Protection des données et la sécurité des informations
1. OBJECTIF DE LA PROTECTION DES DONNÉES ET DE LA SÉCURITÉ DES INFORMATIONS
À travers cette politique, Oncomfort entend définir, à un niveau stratégique, le dispositif de protection des données, les responsabilités des différents intervenants et les priorités en matière de protection des données.
En termes de données à caractère personnel, Oncomfort intervient à trois niveaux :
- En qualité d’employeur de différents travailleurs, dans un rôle de responsable du traitement
- En qualité de développeur et distributeur, dans un rôle de sous-traitant
- En qualité de prestataire de services, dans un rôle de sous-traitant
Oncomfort souhaite protéger toutes les données à caractère personnel en rapport avec ces trois niveaux.
Oncomfort souhaite en particulier protéger les données des collaborateurs internes/externes et des clients ainsi que les données à caractère personnel que ces clients mettront à sa disposition au sujet de leurs patients ou d’autres personnes contre les événements suivants :
- Perte : données plus disponibles
- Fuites : données tombant entre de mauvaises mains
- Erreurs : données incorrectes (par exemple périmées ou incomplètes)
- Inaccessibilité : données pas accessibles au moment du traitement
- Accès non autorisé : données vues par une personne non autorisée à le faire
- Impossibilité de vérifier qui a vu, modifié ou supprimé les données
- Traitements non conformes à la réglementation, aux directives et aux normes industrielles
Cette politique est axée sur la protection de la vie privée et, plus particulièrement, des données à caractère personnel. Cette politique servira de référence pour le traitement des données à caractère personnel au sein d’Oncomfort. Elle constituera une ligne directrice pour l’ensemble des processus et fournira une norme de référence en matière d’audits et de contrôles. Ce document présente à chaque partie prenante un aperçu de cette politique et de la manière dont elle doit traiter les données à caractère personnel.
La présente politique s’adresse également aux personnes qui, de par leur fonction spécifique au sein d’Oncomfort, sont amenées à traiter des données contrôlées par des professionnels de la santé. Ces personnes utiliseront (certaines parties de) cette politique pour définir des procédures et rédiger des directives à l’intention des collaborateurs et des tiers et pour soutenir leurs clients.
2. CHAMP D’APPLICATION DE LA POLITIQUE DE PROTECTION DES DONNÉES
2.1 Champ d’application matériel
La présente politique de protection des données s’applique à l’ensemble du cycle de vie des informations au sein d’Oncomfort, depuis leur obtention jusqu’à leur suppression finale au sein de l’organisation.
Cette politique s’applique à :
- Oncomfort ;
- Tous les membres du personnel d’Oncomfort, qu’ils soient internes ou externes (en référence aux sous-traitants) ;
- Tous les moyens et systèmes de traitement des informations gérés par Oncomfort, de même que les systèmes gérés par des tiers travaillant en sous-traitance tels que les bases de données, applications, centres de données, etc. ;
- Toutes les activités de traitement, tant en qualité de responsable du traitement que de sous-traitant.
Cela comprend les données à caractère personnel des collaborateurs internes/externes et des clients, mais aussi les données à caractère personnel des patients qu’Oncomfort reçoit de ses clients. Tout processus impliquant le traitement de données à caractère personnel au sein d’Oncomfort tombe sous l’application de cette politique de protection des données.
Des politiques, procédures ou directives supplémentaires peuvent être adoptées si nécessaire pour traiter d’opérations de traitement ou de domaines spécifiques (par exemple transfert d’informations, fuites de données, gestion des incidents ou mots de passe) au sein d’Oncomfort.
2.2 Champ d’application fonctionnel
La présente politique de protection des données s’applique à tout traitement, quelle qu’en soit la finalité spécifique. En raison de son activité principale, Oncomfort opère dans trois domaines différents :
- En qualité d’employeur, dans un rôle de responsable du traitement ;
- En qualité de développeur et distributeur de dispositifs médicaux, dans un rôle de responsable du traitement ;
- En qualité de prestataire de services, dans un rôle de sous-traitant.
