PREALABLE

Nom et adresse du responsable du traitement

Laboratoire Olivier S.A., rue Léopold Genicot, 16 à 5380 Fernelmont
N° d’entreprise : 0427.882.836
N° agrément : 800-89261477-998
Ci-après nommé « Le Laboratoire ».

Introduction

Le laboratoire Olivier est amené à traiter des données à caractère personnel dans le cadre de son activité. La présente politique concerne le traitement de ces données par le Laboratoire.

Différentes catégories de personnes sont concernées : les patients, les médecins, les travailleurs, les fournisseurs, les utilisateurs du site web et autres parties prenantes.

La présente politique a pour but de dresser les lignes directrices auxquelles tout traitement de données à caractère personnel doit se conformer, que ce soit par un procédé automatisé en tout ou en partie. Tous les paragraphes repris ci-dessous matérialisent donc les éléments de cette politique.

Grâce à cette politique, il est désormais possible de s’assurer que les obligations générales, la nature, la portée et la finalité de la collecte, de l’utilisation et du traitement des données à caractère personnel par le Laboratoire et ses collaborateurs sont respectées eu égard aux différentes réglementations en matière de protection des données* (*Les principes et obligations de base sont contenus dans le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Cette réglementation est également dénommée Règlement général sur la protection des données (RGDP) ou General Data Protection Regulation (GDPR). La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques s’applique dans des cas particuliers (par exemple le traitement de données de localisation ; l’utilisation de cookies). En plus de la réglementation européenne, la législation nationale spécifique sur la protection des données s’applique également.)

Outre ces obligations légales, le respect de la règlementation permet un traitement adéquat et efficace des données à caractère personnel ; il permet également de consolider la relation de confiance entre le Laboratoire et ses différentes parties prenantes.

1. Point de contact pour la protection des données à caractère personnel

Le Laboratoire a désigné un responsable appelé « DPO » pour Data Protection Officer. Le DPO est assisté d’une équipe, chargé de garantir la mise en œuvre et le respect de la législation en matière de protection des données et de la présente politique. Le DPO est joignable par email via dpo@labolivier.be ou par téléphone au 085 27 45 45

Le site internet du Laboratoire permet une prise de contact via un formulaire en ligne. La personne concernée transmet ainsi volontairement ses données au responsable du traitement. Celles-ci ne seront pas transmises à des tiers.

2. Principes applicables à la collecte et au traitement des données à caractère personnel

La législation en matière de protection des données prescrit que les données à caractère personnel doivent être traitées dans le respect des divers principes de base et des conditions qui en découlent.

Ci-après sont repris ces grands principes :

  • Licéité : Les données à caractère personnel doivent être licites et loyales à l’égard de la personne concernée. En principe, ces données ne peuvent être traitées que si :
    • La personne concernée donne son consentement ou,
    • Le traitement est nécessaire à l’exécution d’un contrat ou,
    • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou,
    • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant l’exercice de l’autorité publique ou,
    • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Laboratoire.

Lorsque le Laboratoire traite des données à caractère personnel, elle garantit qu’elle se fonde toujours au moins sur l’un des fondements juridiques.

  • Loyauté : Le Laboratoire assure que les données à caractère personnel sont traitées :
    • pour des finalités déterminées, explicites et légitimes ;
    • dans les limites de ce qui est nécessaire pour les finalités pour lesquelles les données ont été collectées. Si possible, le Laboratoire anonymisera ou pseudonimisera les données afin de limiter au maximum l’impact pour la personne concernée. En d’autres termes, l’identification sera rendue difficile dès la réception du prélèvement par l’attribution d’un numéro alias ;
    • pendant une durée limitée et pour autant que ce soit nécessaire pour la finalité concernée. Les données à caractère personnel pourront être conservée pour une période plus longue, selon les spécifications réglementaires en vigueur, uniquement à des fins de gestion des litiges (nés ou à naître) ou d’archivage ;
    • correctement et si nécessaire les données seront mises à jour

 

  • Transparence : En principe, le Laboratoire traite les données à caractère personnel directement fournies par la personne concernée. Il devra communiquer à la personne concernée toutes les informations relatives au traitement de ses données (identité du DPO, finalité, destinataires, durée de conservation, droits, etc.) sauf si ces informations sont disponibles ou déjà connues par la personne concernée. Si le Laboratoire est amené à traiter les données à caractère personnel pour d’autres finalités que celles prévues initialement, il devra prendre toutes les mesures nécessaires pour agir de façon licite.

 

  •  Confidentialité et intégrité : Le Laboratoire adopte les mesures techniques et organisationnelles requises pour garantir la protection des données à caractère personnel.

