacte. Pour ce faire, nous organisons des formations internes obligatoires.
2. Enregistrement des activités de traitement : nous tenons un registre des données à caractère personnel que nous traitons pour vous et à quelle fin, ainsi que des personnes qui les reçoivent et les traitent le cas échéant, et des méthodes que nous utilisons pour les protéger.
3. Relations avec les responsables du traitement des données : nous concluons des accords contractuels clairs avec nos partenaires, qui, dans certains cas, traitent les données à caractère personnel de vos patients (p. ex., hébergement, agenda en ligne ou autres connexions à partir de votre logiciel).
4. Analyse de l’impact de la protection des données : si nous lançons de nouveaux projets (innovants), nous procéderons à une évaluation complémentaire afin de nous assurer que nous satisfaisons aux principes de base et couvrons suffisamment l’ensemble des risques.
5. Fuites de données : nous mettons en place des procédures afin que les fuites de données potentielles puissent être signalées dans les 72 heures suivant leur identification (comme l’impose le RGPD).
6. Droits des parties intéressées : pour toutes les parties intéressées (patients, collaborateurs, prestataires de soins, visiteurs, etc.) dont nous traitons des données à caractère personnel, nous soutiendrons les droits nécessaires pour qu’elles puissent notamment recevoir des informations transparentes et demander une consultation/correction de leurs données. À cet égard, nous tenons compte de la loi de 2002 relative aux droits du patient.
7. Responsable de la protection des données : depuis 2017, Corilus a désigné un responsable chargé d’intervenir en tant qu’interlocuteur interne et externe. Cette personne exerce principalement une fonction de coaching, de stimulation, de conseil et de documentation, et rapportera directement au Comité de direction.

 Analyse de nos processus actuels et adaptations si nécessaire

La première étape concrète a consisté en une analyse approfondie de notre approche et de nos procédures actuelles en matière de gestion et de protection des données à caractère personnel. Lors de cette analyse, nous avons :

1. Répertorié les processus, services et biens actuels pour lesquels des données à caractère personnel sont générées, traitées et stockées.
2. Examiné quelles données à caractère personnel sont traitées, à quelle fin, d’où proviennent ces informations, avec qui nous les partageons et qui y a accès.
3. Vérifié dans quelle mesure les droits des parties intéressées sont respectés, notamment le droit à la consultation, le droit à la correction et à la suppression, ainsi que le droit à la portabilité des données à caractère personnel.
4. Évalué dans quelle mesure Corilus protège et gère actuellement les données à caractère personnel conformément aux règles en matière de protection de la vie privée.