Oncomfort emploie différents collaborateurs. Son rôle d’employeur l’amène inévitablement à traiter des données à caractère personnel concernant ses différents collaborateurs.
Développeur et distributeur de dispositifs médicaux
L’activité principale d’Oncomfort consiste à développer et distribuer des dispositifs médicaux. De nombreux professionnels de la santé font appel aux appareils d’Oncomfort dans leurs activités quotidiennes. Oncomfort agit dans ce contexte en qualité de responsable du traitement. Cette politique s’applique à toutes les données à caractère personnel émanant tant du prestataire de soins que de ses patients.
Une fois l’application ou le service déployé chez les prestataires de soins de santé professionnels, Oncomfort propose une assistance sous forme de contrat d’assistance. Il est par conséquent possible que des ensembles de données du prestataire de soins de santé professionnel soient transférés à Oncomfort. La présente politique de protection des données reste applicable à toutes les données à caractère personnel transférées à Oncomfort. Les collaborateurs d’Oncomfort peuvent dans certains cas disposer d’un accès aux environnements locaux de traitement des informations des clients afin de fournir ces services.
2.3 Champ d’application territorial
La présente politique de protection des données s’applique à tout traitement de données à caractère personnel par Oncomfort ou par des entités désignées par Oncomfort, quel que soit l’endroit où a lieu le traitement. Cette politique s’applique également si le traitement a lieu en dehors de l’Espace économique européen, à charge alors pour Oncomfort de prendre les mesures appropriées pour contrôler et garantir le respect de cette politique.
3. OBJECTIFS DE LA POLITIQUE
Le règlement général sur la protection des données établit un cadre de droits et d’obligations pour protéger les données à caractère personnel. Il instaure un équilibre entre le besoin légitime des organisations de collecter et utiliser des données à caractère personnel à des fins commerciales et le droit des individus à conserver le contrôle de leurs données à caractère personnel. Oncomfort, tant dans son rôle de responsable du traitement que de sous-traitant (le cas échéant), respectera les principes suivants en matière de protection des données :
- Oncomfort est transparente envers les personnes concernées, les clients et les différentes autorités de contrôle concernant les données à caractère personnel qu’elle traite et la finalité du traitement. Les communications se feront sous une forme concise, transparente, intelligible et facilement accessible, dans un langage clair et simple. Le principe de transparence sera appliqué à tous les niveaux d’Oncomfort.
- Le traitement des données à caractère personnel sera licite. Cela signifie que chaque traitement doit avoir une base légitime correspondante.
- Oncomfort ne traitera des données à caractère personnel qu’à des fins spécifiques, explicites et légitimes. Tout autre traitement ne sera autorisé que si la finalité est compatible avec les finalités initiales.
- Le traitement, tout particulièrement lorsqu’Oncomfort opère en tant que sous-traitant, doit être adéquat, pertinent et limité à ce qui est nécessaire par rapport aux finalités pour lesquelles les données sont traitées. Oncomfort veillera à ce que la durée de conservation des données à caractère personnel soit limitée au strict minimum.
- En ce qui concerne le rôle d’Oncomfort en tant que responsable du traitement, les données à caractère personnel doivent être exactes et, le cas échéant, mises à jour.
- Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- Oncomfort mettra en œuvre les mesures techniques et organisationnelles appropriées pour garantir l’intégrité des données à caractère personnel pendant l’intégralité du cycle de traitement. Ces mesures constitueront une protection contre le traitement non autorisé ou illicite de données à caractère personnel et contre la perte, la destruction ou la détérioration accidentelles de données à caractère personnel. Ces mesures s’appliqueront pendant la totalité du cycle de vie des données.
- Ces mesures limiteront les risques de fuite de données. Dans le cas regrettable où une fuite de données se produirait, celle-ci sera documentée en interne et signalée conformément à la législation et aux recommandations applicables. Ces mesures s’appliqueront pendant la totalité du cycle de traitement.
- Oncomfort a mis en place des mesures appropriées pour répondre en temps utile aux demandes des personnes concernées par rapport à leurs droits. Ces droits comprennent (sans s’y limiter) le droit d’accès, le droit de rectification et le droit à la portabilité des données.
