PREALABLE
Nom et adresse du responsable du traitement
Laboratoire Olivier S.A., rue Léopold Genicot, 16 à 5380 Fernelmont
N° d’entreprise : 0427.882.836
N° agrément : 800-89261477-998
Ci-après nommé « Le Laboratoire ».
Introduction
Le laboratoire Olivier est amené à traiter des données à caractère personnel dans le cadre de son activité. La présente politique concerne le traitement de ces données par le Laboratoire.
Différentes catégories de personnes sont concernées : les patients, les médecins, les travailleurs, les prestataires de services, les fournisseurs, les utilisateurs du site web et autres parties prenantes.
La présente politique a pour but de dresser les lignes directrices auxquelles tout traitement de données à caractère personnel doit se conformer, que ce soit par un procédé automatisé en tout ou en partie. Tous les paragraphes repris ci-dessous matérialisent donc les éléments de cette politique.
Grâce à cette politique, il est désormais possible de s’assurer que les obligations générales, la nature, la portée et la finalité de la collecte, de l’utilisation et du traitement des données à caractère personnel par le Laboratoire et ses collaborateurs sont respectées eu égard aux différentes réglementations en matière de protection des données* (*Les principes et obligations de base sont contenus dans le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Cette réglementation est également dénommée Règlement général sur la protection des données (RGDP) ou General Data Protection Regulation (GDPR). La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques s’applique dans des cas particuliers (par exemple le traitement de données de localisation ; l’utilisation de cookies). En plus de la réglementation européenne, la législation nationale spécifique sur la protection des données, la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, s’applique également.)
Outre ces obligations légales, le respect de la règlementation permet un traitement adéquat et efficace des données à caractère personnel ; il permet également de consolider la relation de confiance entre le Laboratoire et ses différentes parties prenantes.
1. Quel est le point de contact pour la protection des données à caractère personnel
Le Laboratoire a désigné un responsable appelé « DPO » pour Data Protection Officer : Madame Alina Lequeux. Le DPO est assisté d’une équipe, chargé de garantir la mise en œuvre et le respect de la législation en matière de protection des données et de la présente politique. Le DPO est joignable par email via dpo@labolivier.be ou par téléphone au 085 27 45 45.
Le site internet du Laboratoire permet une prise de contact via un formulaire en ligne. La personne concernée transmet ainsi volontairement ses données au responsable du traitement. Celles-ci ne seront pas transmises à des tiers.
2. Quels sont les principes applicables à la collecte et au traitement des données à caractère personnel ?
La législation en matière de protection des données prescrit que les données à caractère personnel doivent être traitées dans le respect des divers principes de base et des conditions qui en découlent.
Ci-après sont repris ces grands principes :
- Licéité : Les données à caractère personnel doivent être licites et loyales à l’égard de la personne concernée. En principe, ces données ne peuvent être traitées que si :
- La personne concernée donne son consentement ou,
- Le traitement est nécessaire à l’exécution d’un contrat (demande d’examen) ou,
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou,
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant l’exercice de l’autorité publique ou,
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Laboratoire.
Lorsque le Laboratoire traite des données à caractère personnel, elle garantit qu’elle se fonde toujours au moins sur l’un de ces fondements juridiques.
- Loyauté : Le Laboratoire assure que les données à caractère personnel sont traitées :
- pour des finalités déterminées, explicites et légitimes ;
- dans les limites de ce qui est nécessaire pour les finalités pour lesquelles les données ont été collectées. Si possible, le Laboratoire anonymisera ou pseudonimisera les données afin de limiter au maximum l’impact pour la personne concernée. En d’autres termes, l’identification sera rendue difficile dès la réception du prélèvement par l’attribution d’un numéro alias ;
- pendant une durée limitée et pour autant que ce soit nécessaire pour la finalité concernée. Les données à caractère personnel pourront être conservée pour une période plus longue, selon les spécifications réglementaires en vigueur, uniquement à des fins de gestion des litiges (nés ou à naître) ou d’archivage ;
- correctement et si nécessaire les données seront mises à jour
- Transparence : En principe, le Laboratoire traite les données à caractère personnel directement fournies par la personne concernée. Il devra communiquer à la personne concernée toutes les informations relatives au traitement de ses données (identité du DPO, finalité, destinataires, durée de conservation, droits, etc.) sauf si ces informations sont disponibles ou déjà connues par la personne concernée.
- Confidentialité et intégrité : Le Laboratoire adopte les mesures techniques et organisationnelles requises pour garantir la protection des données à caractère personnel.
