RGDP: Corilus vous aide

La législation RGDP étend les principes de base bien connus de la loi belge de 1992 relative à la protection de la vie privée. Le RGPD a un impact encore plus fort, dans la mesure où il introduit des obligations claires et d’éventuelles sanctions. 

La grande nouveauté est que ce nouveau règlement vise à garantir une protection et une sécurité adéquates des données dans un monde où la digitalisation occupe une place de plus en plus prépondérante et où le traitement de ce type d’informations est devenu indispensable.
 
Dans le secteur des soins de santé aussi, les données à caractère personnel revêtent une importance cruciale. Nous sommes dès lors face à un défi de taille sur les plans juridique, opérationnel et technologique. Toutefois, nous appréhendons surtout ce changement de manière positive. En effet, nous estimons que la gestion et la protection correctes d’informations de qualité favorisent la fourniture de soins et de services optimaux. C’est ainsi que Corilus voit les choses !
 
Nous recevons, nous aussi, de plus en plus de questions à propos de la manière dont Corilus et nos logiciels répondent aux exigences du RGPD. Satisfaire aux exigences du RGPD constitue bien évidemment l’une de nos priorités. Mais avant toute chose, commençons par énumérer les principes généraux de ce règlement.
 

Les 7 principes de base du RGPD

  1. Transparence : la personne dont les données sont traitées doit en être informée et avoir la possibilité d’exercer ses droits.
  2. Limitation des finalités : les données à caractère personnel ne doivent être collectées que dans un but légitime bien précis et non à d’autres fins.
  3. Limitation des données : seules les données à caractère personnel nécessaires pour l’objectif visé peuvent être collectées.
  4. Exactitude : les données à caractère personnel doivent être correctes et le rester.
  5. Limitation de la durée de conservation : les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire.
  6. Intégrité et confidentialité : les données à caractère personnel doivent être protégées contre les accès non autorisés, la perte et la destruction.
  7. Justification : le responsable doit pouvoir démontrer que ces règles sont respectées (obligation de documentation).

Corilus et le RGPD

Pour être prêts pour le 25 mai 2018, nous avons collaboré avec des experts chevronnés en protection de la vie privée afin d’entreprendre ensemble les démarches nécessaires. Voici un bref aperçu des activités en cours :
 
  1. Sensibilisation : en interne, nous veillons à permettre la conscientisation nécessaire et mettons en place une politique claire en matière de sécurité des informations. Pour pouvoir évaluer correctement les obligations liées au RGPD, tous nos collaborateurs doivent maîtriser au minimum les principes généraux et la terminologie exacte. Pour ce faire, nous organisons des formations internes obligatoires.
  2. Registre des activités de traitement : nous tenons un registre des données à caractère personnel que nous traitons pour vous et à quelle fin, ainsi que des personnes qui les reçoivent et les traitent le cas échéant, et des méthodes que nous utilisons pour les protéger.
  3. Relations avec les personnes qui traitent les données : nous concluons des accords contractuels clairs avec nos partenaires, qui, dans certains cas, traitent les données à caractère personnel de vos patients (p. ex., hébergement, agenda en ligne ou autres connexions à partir de votre logiciel).
  4. Analyse de l’impact de la protection des données : si nous lançons de nouveaux projets (innovants), nous procédons à une évaluation complémentaire afin de nous assurer que nous satisfaisons aux principes de base et couvrons suffisamment l’ensemble des risques.
  5. Fuites de données : nous mettons en place des procédures afin que les fuites de données potentielles puissent être signalées dans les 72 heures suivant leur identification (comme l’impose le RGPD).
  6. Droits des personnes concernées : nous offrons à toutes les personnes concernées (patients, collaborateurs, prestataires de soins, visiteurs, etc.) dont nous traitons des données à caractère personnel les droits nécessaires pour qu’elles puissent notamment recevoir des informations transparentes et demander une consultation/correction de leurs données. À cet égard, nous tenons compte de la loi de 2002 relative aux droits du patient.
  7. Responsable de la protection des données : depuis 2017, Corilus a désigné un responsable chargé d’intervenir en tant qu’interlocuteur interne et externe. Cette personne exerce principalement une fonction de coaching, de stimulation, de conseil et de documentation, et rapportera directement au Comité de direction.
 

Analyse de nos processus actuels et adaptations si nécessaire

La première étape concrète a consisté en une analyse approfondie de notre approche et de nos procédures actuelles en matière de gestion et de protection des données à caractère personnel au sein de Corilus. Lors de cette analyse, nous avons :
 
Répertorié les processus, services et biens actuels pour lesquels des données à caractère personnel sont générées, traitées et stockées. 
Examiné quelles données à caractère personnel sont traitées, à quelle fin, d’où proviennent ces informations, avec qui nous les partageons et qui y a accès.
 
Vérifié dans quelle mesure les droits des personnes concernées sont respectés, notamment le droit à la consultation, le droit à la correction et à la suppression, ainsi que le droit à la portabilité des données à caractère personnel.
Évalué dans quelle mesure Corilus protège et gère actuellement les données à caractère personnel conformément aux règles en matière de protection de la vie privée.
 
Grâce à cette analyse approfondie de nos procédures actuelles, nous savons précisément à quel niveau nous devons encore procéder à des adaptations pour que le fonctionnement de Corilus soit conforme au RGPD. Cette analyse est également à l’origine de la création et de la tenue d’un registre des données à caractère personnel. Outre le respect des principes de base (décrits ci-dessus), nous garantissons également la sécurité du traitement des données à caractère personnel.
 
Si vous avez des questions, nous vous conseillons de vous adresser à votre association professionnelle, de vous rendre sur le site Web de la Commission Vie privée ou de consulter un spécialiste en la matière.