Règlement Général sur la Protection des Données
Le règlement général sur la protection des données (RGPD), qui est entré en application le 25 mai 2018, impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées.
L’obligation d’information et de transparence, qui existait déjà dans la loi Informatique et Libertés, est renforcée par le RGPD.
La transparence permet aux personnes concernées :
Nous sommes à même de vous informer :
La MFC s’engage à assurer auprès de tous ses patients, résidents et clients la sécurité de son système d’information et la sécurité des données qu’elle détient.
Son engagement se traduit dans la publication de deux documents que nous vous proposons :
L’obligation d’information et de transparence, qui existait déjà dans la loi Informatique et Libertés, est renforcée par le RGPD.
La transparence permet aux personnes concernées :
- De connaître la raison de la collecte des différentes données les concernant ;
- De comprendre le traitement qui sera fait de leurs données ;
- D’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
Nous sommes à même de vous informer :
- en cas de collecte directe des données : lorsque les données sont recueillies directement auprès des personnes (exemples : formulaire d’un dossier patient, achat en ligne, souscription d’un contrat, élaboration d’un devis) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (exemples : vidéosurveillance, analyse de la navigation sur Internet, …) ;
- en cas de collecte indirecte des données personnelles : lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de sources accessibles au public ou d’autres personnes).
- Dans le cadre de la collecte :
- en cas de collecte directe : au moment du recueil des données, dans la constitution d’un dossier médical, par exemple;
- en cas de collecte indirecte : dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans le délai d’1 mois.
- En cas de modification substantielle ou d'événement particulier :
- exemples : nouvelle finalité, nouveaux destinataires, changement dans les modalités d'exercice des droits, violation de données.
- Le droit d’accès (article 15 RGPD) La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès auxdites données. Ce droit comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.
- Le droit de rectification (article 16 RGPD) La personne concernée a le droit de demander que ses données soient rectifiées ou complétées, et ce dans les meilleurs délais.
- Le droit d’effacement ou « droit à l’oubli » (article 17 RGPD) La personne concernée a le droit de demander l’effacement de ses données, dans les meilleurs délais. Si les données de la personne concernée ont été transmises à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : le responsable de traitement devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne concernée a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.
- Le droit à la limitation du traitement (article 18 RGPD) La personne concernée a le droit, dans certains cas prévus par la loi, d’obtenir du responsable du traitement la limitation de ses données. Lorsqu’ une telle limitation est demandée, le responsable de traitement ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe, avoir lieu sur ces données personnelles.
- L’obligation de notification du responsable (article 19 RGPD) Cet article met en place une obligation de notification à charge du responsable de traitement qui l’oblige à communiquer à chaque destinataire des données toute rectification, effacement ou limitation du traitement.
- Le droit à la portabilité des données (article 20 RGPD) La personne concernée a le droit de récupérer les données qu’elle a fournies au responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement, par exemple pour pouvoir changer de fournisseur de service. Ce droit ne peut être utilisé que si le traitement des données est basé sur le consentement de la personne concernée ou sur un contrat.
- Le droit d’opposition (article 21 RGPD) La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’intérêt public ou l’intérêt légitime du responsable de traitement, y compris le profilage basé sur ces dispositions. La personne concernée a également le droit de s’opposer à ce que ses données soient traitées à des fins de marketing direct.
- Le droit de ne pas être soumis à une décision individuelle automatisée (article 22 RGPD) La personne concernée a le droit de ne pas être soumise à une décision résultant exclusivement d’un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Le profilage y est expressément inclus.
- Le droit à la communication d’une violation de données à caractère personnel (article 34 RGPD). Le responsable de traitement est obligé de notifier à la personne concernée les violations de données susceptibles de l’exposer à un risque élevé à ses droits et libertés.
- L’article 8 RGPD prévoit que lorsque des services de la société de l’information sont directement proposés à un enfant, le consentement au traitement des données de l’enfant doit être donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de cet enfant.
La MFC s’engage à assurer auprès de tous ses patients, résidents et clients la sécurité de son système d’information et la sécurité des données qu’elle détient.
Son engagement se traduit dans la publication de deux documents que nous vous proposons :
- La politique de sécurité des systèmes d’information.
- Le code de bonne conduite concernant la protection des données (téléchargez le document ci-dessous)