RGPD – Informations générales
Qu'est-ce que le RGPD?
Que fait le RGPD?
Que signifie le RGPD pour moi?
A quoi faut-il faire attention?
Qui vous contrôle?
Quelles sont les sanctions possibles?
Des questions?
Le General Data Protection Regulation (GDPR), en français le Règlement Général sur la Protection des Données (RGPD), relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est un règlement européen adopté le 27 avril 2016. Le 25 mai 2018 les nouvelles règles reprises dans ce règlement entrent en application.
Comme son nom l’indique, le RGPD concerne la protection des données à caractère personnel des personnes physiques (et donc pas les données des personnes morales ni des sociétés). Il remplace les réglementations actuelles en matière de protection de la vie privée en vigueur dans les différents États membres européens. En Belgique, la loi en vigueur était jusqu’à ce jour celle de 1992 appelée « Loi vie privée ».
Cette nouvelle réglementation répond au besoin d'une harmonisation des législations nationales en matière de protection de la vie privée au sein de l'Europe. Étant donné que chaque entreprise est désormais soumise aux mêmes règles, il devrait y avoir simplification administrative. Autre objectif important : offrir au citoyen plus de contrôle sur ses données.
Le RGPD impose les mêmes règles de confidentialité dans tous les pays européens. La taille de l’entreprise ne joue pas : il n’y pas de différence entre un travailleur indépendant ayant une clientèle d’une centaine de clients et une multinationale active dans plusieurs pays.
Toute personne qui traite des données personnelles dans son entreprise devra se conformer aux nouvelles règles. La seule exception existe dans le cas d'une activité purement personnelle ou d'un ménage, qui n'a aucun rapport en tant que tel avec une activité professionnelle ou commerciale.
Le RGPD vise avant tout la transparence. Il a pour objectif que les personnes (comme le patient) soient mieux informées sur ce qui est fait avec leurs données, de quelles données il s’agit, avec qui elles sont partagées, etc. Les droits de la personne concernée sont au centre des préoccupations. Il s'agit principalement de son droit de consultation, d'apporter des corrections et (nouveau) d'effacer ses données. En tant que pharmacien(ne), vous êtes tenu(e) de mettre ces informations en ordre dans le mois suivant la réception de la demande de la personne concernée.
Désormais, chaque autorité de surveillance nationale (voir ci-dessous) a également la possibilité d'effectuer des inspections et d'imposer des sanctions en cas de violation des règles.
Dans le cadre du RGPD, voici quelques notions importantes :
« données à caractère personnel »: toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un (ou plusieurs) élément(s) spécifique(s) propre(s) à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« traitement »: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Que signifie le RGPD pour vous?
Selon le rôle que vous avez, le RGPD imposera diverses obligations. En ce qui concerne le traitement des données personnelles, une distinction doit être faite entre les catégories de personnes suivantes :
« responsable du traitement »: la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.
« sous-traitant »: la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Il n'est pas toujours facile de savoir si vous êtes un responsable de traitement ou un sous-traitant. Pour chaque activité, vous devez vous poser la question : « est-ce que c’est moi qui détermine la finalité du traitement et les moyens de traiter les données à caractère personnel ou non ? » Si la réponse est « oui », alors vous êtes le responsable du traitement.
Le responsable de traitement peut externaliser le traitement des données à un tiers. Si tel est le cas, le sous-traitant agit au nom du responsable du traitement. La responsabilité finale incombe toujours au responsable du traitement, et ne peut pas être transmise au sous-traitant. Il est donc important d'imposer à votre sous-traitant les mêmes obligations qui s'appliquent également à vous.
A quoi faut-il faire attention?
Dans la plupart des cas, vous agirez en tant que responsable de traitement. Dans ces cas, vous êtes soumis à de nombreuses (nouvelles) obligations. Pour répondre à ces obligations, nous avons créé, pour vous, des modèles - cliquez ici.
- D'abord, vous devez tenir un registre des activités de traitement. Dans ce registre, vous répertoriez les données que vous traitez, à quelles fins, comment vous protégez ces données, où vous les conservez, etc. Vous trouverez sur le site de l’APB, un modèle de registre des activités de traitement. Ce modèle contient tous les traitements possibles qui peuvent avoir lieu dans une pharmacie.
- Deuxièmement, les personnes dont vous recueillez les données doivent être informées de l'utilisation que vous en faites. Vous les informez de préférence en collectant l'information. En pratique, cela signifie que vous êtes obligé(e) de prévoir une information au comptoir de la pharmacie.
- Ensuite, lorsqu’en tant que responsable de traitement vous faites appel à un sous-traitant, vous devez également conclure avec celui-ci un contrat de sous-traitance. Ce contrat indique clairement quelles informations il traite pour vous, à quelles fins, comment il les traite et ce qu'il devrait en faire au terme du contrat.
- De plus, un grand nombre de documents doivent également être adaptés. Par exemple, nous pensons à la politique de confidentialité que vous auriez sur votre site web ou à la politique des cookies. Pour ajuster les clauses de confidentialité des contrats de travail avec le personnel, nous vous invitons à contacter votre secrétariat social.
- Enfin, vous devez également avoir un formulaire qui décrit les fuites de données possibles. Si une fuite se produit (par exemple, si vous perdez une boîte avec des prescriptions médicales), vous devez remplir ce formulaire étape par étape. Vous devrez peut-être également informer l'Autorité de protection des données ainsi que la personne concernée de la fuite des données. Des informations plus détaillées peuvent être trouvées dans notre FAQ (ajouter un lien).
- Vous pouvez également avoir besoin de nommer un délégué à la protection des données (DPO) ou d'effectuer une analyse d'impact relative à la protection des données (AIPD). Ces deux obligations sont exigées notamment si vous faites un traitement à grande échelle de catégories particulières de données à caractère personnel. Il convient donc de vérifier au cas par cas, si ces obligations vous sont applicables ou non. C'est également de cette façon que la Commission de la protection de la vie privée a répondu à notre question.
Il existe une autorité de surveillance pour chaque pays. Il s’agit d’une autorité publique indépendante créée par l'État membre. Pour la Belgique, il s'agit depuis le 25 mai 2018, de l'Autorité de protection des données. Cette Autorité peut être contactée : rue de la Presse 35, 1000 Bruxelles, tél. : +32 (0)2 / 274.48.00.
En cas de plainte d'un patient, il se retournera d'abord vers vous. Mais il a également la possibilité de déposer une plainte auprès de l'Autorité de protection des données. Cette autorité a également la possibilité d'imposer une amende administrative (voir ci-dessous).
L’Autorité ne devra pas démontrer la faute du responsable de traitement ou du sous-traitant, mais il appartiendra au responsable du traitement de démontrer qu’il respecte le RGPD.
Quelles sont les sanctions possibles?
L'ordre de grandeur des sanctions est un élément que tout le monde signale rapidement. En effet, en cas de violation d'une disposition du RGPD, les amendes administratives infligées par l'Autorité de protection des données peuvent s'élever jusqu’à 20 millions d'euros ou jusqu’à 4 % du chiffre d'affaires annuel mondial de l'exercice précédent, le montant le plus élevé étant retenu.
Vous avez encore des questions ? Nous vous invitons à consulter notre FAQ – Frequently Asked Questions (ajouter un lien).