3. Quels sont les types de données traitées à caractère personnel ?
Les données à caractère personnel traitées par le Laboratoire sont :
- les données d’identification : les nom et prénom, la date de naissance, le lieu de naissance, le sexe, l’âge, le numéro de registre national, etc. ;
- les données de contact : email, numéro de téléphone, adresse de résidence… ;
- les données financières et administratives ayant trait à l’admission et à la facturation, dont les données concernant les affiliations auprès de mutualités ou de compagnies d’assurance ;
- les données relatives à l’état de santé ;
- les autres données nécessaires à l'exécution des objectifs fixés ou imposés par la loi (données judiciaires)
Ces données peuvent être collectées directement auprès des patients, de leur représentant, de leur médecin prescripteur ou de leur médecin généraliste.
4. Dans quel but sont traitées vos données à caractère personnel ?
La finalité principale est la collecte et la gestion des informations vous concernant dans le cadre de votre analyse médicale et de votre suivi administratif, financier et social. Le Laboratoire accorde une attention particulière à ce que les données à caractère personnel soient traitées de manière adéquate, limitée à la finalité du traitement de ces données et conformément à la législation applicable.
Les finalités de traitements sont les suivants :
- gestion des prises de rendez-vous au sein des centres de prélèvement ;
- enregistrement des patients : enregistrer les données médicales des patients aux fins internes imposées par les autorités ainsi qu'aux fins de la recherche et de la politique interne ;
- administration des patients : assurer le suivi de traitement des patients aux fins de la facturation, et mutuelles, assurances de la transmission d’informations administratives nécessaires aux soignants, d’une bonne gestion administrative et opérationnelle du gestionnaire (exemple : envoi de rappels de RDV par SMS) ;
- soins des patients : gestion des résultats d’analyses, proposition d’une médecine préventive ou aide au diagnostic médical;
- communication des demandes d’analyse, d’examens médicaux et des résultats médicaux professionnels des soins de santé dans des conditions de sécurité optimales ;
- échange électronique de documents de santé (résultats d’examens, rapports médicaux, courriers, etc.) informatisés avec les prestataires de soins de santé et les patients (RSW) ;
- traitement des plaintes : enregistrement des données à caractère personnel des patients et/ou de leurs personnes de confiance afin de pouvoir intervenir dans le cadre des plaintes formulées ;
- enregistrement scientifique : l'enregistrement des données à caractère personnel dans le cadre d’étude épidémiologique et/ou scientifique dans l’intérêt public imposé par les autorités fédérales ou régionales.
5. Quelles sont les personnes ayant accès à vos données caractère personnel ?
Le Laboratoire mesure l’importante de la protection des données à caractère personnel et un certain nombre de collaborateurs peuvent avoir accès à des données à caractère personnel. Il faut entendre par collaborateurs tout le personnel qui travaille pour le Laboratoire, y compris les dirigeants, les prestataires de services, les consultants, les indépendants, les travailleurs intérimaires, les stagiaires, les étudiants, etc. Ces différents collaborateurs au sein du Laboratoire sont soumis à la présente politique de protection des données à caractère personnel.
Ces mêmes collaborateurs sont soumis à une obligation de confidentialité, soit en raison de leur statut professionnel (par ex. le médecin, biologiste, pharmacien soumis au secret médical) soit en raison de la signature d’un engagement de confidentialité portant sur les données et informations traitées. Cette obligation est également applicable aux collaborateurs externes, tiers concernés (dont des laboratoires sous-traitants) ou visiteurs du Laboratoire Olivier.
Il est essentiel que les travailleurs comprennent et s’approprient les objectifs de la présente politique. Les travailleurs doivent dès lors :
- traiter de façon régulière et appropriée les données à caractère personnel des collègues, des patients, médecins, etc., conformément à la législation applicable, aux instructions de l’employeur et à la politique de confidentialité de l’entreprise, tout en en garantissant l’intégrité et la confidentialité ;
- en cas de doute sur l’application de la présente politique ou le respect de la réglementation en matière de protection des données dans l’exercice de leur fonction, demander conseil à leur supérieur ou au DPO ;
- traiter des données à caractère personnel uniquement si c’est nécessaire dans l’exercice de leur fonction ou sur instruction du Laboratoire ;
- suivre des formations sur le traitement confidentiel des données à caractère personnel et les principes et obligations généraux découlant de la législation en matière de protection des données.
Les travailleurs veilleront à informer immédiatement le DPO s’ils constatent une violation éventuelle ou effective des données à caractère personnel ou de la législation en matière de protection des données.
Toute personne ayant accès aux données à caractère personnel traitées par le Laboratoire se doit de respecter la présente politique. A défaut, le Laboratoire se réserve le droit de prendre des mesures ou sanctions disciplinaires voire de rompre la relation contractuelle, dans le respect de la loi.
