Dans le cadre du rapport annuel 2018 du LNS, nous avons réalisé une série d’interviews et de reportages pour mieux présenter le LNS à travers son personnel et ses différents départements. Voici le second interview de cette série qui met en scène la juriste Alice Xavier, suivi du reportage correspondant. Bonne découverte!

Le 25 mai 2018, le règlement général sur la protection des données (RGDP) entrait en vigueur. Les citoyens de l’Union européenne ont à présent un plus grand contrôle sur leurs données personnelles et la garantie que les informations les concernant sont bien protégées. Le RGPD entend par données à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable comme un nom, une photo, une adresse email, des coordonnées bancaires, des mises à jour sur les réseaux sociaux, des données de localisation, une adresse IP ou une information d’ordre médical. En tant qu’institut multidisciplinaire travaillant dans le secteur de la santé et possédant une masse importante de données personnelles – et la plupart du temps très sensibles –, le LNS doit impérativement se conformer aux règles édictées par le RGDP.

Selon Alice Xavier, juriste auprès du LNS jusque début 2019, l’institution publique a pris plusieurs initiatives en vue de renforcer la protection des données personnelles bien avant l’entrée en vigueur du RGDP.

REGISTRE DES ACTIVITÉS DE TRAITEMENT

« En 2017 déjà, nous avons convié nos médecins à une session d’information donnée par la Commission Nationale pour la Protection des Données (CNPD) sur les fondements et le vocabulaire spécifique du RGPD », explique Alice Xavier. « Nous avons également initié un processus de mise en conformité avec le RGPD en trois étapes. La tenue d’un registre des activités de traitement des données par département, tel que décrit à l’article 30 du RGPD (coordonnées du responsable du traitement, courte description, finalités, nombre et catégories de personnes concernées, catégories de données personnelles), a été la première étape. Pour ce faire, nous avons mis en place une quinzaine d’ateliers avec les parties prenantes, à savoir les chefs de département et autres représentants clés, après leur avoir au préalable distribué des questionnaires. Sur base des réponses aux questionnaires et de l’information collectée lors des ateliers, nous avons identifié les activités de traitement des données personnelles et les avons classées par niveau de risque de manière à établir les priorités pour les prochaines étapes. Les résultats ont été revus et validés par les parties prenantes. »

ÉVALUATION DE LA CONFORMITÉ ET LES RECOMMANDATIONS

La deuxième étape a consisté en un diagnostic des écarts de conformité avec les principales exigences du RGPD (existence ou non de procédures spécifiques, considérations de protection de la vie privée, gestion des données, etc.). « Des réunions de travail avec les services en charge du juridique, de la mise en conformité et de l’information – en ce compris la sécurité – nous ont permis de créer une matrice contenant, d’un part, la liste des principales exigences du RGPD et, d’autre part, leur niveau de conformité au sein du LNS et les écarts correspondants », poursuit Alice Xavier. « Nous avons ensuite proposé un plan d’actions avec des recommandations pratiques groupées par priorité et une feuille de route pour mettre en œuvre ces recommandations. Les résultats de ces réunions de travail, la matrice RGPD, les recommandations et la feuille de route ont été résumés dans un rapport final. »

NOMINATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES

« Après la validation de ce rapport, nous avons engagé un délégué à la protection des données (DPO) externe pour nous aider à appliquer les recommandations et à répondre aux plus importants risques critiques avant l’entrée en vigueur du RGPD. A cet égard, 2018 a été une année cruciale pour notre département des affaires juridiques. Nous avons présenté au conseil d’administration les recommandations et les premières étapes du DPO, défini les procédures de mise en conformité, décrit les rôles et les responsabilités au sein du LNS et organisé des sessions de formation en allemand, anglais et français. Ces sessions avaient pour but de s’assurer que chaque membre du personnel ait le même niveau de connaissance des règles du RGPD (qu’est-ce qu’une donnée personnelle, quels sont les droits des patients1, que faire en cas de violation des données, etc.), soit conscient de sa responsabilité individuelle en matière de protection des données et puisse appliquer efficacement les procédures. »

« Pour 2019, nos principaux objectifs seront d’engager un délégué à la protection des données interne, de renforcer davantage la cyber-sécurité et d’approfondir nos procédures d’un point de vue technique », conclut Alice Xavier. « La protection des données personnelles est un travail d’équipe permanent. »