Politique de protection des données

Les Cliniques universitaires Saint-Luc (CUSL) entendent vous fournir des informations claires et précises concernant le traitement de vos données personnelles, le fondement juridique de ce traitement, vos droits et la procédure à mettre en œuvre en cas de violation des données afin de conserver votre confiance et vous fournir l’assurance que la protection et la gestion de vos données se fera de manière adéquate et responsable dans le respect des dispositions légales*.

 

*Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) entrant en vigueur le 25 mai 2018.

Quelles données sont-elles traitées ?

Les CUSL ont l’obligation de tenir et de gérer un dossier médical patient complet à votre nom (conformément à la loi des hôpitaux).

Le dossier médical est composé de plusieurs sections :
  • Les données d’identification et démographiques (nom, prénom, coordonnées de contact et des mandataires, photo, etc),
  • Les informations (para-)médicales (antécédents familiaux et personnels, données de consultations et hospitalisations antérieures, historique des pathologies, liste des problèmes tels que les allergies), dont deux sections à accès restreint : les informations génétiques et psychiatriques.
  • Les informations socio-administratives (gestion des accompagnants, établissement de revalidation, autorités CPAS)
  • Les informations financières (facturations, courriers et documents échangés avec le patient, les organismes mutuelles et/ou les assureurs),

Sur quelle base mes données personnelles sont-elles traitées ?

Le traitement des données à caractère personnel des patients est notamment possible dans le cadre :

  • de la prestation de services de soins de santé, tels que visés dans la loi du 22 août 2002 relative aux droits du patient ;
  • des dispositions de la loi sur les hôpitaux (notamment les articles 20 et 25) ;
  • de la loi coordonnée du 14 juillet 1994 sur l'assurance obligatoire couvrant les soins médicaux ;
  • des actions en justice ; ou
  • d'un consentement explicite et éclairé du patient, pour autant que l'autorisation de traitement des données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.

Qui traite vos données personnelles ?

Ce sont les CUSL qui sont juridiquement responsables du traitement de vos données.

Elles s’engagent, dans ce cadre, à mettre en œuvre une politique et des mesures de sécurité appropriées en matière de protection des données. Les CUSL peuvent faire appel à des sous- traitants dans le cadre de traitements décentralisés de données. Ceux-ci agissent exclusivement sur instruction et au seul bénéfice des cliniques. Les CUSL assurent un niveau de protection des données adéquat en fonction de leur sensibilité au niveau du traitement tant par ses services que par ses sous-traitants.

A quelles fins vos données sont-elles traitées ?

   1. Prise en charge et suivi du patient :

La finalité principale est la collecte et la gestion d’informations nominatives dans le cadre d’opérations de prise en charge thérapeutique, de soins et de suivi administratif, financier et social des patients. Le traitement permet, au bénéfice des patients et accompagnants éventuels :

  • La prise en charge médicale et paramédicale ;
  • La prise en charge administrative et financière ;
  • La prise en charge sociale ;
  • L’échange au travers du réseau de soins coordonnés - Réseau Santé Bruxellois (avec votre accord) ;
  • L’exploitation de vos données de façon codée ou anonymisée dans le cadre de missions  d’enseignement et recherche ;
  • Les échanges avec les organes assureurs ;
  • La tenue des registres officiels.

   2. Mission d’enseignement et de recherche :

Vos données au préalable anonymisées ou pseudonymisées peuvent être utilisées par les CUSL afin d’être exploitées dans des travaux et publications universitaires à des fins d’enseignement et de recherche.

   3. Communication et information :

Vos données personnelles de contact électronique et coordonnées postales peuvent être utilisées par les CUSL et la fondation Saint-Luc afin de leur permettre de vous envoyer des courriers électroniques ou papier ayant pour objectif de vous informer par le biais de newsletters sur l’amélioration de la formation des professionnels de la santé, les investissements dans les technologies novatrices et la recherche clinique. Ces newsletters vous invitent également à participer de façon active à la promotion de ces améliorations. A tout moment, vous pouvez vous désinscrire pour cesser ces envois.

Quels sont vos droits ?

L’objectif, conformément à la législation, est de vous assurer l’exercice d’un meilleur contrôle sur les données personnelles qui sont traitées.

Droit à l'information :

Lorsque les informations suivantes n’ont pas été fournies spontanément ou sont difficiles d’accès, vous pouvez demander :

  • L’identité de celui qui traite les données et du Délégué à la Protection des Données
  • La raison pour laquelle le traitement est effectué (ainsi que la base juridique sur laquelle il s’appuie) ;
  • Les destinataires des données (suivant les besoins : organismes assureurs, pharmaciens, professionnels de santé participant à la prise en charge à domicile et autres transferts vers des autorités compétentes)
  • Les transferts de données vers l’étranger ;
  • Les catégories de données traitées ;
  • La durée de conservation des données (spécifiquement le dossier médical doit être conservé 30 ans après le dernier contact avec l’institution) ;
  • Le droit à la portabilité des données.

Les CUSL veilleront à répondre à cette demande dans un délai de maximum 1 mois avec possibilité de prolonger ce délai de 2 mois en fonction de la complexité de la demande. Les CUSL ne peuvent exiger un paiement contre la fourniture des informations sauf s’il est prouvé que les demandes sont abusives

Droit à l'accès :

Vous avez le droit non seulement de prendre connaissance mais également de demander une copie de l’ensemble de vos données personnelles traitées.

Les frais de la première copie sont pris en charge par les cliniques sauf demandes abusives. Si une demande est faite pour une copie supplémentaire, les CUSL peuvent exiger le paiement de frais qui n’excèderont pas les frais raisonnables basés sur les coûts administratifs.