3. Les droits de la personne concernée

La législation en matière de protection des données prévoit pour les personnes concernées divers droit relatifs au traitement des données à caractère personnel, afin que les personnes concernées puissent continuer d’exercer un contrôle suffisant sur le traitement de leurs données à caractère personnel.

a) Droit d’obtenir la confirmation Chaque personne concernée a le droit d’obtenir la confirmation auprès du laboratoire que ses données à caractère personnel font ou non l’objet d’un traitement.

b) Droit d’information Chaque personne concernée dont les données à caractère personnel font l’objet d’un traitement a le droit d’obtenir gratuitement et à tout moment des informations sur l’enregistrement de ses données à caractère personnel ainsi que d’en recevoir une copie. Les informations à fournir à la personne concernée lorsqu’elle en fait explicitement la demande sont les suivantes :

  • les finalités du traitement ;
  • les catégories de données à caractère personnel concernées ;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ; • la durée de conservation des données à caractère personnel ;
  • la rectification, l’effacement, ou une limitation du traitement des données à caractère personnel ;  
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • être informée de l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’art. 22 al. 1 et 4 RGPD ;

c) Droit de rectification Chaque personne concernée dont les données à caractère personnel font l’objet d’un traitement a le droit d’obtenir dans les meilleurs délais la rectification de ses données à caractère personnel qui seraient incomplètes ou inexactes. Il appartient cependant à chaque personne concernée de fournir des données à caractère personnel correctes.

d) Droit à l’oubli Chaque personne concernée a le droit d’obtenir l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant si le traitement n’est pas conforme à la législation en matière de protection des données.

e) Droit à la limitation du traitement La personne concernée a le droit d’obtenir une limitation du traitement dans des cas spécifiques. - Si l’exactitude des données à caractère personnel est mise en cause et pendant la période nécessaire à la vérification de leur exactitude ; - Si le traitement est illégal et la personne concernée ne souhaite pas l’effacement des données. - Si le Laboratoire n’a plus besoin des données, mais la personne concernée demande à ce qu’elles ne soient pas supprimées, car elle en a besoin pour l’exercice ou la justification d’une action en justice. - Si une réclamation est introduite contre le traitement dans l’attente de l’explication des intérêts légitimes qui priment sur les intérêts de la personne concernée.

f) Droit à la portabilité des données. Chaque personne concernée a le droit de recevoir les données à caractère personnel la concernant, données qu'elle a fournies, ainsi que d’obtenir que ses données à caractère personnel soient transmises directement à un autre Laboratoire par exemple, lorsque cela est techniquement possible.

g) Droit à l’opposition La personne concernée peut s’opposer au traitement de ses données personnelles. Dans ce cas, le Laboratoire ne traitera plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes ou impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. Le droit à l’opposition est limité à l’opposition par l’exécution du contrat avec le médecin.

h) Décision individuelle automatisée, y compris le profilage Chaque personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire, sauf si la décision : - est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ou, - est autorisée par le droit de l'Union Européenne ou le droit de l'État membre auquel le responsable du traitement est soumis et que ces dispositions prévoient également des mesures appropriées pour la sauvegarde des droits et libertés, ainsi que des intérêts légitimes de la personne concernée ou, - est fondée sur le consentement explicite de la personne concernée.

i) Droit au retrait de son consentement Chaque personne concernée dont les données à caractère personnel font l’objet d’un traitement a le droit de retirer à tout moment son consentement au traitement de ses données à caractère personnel. Si la personne concernée souhaite exercer un des droits susmentionnés, elle est priée de bien vouloir prendre contact le DPO. Le Laboratoire peut demander à la personne intéressée de s’identifier afin de s’assurer que l’exercice effectif des droits est demandé par la personne concernée. Une suite est donnée à la demande de la personne concernée dans un délai d’un mois

4. Déclaration de protection des données

Le Laboratoire mesure l’importante de la protection des données à caractère personnel et un certain nombre de collaborateurs peuvent avoir accès à des données à caractère personnel. Il faut entendre par collaborateurs tout le personnel qui travaille pour le Laboratoire, y compris les dirigeants, les prestataires de services, les consultants, les indépendants, les travailleurs intérimaires, les stagiaires, les étudiants, etc. Ces différents collaborateurs au sein du Laboratoire sont soumis à la présente politique de protection des données à caractère personnel.

Il n’en demeure pas moins que ces mêmes collaborateurs étaient et restent soumis à une obligation de confidentialité. Certains le sont de par leur statut professionnel (par ex. le médecin, biologiste, pharmacien soumis au secret médical) et d’autres ont signé un engagement de confidentialité portant sur les données et informations traitées. Cette obligation est également applicable aux collaborateurs externes, tiers concernés (dont des laboratoires sous-traitants) ou visiteurs du Laboratoire Olivier.

5. Responsabilités des travailleurs

Le Laboratoire attend de ses travailleurs qu’ils respectent la présente politique. 

Il est essentiel que les travailleurs comprennent et s’approprient les objectifs de la présente politique. Les travailleurs doivent dès lors : - traiter de façon régulière et appropriée les données à caractère personnel des collègues, des patients, médecins, etc., conformément à la législation applicable, aux instructions de l’employeur et à la politique de confidentialité de l’entreprise, tout en en garantissant l’intégrité et la confidentialité ;

  • en cas de doute sur l’application de la présente politique ou le respect de la réglementation en matière de protection des données dans l’exercice de leur fonction, demander conseil à leur supérieur ou au DPO ;
  • traiter des données à caractère personnel uniquement si c’est nécessaire dans l’exercice de leur fonction ou sur instruction du Laboratoire ; 
  • suivre des formations sur le traitement confidentiel des données à caractère personnel et les principes et obligations généraux découlant de la législation en matière de protection des données.