- Oncomfort traitera principalement des données à caractère personnel sur le territoire de l’Espace économique européen. Si des données à caractère personnel sont transférées vers des pays tiers, Oncomfort prendra les mesures appropriées pour s’assurer que ces pays disposent d’un niveau de protection adéquat des droits et libertés des personnes concernées en matière de traitement des données à caractère personnel. Oncomfort suivra les codes de bonne conduite existant éventuellement dans son secteur et les fera respecter.
- Oncomfort mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer la protection des données par défaut. Seules les données à caractère personnel nécessaires pour chaque finalité spécifique du traitement sont traitées. Aucun traitement disproportionné n’est autorisé. Cette obligation s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à la durée de leur conservation et à leur accessibilité.
- Indépendamment du traitement proprement dit, Oncomfort mettra en œuvre les mesures techniques et organisationnelles appropriées pour faire appliquer la protection des données dès la conception. Oncomfort prendra des mesures internes afin que la vie privée et la protection des données soient prises en compte dès le début du processus et restent importantes pendant l’intégralité du cycle de vie du système ou de la conception du processus.
- Oncomfort est responsable de l’application de ces principes et est en mesure de démontrer leur respect en vertu du principe de responsabilité. Cette conformité sera garantie par la réalisation d’audits internes.
4. ORGANISATION DE LA SÉCURITÉ DES INFORMATIONS
4.1 Acteurs concernés
Compétence
En tant que responsable du traitement, c’est au conseil d’administration d’Oncomfort que revient la responsabilité relative à cette politique. Le conseil d’administration est chargé de formuler, déterminer et vérifier le respect des principes de la politique au sein d’Oncomfort.
Responsable de l’exécution
Le conseil d’administration agit en qualité de plateforme décisionnelle formelle pour la protection des données. Le conseil d’administration est habilité à prendre des décisions relatives aux aspects suivants :
- Analyse des risques et méthodologie associée ;
- Développement de la politique de protection des données et des directives qui l’accompagnent ;
- Mise en œuvre des mesures de sécurité (par ex. contenu du plan de sécurité) ;
- Réponse structurelle aux questions et conseils en matière de protection des données (dans un délai de 3 mois).
Le conseil d’administration impliquera ses collaborateurs clés dans la définition des politiques de protection des données et travaillera avec eux pour les faire adopter dans toute l’organisation.
Délégué à la protection des données
Le suivi concret de cette politique de protection des données incombe au Délégué à la protection des données (SPD). Ce dernier s’acquittera de ces tâches conformément aux dispositions du règlement général sur la protection des données (RGPD). Oncomfort déclarera son identité (et les éventuels changements) à l’autorité chargée de la protection des données (en Belgique : Autorité de protection des données). Le DPD fait rapport au conseil d’administration d’Oncomfort SA.
Collaborateur
Toute personne (collaborateur contractuel ou travailleur indépendant sous contrat) traitant des données (par exemple dans le cadre d’une consultation, d’un enregistrement, d’une modification, ...) doit le faire conformément aux directives de la présente politique de protection des données. Le collaborateur traitera les données en toute discrétion et sera responsable :
- Des données des clients et patients qu’il traite ;
- De l’application des directives en matière de sécurité pendant sa mission de traitement ;
- Du traitement des seules données en rapport avec sa tâche ;
- De la prise en charge adéquate des données ;
- Du signalement de toute violation ;
- En vertu de l’article 458 du Code pénal belge et de l’article 17 de la loi relative aux contrats de travail belge, le collaborateur est tenu de respecter le secret professionnel.
Tiers
Les tiers ont les mêmes responsabilités qu’un utilisateur privilégié. Ils assument également les responsabilités suivantes :
- Signalement des risques de sécurité des applications fournies ;
- Notification des tâches de sécurité restantes au fournisseur ;
- Mise en œuvre d’une politique transparente de protection des données pour le fournisseur en communiquant sur son propre niveau de sécurité actuel et sur la gestion des incidents de sécurité.