Il est également possible d’obtenir la liste de toutes les personnes qui ont consulté les documents médicaux au sein de l’institution et au travers du réseau coordonné de santé en s’adressant au service médiation.

Droit à la rectification :

Si vos données sont inexactes ou incomplètes, vous pouvez demander à les compléter ou les rectifier. Cette demande peut être introduite auprès du service médiation ou auprès du médecin responsable.

Droit à l'effacement :

Il est possible pour vous de demander la suppression de certaines données lorsque vous estimez qu’elles ont fait l’objet d’un traitement illicite ou que vous vous opposez au traitement. Toutefois, légalement, les CUSL doivent conserver pour une durée de 30 années votre dossier, à dater du dernier contact

Droit à la limitation du traitement :

Dans certains cas spécifiques, vos données vont être bloquées (conservées uniquement) en attendant que les circonstances qui ont provoqué la limitation soient résolues :

  • Vous contestez l’exactitude des données et les cliniques ont besoin de temps pour procéder à leur vérification
  • Vous demandez une certaine limitation de leur utilisation
  • Vous vous opposez au traitement

Droit à l'opposition :

Vous pouvez à tout moment vous opposer à l’utilisation de vos données, y compris l’utilisation à des fins de prospection et de profilage (p.e. envoi de newsletters). Les CUSL cesseront immédiatement ce traitement, à moins qu'elles ne démontrent qu'il existe des motifs légitimes et impérieux pour le poursuivre - notamment, pour l’accomplissement de notre mission d’intérêt publique.

Droit de ne pas faire l’objet d’un traitement automatisé :

A moins que vous y ayez consenti explicitement ou que des motifs d’intérêts légitimes le justifient, les CUSL ne recourront pas des méthodes de décisions automatiques.

Droit à la portabilité :

Vous pouvez demander de recevoir toutes les données fournies par vous aux cliniques (dans un format structuré, lisible par une machine et couramment utilisé) et de les transférer ou les faire transférer directement lorsque cela est techniquement possible dans une autre institution.

Dans ce cadre, les CUSL privilégient le transfert du dossier médical par le biais des réseaux de santé (notamment Réseau Santé Bruxellois/Wallon) qui permet l’échange électronique de documents médicaux entre prestataires de soins intervenant pour la même personne concernée à condition qu’un lien thérapeutique soit établi.

Si les CUSL ne donnent pas suite à votre demande, ils vous informent sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande.

Il est possible que les CUSL ne soit plus en mesure de répondre à votre demande lorsque les données ont été détruites ou anonymisées ou que la réalisation de cette demande constitue une atteinte déraisonnable à la vie privée.

Quelles sont les modalités encadrant le traitement des données ?

Les membres du personnel des CUSL et collaborateurs externes (hôpitaux partenaires) ont accepté le règlement de confidentialité, par lequel ils s’engagent notamment à respecter le cadre légal et déontologique y afférant. Dans le cadre de leurs missions, ils peuvent accéder en tout ou partie à votre dossier, selon leurs profils métiers, au moyen de connexions sécurisées. Le dispositif se compose notamment d’une identification individuelle et d’une traçabilité nominative, mécanismes qui ont vocation à les responsabiliser devant leurs actions.

Les données sont stockées dans le centre de données des CUSL (appliquant au mieux les recommandations HIPAA et la norme ISO27000). Si des données devaient être hébergées, cela vous sera spécifiquement mentionné.

Le dossier médical doit être conservé par les cliniques au moins 30 ans après le dernier contact avec le patient**. Le dossier peut être conservé à des fins d’archives historiques. En dehors de cette circonstance et au-delà de cette limite, les données seront supprimées.

 

**Art. 1 §3 de l’Arrêté Royal du 3 mai 1999 déterminant les conditions générales minimales auxquelles le dossier médical, visé à l’article 15 de la loi sur les hôpitaux, coordonnée le 7 août 1987, doit répondre.

Comment sont gérées les éventuelles violations de vos données ?

Il est toujours possible que des données personnelles traitées tombent dans de mauvaises mains à la suite d’une erreur de manipulation, d’une cyber-attaque, d’un vol de support, etc.

Toute personne constatant une violation, une fuite ou perte de données à caractère personnel est invitée à avertir les CUSL (ainsi que le DPO) le plus rapidement possible, en fournissant un maximum d’informations (faits, circonstances, etc.).

Les CUSL font le nécessaire pour notifier la violation en question à l’Autorité de Contrôle dans les 72 heures après en avoir pris connaissance, à moins que la violation ne présente pas un risque élevé pour les droits et libertés du patient. Lorsque la violation présente un risque élevé pour les droits et libertés des personnes concernées, elles seront immédiatement informées du risque, des faits et des mesures prises pour remédier ou atténuer le risque ou la violation.

Pour plus d’informations sur la protection de vos données personnelles...

Toute personne concernée peut prendre contact avec rgpd-saintluc@uclouvain.be à tout moment, pour toute question concernant le traitement de ses données personnelles et l'exercice des droits que lui confèrent les dispositions légales.

Ce point de contact est en liaison avec le délégué à la protection des données (DPO) désigné au sein des CUSL. Ce DPO est chargé d’informer et de conseiller les CUSL dans le cadre de leur mission de mise en œuvre du règlement. Il contrôle également le respect des dispositions légales relatives à la protection de vos données. Le DPO coopère avec l’Autorité de Contrôle nationale et agit de manière indépendante.