Les travailleurs veilleront à informer immédiatement le DPO s’ils constatent une violation éventuelle ou effective des données à caractère personnel ou de la législation en matière de protection des données.

6. Protection des données lors de candidature à un poste et dans le cadre de la procédure de recrutement

Le laboratoire collecte et traite les données à caractère personnel des candidats dans le cadre de la procédure de recrutement. Le traitement peut également avoir lieu par voie électronique. Si le laboratoire convient d’un contrat de travail avec le candidat, les données transmises seront enregistrées pour formaliser la relation de travail dans le respect des dispositions légales.

7. Saisie des données et informations générales

Afin d’assurer la sécurité et l’optimisation de notre système informatique, une série de données et d’informations générales peuvent être enregistrées dans les fichiers du serveur lors de la consultation du site internet du Laboratoire.

8. Transfert de données à caractère personnel

Il peut arriver que le Laboratoire soit amené à transmettre les données à caractère personnel à des tiers. Dans ces cas, les données à caractère personnel sont exclusivement transférées dans le but précis de traiter les données pour la finalité déterminée et sur le principe du « need to know ». Le Laboratoire adopte systématiquement les mesures de sécurités nécessaires afin de garantir la confidentialité et l’intégrité des données à caractère personnel.

  • Transfert à des sous-traitants

Le Laboratoire peut demander à un sous-traitant de traiter des données à caractère personnel exclusivement pour son compte et sur ses instructions. Le sous-traitant ne peut traiter ces données à des fins indépendantes des finalités pour lesquelles le Laboratoire a fait appel à lui. Un contrat entre le sous-traitant et le Laboratoire reprenant les dispositions légales en matière de protection des données est systématiquement établi afin de garantir le respect des engagements du sous-traitant (confidentialité, loyauté, …).

9. Conservation de données à caractère personnel

Pour autant qu’il n’en a pas été convenu autrement par écrit et que la loi ne requière pas une durée plus longue, l’ensemble des données à caractère personnel sont conservées par le laboratoire aussi longtemps qu’il est nécessaire. 

Le laboratoire peut conserver les données à caractère personnel pendant une plus longue période à des fins de gestion de gestion, des litiges ou d’archivage.

10. Suppression des données à caractère personnel

Le laboratoire traite et conserve les données à caractère personnel de la personne concernée uniquement pour la durée nécessaire à l’atteinte de l’objectif poursuivi et/ou lorsque ceci est prévu par le législateur.

Lorsque l’objectif poursuivi par la conservation des données est réalisé ou la durée de conservation prévue par le législateur est prescrite, les données à caractère personnel sont bloquées ou supprimées, conformément aux dispositions légales.

11. Mesures techniques et organisationnelles

Le laboratoire n’utilise pas de cookies à des fins marketing.

12. Respect de la présente politique

Toute personne ayant accès aux données à caractère personnel traitées par le Laboratoire se doit de respecter la présente politique. A défaut, le Laboratoire se réserve le droit de prendre des mesures ou sanctions disciplinaires (avertissement, licenciement, ou autre) autorisées par la loi.

13. Audit et révision

Le Laboratoire se réserve le droit de réviser la présente politique afin de rester conforme aux dispositions légales ou aux recommandations de l’autorité de contrôle compétente en la matière.

14. Entrée en vigueur

La présente politique entre en vigueur à date du 30.06.2019

Annexe : définitions

A. Données du patient

Les données des patients sont celles dont le laboratoire a besoin afin de pouvoir fournir une prestation relevant du domaine de la médecine de laboratoire, ou celles que le laboratoire a reçu d’un médecin/vétérinaire qui a décidé d’utiliser le site web du Laboratoire (ELABO). En règle générale, la collecte des données des patients comprend : nom, prénom, sexe, date de naissance, adresse, numéro de téléphone, adresse mail, vignette mutuelle, et numéro d’identification du patient (intra-laboratoire), médecin traitant, analyses demandées. Un dossier complet y ajoutera ses résultats.

B. Données à caractère personnel

Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. C’est à dire une personne identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

C. Traitement

On entend par « traitement » toute opération ou ensemble d’opérations, effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. La délimitation de la possibilité de traiter les données doit être définie.

D. Profilage

On entend par profilage toute forme de traitement automatisé de données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

E. Responsable ou responsable du traitement

On entend par responsable ou responsable du traitement, la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union Européenne ou le droit d’un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d’un État membre.

F. Sous-traitant

Par sous-traitant, on entend la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

G. Destinataire

Est considéré comme destinataire, la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques, qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l’Union ou au droit d’un État membre, ne sont pas considérées comme des destinataires.

H. Tiers

Le tiers est une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

I. Consentement

On entend par consentement, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou une autre manifestation claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement.