6 ans après l’entrée en vigeur du RGPD, bilan et les perspectives

 

Le 25 mai 2018, le Règlement relatif à la protection des données à caractère personnel (le « RGPD ») entrait en vigueur dans l’Union européenne. Bien que la protection des données personnelles était déjà réglementée de longue date, le RGPD a marqué un tournant capital au niveau mondial de par l’étendue de la protection offerte et des sanctions qui peuvent être infligées en cas de non-respect (jusqu’à 20 millions d’euro ou jusqu’à 4 % du chiffre d’affaires annuel mondial !).

Bien entendu, le milieu médical, et ce quel que soit le domaine pratiqué, n’a pas échappé à ce nouveau cadre réglementaire et constitue même un terrain fertile pour l’application de ces règles et de leurs conséquences. En effet, les données à caractère personnel relatives à la santé (physique et mentale) sont qualifiées de « sensibles » et le RGPD les entoure avec encore plus de précaution.

Ainsi, depuis l’entrée en vigueur du RGPD, on compte pas moins de 106 procédures ayant abouties à des sanctions dans l’Union européenne pour le secteur des soins de santé avec un total de plus de 6.583.000 € d’amende en cinq ans ! En 2023, le nombre d’amendes infligées dans le milieu médical a augmenté de pas moins de 25%.

La Belgique n’est pas en reste et veille également à une application stricte des règles en matière de protection des données à caractère personnel dans le domaine de la santé. Bien que les montants des amendes soient généralement moins élevés que dans d’autres pays européens, la tendance va en s’accroissant et on peut notamment recenser les sanctions suivantes :

• Le 19 aout 2022, un laboratoire d’analyse médical a été condamné à 20.000 € d’amende par l’Autorité de Protection des Données (l’« APD ») en raison d’une insuffisance de la sécurisation des données et l’absence d’analyse d’impact et de politique de vie privée ;
• Le 14 juin 2023, l’APD a infligé une amende de 10.000 € à une plateforme permettant de mettre en relation des patients et des prestataires de soins car le consentement pour le traitement des données à caractère personnel n’était pas correctement obtenu ;
• Le 16 juin 2023, l’APD a infligé une amende de 30.000 € à l’Ordre des Pharmaciens de Belgique en raison du non-respect des principes généraux entourant le traitement des données à caractère personnel.

Que faut-il mettre en place pour respecter le RGPD ?

Que vous exerciez votre métier seul, au sein d’un cabinet médical de plus ou moins grande taille, que vous travailliez pour une société active dans le secteur des soins de santé ou un hôpital, toute personne et entité qui collecte et traite des données relatives à des personnes physiques est soumise aux règles relatives à la protection des données à caractère personnel.

Vous devez par exemple respecter les sept principes généraux régissant les traitements de données à caractère personnel, tels que le principe de légalité (qui implique que vous devez déterminer une base légale spécifique pour pouvoir traiter les données des personnes concernées) et les principes de finalité et de minimisation des données (selon lesquels vous devez préalablement déterminer les raisons pour lesquelles vous traitez les données et ne pouvez collecter et conserver plus de données que celles qui sont strictement nécessaires pour atteindre le(s) but(s) que vous poursuivez), ou encore le principe de limitation de la conservation (qui impose que vous prévoyiez une durée maximale de conservation des données, en fonction des finalités, après quoi vous devez effacer les données).

Vous devez en outre veiller à mettre en place et, dans certains cas, à communiquer aux patients une série de documents légaux, tels que les déclarations relatives à protection de la vie privée, le registre de traitements, les cookies policies et des politiques internes relatives au traitement des données, et veiller à suffisamment sécuriser les données, tant par des moyens techniques qu’organisationnels.

En effet, la majorité des sanctions sont infligées en raison de manquements en lien avec ces obligations.

Cependant, d’autres obligations majeures sont également applicables, notamment quand vous transférez des données à des tiers, des collègues ou au patient lui-même, quand vous faites appel à une entreprise externe (par exemple le fournisseur de votre plateforme informatique, de votre outil de planification de rendez-vous ou encore de la solution cloud que vous utilisez pour le stockage de vos données) et vous devrez dans la plupart des cas désigner quelqu’un – en interne ou non – chargé de vous accompagner dans le respect de ces diverses obligations, d’interagir avec les personnes concernées en cas de demande ou de plainte, ainsi qu’avec l’APD, notamment en cas de plainte formelle ou de violation des données.

Si vous n’avez pas encore mis en pratique toutes les implications du RGPD, ne tardez pas : mieux vaut tard que jamais ! L’APD tiendra notamment compte de votre volonté de vous conformer aux obligations qui pèsent sur vous et des mesures que vous avez déjà prises, ces éléments étant notamment examinés au moment où l’Autorité de Protection des Données décide d’infliger une amende ou non, en ce compris son montant. 

Comment s’y prendre ?

Vous vous sentez démunis face à tant de contraintes et ne savez pas par où commencer, ou si vos efforts sont suffisants et conformes aux exigences du RGPD ?

Au vu des nombreuses obligations qui pèsent sur ceux qui traitent des données à caractère personnel et des conséquences pécuniaires et réputationnelles en cas de non-respect, il est important de savoir ce qu’implique la législation relative à la protection des données personnelles. Pour être certain de se conformer à toutes les exigences légales, il est recommandé de demander conseil, et le cas échéant de se faire assister par des spécialistes en matière de protection de données qui pourrons vous aider à mettre en place les mesures requises.

Vous souhaitez en savoir plus sur les exigences en matière de protection des données à caractère personnel dans le domaine des soins de santé ? Nous projetons d’organiser, à l’automne prochain, une conférence sur le thème de la mise en conformité avec le RGPD dans le domaine médical. Cette conférence aura pour objectif de situer votre pratique par rapport aux exigences du RGPD et de vous proposer des solutions pragmatiques et adaptées à votre métier.

Vous souhaitez recevoir les informations pratiques à propos du RGPD et le milieu médical, complétez le formulaire (https://jlrllf1crsl.typeform.com/to/czEpdkmI).

 

Par Me Laurence Troussart (avocate au Barreau néerlandophone de Bruxelles) et Me Florent Loriaux (avocat au Barreau francophone de Bruxelles), avocats au sein du cabinet eMotio.law.

Laurence pratique le droit de la propriété intellectuelle, des nouvelles technologies et de la protection des données à caractère personnel depuis 2010. Elle est inscrite au Barreau néerlandophone de Bruxelles et travaille en français, en néerlandais et en anglais.

Florent pratique le droit de la propriété intellectuelle, des nouvelles technologies et de la protection des données à caractère personnel depuis 2020 et est inscrit au Barreau francophone de Bruxelles. Il travaille en français et en anglais.