4.2 Délégué à la protection des données
4.2.1 Désignation du Délégué à la protection des données
Le règlement général sur la protection des données introduit le rôle de Délégué à la protection des données. Attendu qu’Oncomfort développe et distribue des dispositifs médicaux dans différents domaines pour l’industrie des soins de santé, ses activités principales consistent à traiter d’importantes quantités de données à caractère personnel sur la santé. Par conséquent, Oncomfort a l’obligation de désigner un Délégué à la protection des données.
La base juridique relative au Délégué à la protection des données a été inscrite dans les articles 37 et suivants du règlement général sur la protection des données.
Le Délégué à la protection des données sera désigné sur la base de ses qualités professionnelles et de sa connaissance approfondie de la législation et des pratiques en matière de protection des données. Le Groupe de Travail 29 (GT29) décrit les compétences et l’expertise pertinentes pour le Délégué à la protection des données :
- Expérience de la législation et des pratiques nationales et européennes en matière de protection des données ;
- Connaissance et compréhension approfondies du règlement général sur la protection des données ;
- Connaissance d’Oncomfort et du secteur des soins de santé en général ;
- Compétences douces comme l’intégrité, la diplomatie et une grande éthique professionnelle ;
- Bonne compréhension de la sécurité des informations.
Oncomfort publiera les coordonnées de son Délégué à la protection des données et les communiquera à l’autorité de contrôle. Le Délégué à la protection des données veillera à rester accessible. Tout changement ultérieur sera communiqué de manière adéquate.
4.2.2 Fonction du Délégué à la protection des données
Oncomfort veillera à ce que le Délégué à la protection des données soit impliqué, de manière appropriée et en temps utile, dans toutes les questions relatives à la protection des données à caractère personnel.
Oncomfort soutiendra le Délégué à la protection des données dans l’exécution de ses tâches en lui fournissant les ressources nécessaires pour réaliser ces missions, accéder aux données à caractère personnel et aux opérations de traitement, et maintenir ses connaissances d’expert.
Il est de la plus haute importance que le Délégué à la protection des données reste indépendant à tout moment. Oncomfort doit par conséquent veiller à ce que le Délégué à la protection des données ne reçoive aucune instruction concernant l’accomplissement de ses tâches. Il ne pourra être licencié ou sanctionné en raison de l’exécution de ses tâches. Il rendra compte directement au plus haut niveau de direction d’Oncomfort.
Le Délégué à la protection des données sera tenu au secret professionnel ou à la confidentialité concernant l’exécution de ses tâches.
4.2.3 Tâches du Délégué à la protection des données
Les tâches du Délégué à la protection des données peuvent être réparties en trois catégories, en référence aux trois champs d’application fonctionnels dans lesquels Oncomfort opère.
A. Oncomfort en tant que responsable du traitement
Si Oncomfort agit en qualité de responsable du traitement, le Délégué à la protection des données assumera les missions suivantes :
- Informer et conseiller Oncomfort et ses collaborateurs sur la protection des données ;
- S’assurer du respect du règlement proprement dit et des politiques d’Oncomfort, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et mener les audits requis ;
- Fournir des conseils sur demande concernant l’évaluation de l’impact sur la protection des données et contrôler sa réalisation ;
- Coopérer avec l’autorité de contrôle, à savoir l’Autorité de protection des données en Belgique, et, le cas échéant, avec toute autre autorité nationale de protection des données.
- Jouer un rôle de point de contact de l’autorité de contrôle pour les questions relatives au traitement.
B. Oncomfort en tant que développeur de logiciels
Si Oncomfort agit en qualité de développeur et de distributeur, le Délégué à la protection des données assumera les missions suivantes :
- Aider les développeurs d’appareils à tenir compte des conséquences pratiques de la protection des données dès la conception et de la protection des données par défaut ;
- Aider les développeurs d’appareils à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un certain niveau de sécurité.