6. Avec qui vos données sont-elles partagées ?
Il peut arriver que le Laboratoire soit amené à transmettre les données à caractère personnel à des tiers, tels que l’INAMI, les autorités publiques, les professionnels de la santé, les assureurs... Dans ces cas, les données à caractère personnel sont exclusivement transférées dans le but précis de traiter les données pour la finalité déterminée et sur le principe du « need to know ». Le Laboratoire adopte systématiquement les mesures de sécurité nécessaires afin de garantir la confidentialité et l’intégrité des données à caractère personnel.
Le Laboratoire peut faire appel à un sous-traitant dans le cadre de traitements décentralisés de données. Le sous-traitant ne peut traiter ces données à des fins indépendantes des finalités pour lesquelles le Laboratoire a fait appel à lui. Le sous-traitent agit pour le compte du Laboratoire. Un contrat entre le sous-traitant et le Laboratoire reprenant les dispositions légales en matière de protection des données est établi afin de garantir le respect des engagements du sous-traitant (confidentialité, loyauté, …). Le Laboratoire s’engage, dans ce cadre, à mettre en œuvre une politique et des mesures de sécurité appropriées en matière de protection des données.
7. Combien temps sont conservés vos données caractère personnel ?
Le laboratoire traite et conserve les données à caractère personnel de la personne concernée uniquement pour la durée nécessaire à l’atteinte de l’objectif poursuivi et/ou lorsque ceci est prévu par le législateur.
Précisément, la durée de conservation de vos données personnelles est de :
- 30 ans pour les données médicales à caractère personnel relatives aux patients (dossier médical du patient) ;
- 25 ans pour les données concernant les études cliniques et publiques ;
- 7 ans pour les données de facturation de soins, les échanges entre les mutuelles et les assurances de la santé ;
- 1 an pour les données de médiation des plaintes (dossiers clôturés) ;
- 1 an pour les données de candidatures lors de recrutement.
Lorsque l’objectif poursuivi par la conservation des données est réalisé ou la durée de conservation prévue par le législateur est prescrite, les données à caractère personnel sont bloquées ou supprimées, conformément aux dispositions légales.
Le laboratoire peut conserver les données à caractère personnel pendant une plus longue période à des fins de gestion des litiges, et ce pendant la durée nécessaire à la gestion dudit litige, ou à des fins d’archivage.
8. Comment sécurisons nous vos données caractère personnel ?
Toutes les mesures nécessaires sont prises afin d'améliorer l'exactitude et l’exhaustivité des données enregistrées. De même, les mesures techniques et organisationnelles nécessaires sont prises afin de sécuriser les fichiers des patients contre la perte ou l'endommagement des données et contre toute consultation non autorisée, la modification ou la communication des données, telles que, la pseudonymisation et les procédures de test, d'évaluation et de contrôle de l'efficacité des mesures de sécurité.
Les principales méthodes de sécurisation utilisées sont les suivantes :
- Accès restreint au personnel autorisé ;
- Contrôle des accès avec authentification forte ;
- Contrôle par journalisation ;
- Backup sur support magnétique (disques ou casettes) stockés dans un bâtiment extérieur aux salles informatiques ;
- Stockage sur réseau TAP (Test Access Point) ou NAS (Network Attached Storage) répliqué entre deux salles distantes ;
- Conservation sur système d’archivage sécurisé physique ;
- Mesures de confidentialité avec les sous-traitants.
9. Quel sont vos droits et comment les exercer ?
La législation en matière de protection des données prévoit pour les personnes concernées divers droits relatifs au traitement des données à caractère personnel, afin que les personnes concernées puissent continuer d’exercer un contrôle suffisant sur le traitement de leurs données à caractère personnel.
a) Droit d’obtenir la confirmation : Chaque personne concernée a le droit d’obtenir la confirmation auprès du laboratoire que ses données à caractère personnel font ou non l’objet d’un traitement.
b) Droit d’information : Chaque personne concernée dont les données à caractère personnel font l’objet d’un traitement a le droit d’obtenir gratuitement et à tout moment des informations sur l’enregistrement de ses données à caractère personnel ainsi que d’en recevoir une copie. Les informations à fournir à la personne concernée lorsqu’elle en fait explicitement la demande sont les suivantes :
- les finalités du traitement ;
- les catégories de données à caractère personnel concernées ;
- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- la durée de conservation des données à caractère personnel ;
- L’existence du droit de demander l’accès aux données, la rectification, l’effacement, ou une limitation du traitement des données à caractère personnel ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
- être informée de l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’art. 22 al. 1 et 4 RGPD ;
c) Droit de rectification : Chaque personne concernée dont les données à caractère personnel font l’objet d’un traitement a le droit d’obtenir dans les meilleurs délais la rectification de ses données à caractère personnel qui seraient incomplètes ou inexactes. Il appartient cependant à chaque personne concernée de fournir des données à caractère personnel correctes.
d) Droit à l’oubli : Chaque personne concernée a le droit d’obtenir l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ; lorsque la personne concernée retire le consentement sur lequel est fondé le traitement ; lorsque la personne concernée s’oppose au traitement ; lorsque les données à caractère personnel ont fait l’objet d’un traitement illicite et lorsque l’effacement est nécessaire pour respecter une obligation légale.
e) Droit à la limitation du traitement : La personne concernée a le droit d’obtenir une limitation du traitement dans des cas spécifiques. - Si l’exactitude des données à caractère personnel est mise en cause et pendant la période nécessaire à la vérification de leur exactitude ; - Si le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation - Si le Laboratoire n’a plus besoin des données, mais la personne concernée demande à ce qu’elles ne soient pas supprimées, car elle en a besoin pour la constatation, l’exercice ou la défense de droits en justice. - Si une réclamation est introduite contre le traitement dans l’attente de l’explication des intérêts légitimes qui priment sur les intérêts de la personne concernée.
f) Droit à la portabilité des données : Chaque personne concernée a le droit de recevoir les données à caractère personnel la concernant, données qu'elle a fournies, ainsi que d’obtenir que ses données à caractère personnel soient transmises directement à un autre responsable de traitement (par exemple un autre laboratoire), lorsque cela est techniquement possible.
g) Droit à l’opposition : La personne concernée peut s’opposer au traitement de ses données personnelles. Dans ce cas, le Laboratoire ne traitera plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes ou impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. Le droit à l’opposition est limité à l’opposition par l’exécution du contrat avec le médecin.
h) Décision individuelle automatisée, y compris le profilage : Chaque personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire, sauf si la décision : - est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ou, - est autorisée par le droit de l'Union Européenne ou le droit de l'État membre auquel le responsable du traitement est soumis et que ces dispositions prévoient également des mesures appropriées pour la sauvegarde des droits et libertés, ainsi que des intérêts légitimes de la personne concernée ou, - est fondée sur le consentement explicite de la personne concernée.
i) Droit au retrait de son consentement : Chaque personne concernée dont les données à caractère personnel font l’objet d’un traitement a le droit de retirer à tout moment son consentement au traitement de ses données à caractère personnel.
Si la personne concernée souhaite exercer un des droits susmentionnés, elle est priée de bien vouloir prendre contact le DPO. Le Laboratoire peut demander à la personne intéressée de s’identifier afin de s’assurer que l’exercice effectif des droits est demandé par la personne concernée. Une suite est donnée à la demande de la personne concernée dans un délai d’un mois
La personne concernée peut exercer ses droits en envoyant un e-mail à l’adresse dpo@labolivier.be. La demande sera traitée dans un délai de 30 jours.
Le Laboratoire répond à la plupart des demandes dans un délai de 30 jours.
Si la personne concernée estime que ses droits ne sont pas respectés, elle dispose du droit d’introduire une plainte auprès de l’autorité de protection des données (Formulaire de contact : https://www.autoriteprotectiondonnees.be/citoyen/agir/contact).
Annexe : définitions
A. Données du patient
Les données des patients sont celles dont le Laboratoire a besoin afin de pouvoir fournir une prestation relevant du domaine de la médecine de laboratoire, ou celles que le Laboratoire a reçu d’un médecin qui a décidé d’utiliser le site web du Laboratoire (ELABO). En règle générale, la collecte des données des patients comprend : nom, prénom, sexe, date de naissance, adresse, numéro de téléphone, adresse mail, vignette mutuelle, et numéro d’identification du patient (intra-laboratoire), médecin traitant, analyses demandées.
B. Données à caractère personnel
Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Est réputée être « une personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
C. Traitement
On entend par « traitement » toute opération ou ensemble d’opérations, effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
D. Profilage
On entend par « profilage » toute forme de traitement automatisé de données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
E. Responsable ou responsable du traitement
On entend par « responsable » ou « responsable du traitement », la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union Européenne ou le droit d’un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d’un État membre.
F. Sous-traitant
Par « sous-traitant », l’on entend la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
G. Destinataire
Est considéré comme « destinataire », la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques, qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l’Union ou au droit d’un État membre, ne sont pas considérées comme des destinataires.
H. Tiers
Le « tiers » est une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
I. Consentement
On entend par « consentement », toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou une autre manifestation claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
J. Pseudonymisation
La « pseudonymisation » comprend le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.