C. Oncomfort en tant que prestataire de services
Si Oncomfort opère dans son rôle de prestataire de services, le Délégué à la protection des données assumera les tâches suivantes :
- Informer le responsable du traitement après avoir eu connaissance d’une fuite de données à caractère personnel. Il aidera autant que possible le responsable du traitement dans les tâches suivantes :
- Décrire la nature de la fuite de données à caractère personnel ;
- Décrire les conséquences probables de la fuite de données à caractère personnel ;
- Proposer des contre-mesures pour en atténuer les conséquences ;
- Contribuer à la documentation de toute fuite de données à caractère personnel ;
- Fournir des conseils sur demande concernant les évaluations de l’impact sur la protection des données et contrôler leur réalisation.
En règle générale, le Délégué à la protection des données assumera une fonction de documentation, stimulation, conseil et contrôle au sein d’Oncomfort.
4.3 Conseil d’administration
Le conseil d’administration est l’organe décisionnel en matière de protection des données. Le Délégué à la protection des données fera rapport chaque mois au conseil d’administration.
Le conseil d’administration prend des décisions sur toutes les responsabilités assumées par l’organisme de protection des données :
- Modification de la politique de protection des données ;
- Désignation d’un Délégué à la protection des données ;
- Contrôle de l’indépendance du Délégué à la protection des données ;
- Contrôle des processus opérationnels décrits dans la présente politique à des fins de protection des données ;
- Formulation de demandes de conseil au Délégué à la protection des données ;
- Modification de la politique et mise en œuvre sur les conseils du Délégué à la protection des données ;
- Décisions de gestion des risques dans le traitement des données à caractère personnel. L’emploi du temps du collaborateur fait partie de cette gestion des risques.
- Approbation des tableaux de classification déterminant, par exemple, quand une évaluation de l’impact sur la protection des données doit avoir lieu, ainsi que des tableaux de classification pour le signalement des infractions ;
- Conception et maintenance des processus opérationnels décrits dans le présent texte de politique ;
- Attribution de responsabilités en vue de l’exécution des processus opérationnels ;
- Décisions sur l’ensemble des considérations au titre du règlement 2016/679, y compris celles fondées sur des intérêts légitimes et celles relatives aux enfants, et décisions concernant la compatibilité des finalités du traitement ultérieur des données à caractère personnel ;
- Création de la documentation nécessaire pour toutes les (propositions de) décisions ;
- Formalisation des décisions du conseil d’administration ;
- Application des sanctions en cas de violations ;
- Rapports sur la politique de protection des données et les politiques sous-jacentes pertinentes ;
- Formulation de recommandations sur la protection des données dès la conception et la protection des données par défaut ;
- Détermination de la politique d’achat à l’égard des sous-traitants.
5. INTERACTIONS ENTRE LA PROTECTION DES DONNÉES ET LA SÉCURITÉ DES INFORMATIONS
5.1 Protection des données et sécurité des informations
La protection des données vise à protéger les données à caractère personnel d’une personne concernée. Les données à caractère personnel désignent toute information relative à une personne physique identifiée ou identifiable. Il peut s’agir d’un nom individuel, d’un numéro de sécurité sociale, mais aussi d’informations sur la santé ou les croyances religieuses. La protection des données met en outre l’accent, par exemple, sur la légalité, la finalité et la limitation de la collecte, la minimisation des données, l’accès et la responsabilité, mais aussi la sécurité des informations dans son ensemble.
La sécurité des informations, pour sa part, peut être définie comme la protection des informations et des systèmes d’information contre tout accès, utilisation, divulgation, perturbation, modification ou destruction non autorisés afin d’assurer la confidentialité, l’intégrité et la disponibilité. Elle renvoie aux mesures techniques et opérationnelles qu’une organisation doit prendre pour que les données qu’elle détient soient en sécurité et protégées et ne se limite pas aux données à caractère personnel.
5.2 Finalité identique
Si le champ d’application de la protection des données et celui de la sécurité des informations se chevauchent dans une certaine mesure et servent la même finalité générale, ces termes ne sont pas interchangeables et présentent une différence significative. Les exigences en matière de protection des données et de sécurité des informations doivent être mises en œuvre en même temps de manière à répondre aux obligations énoncées dans le règlement général sur la protection des données et dans la présente politique de protection des données.