Politique de confidentialité

                                          

Politique de confidentialité santhea


Article 1. Objectif

Santhea ASBL attache une grande importance à la protection de la vie privée des personnes concernées par un ou plusieurs traitements de données à caractère personnel entrepris dans le cadre de ses activités de fédération d’institutions de soins. Au travers de la présente politique de confidentialité, santhea souhaite informer le plus complètement possible ces personnes sur la manière dont les données à caractère personnel les concernant sont collectées et traitées dans le cadre de ses activités de fédération d’institutions de soins et comment celles-ci peuvent contrôler le traitement de leurs données à caractère personnel.

La présente politique de confidentialité a été élaborée dans ce cadre conformément au Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), et à la réglementation nationale dans ce domaine.


Article 2. Définitions

Pour l’application du présent règlement, il convient d'entendre par :

  • Données à caractère personnel : toute forme d'information relative à une personne physique identifiée ou identifiable. Est réputée être identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification (par ex., le numéro de registre national), des données de localisation, un identifiant en ligne (par ex., une adresse IP), ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
  • Données anonymes : toutes les données ne pouvant (plus) être liées à une personne identifiée ou identifiable et qui ne sont donc pas (plus) des données à caractère personnel ;
  • Fichier : tout ensemble de données à caractère personnel, se composant et conservées de manière logique et structurée, qui autorise une consultation systématique, que cet ensemble soit centralisé ou non ou distribué d'une manière fonctionnelle ou géographique déterminée ;
  • Traitement : toute opération ou tout ensemble d'opérations relatives aux données à caractère personnel et effectuées ou non à l'aide de procédés automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données à caractère personnel ;
  • Responsable du traitement : la personne physique ou morale, une autorité publique, un service ou un autre organisme, qui fixe, seul ou en collaboration avec d'autres, l'objectif et les moyens de traitement des données à caractère personnel ;
  • Gestionnaire du traitement : la personne qui, sous l'autorité directe du responsable du traitement, est mandatée pour traiter les données à caractère personnel ;
  • Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement, sans être placée sous l'autorité directe du responsable du traitement ;
  • Tiers: la personne physique ou morale, l’autorité publique, le service ou un autre organisme, autre que le contact, le responsable du traitement ou le sous-traitant ;
  • Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ;
  • Contact : la personne physique en contact avec santhea dans le passé ou le présent dans le cadre de son activité professionnelle, issue ou non d’une institution membre de santhea mais n’ayant pas travaillé directement pour l’ASBL ;
  • Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne physique accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.


Article 3. Champ d’application

La présente politique de confidentialité s'applique au traitement des données à caractère personnel de l’ensemble des contacts (visées aux Articles 5, 6 et 7) de santhea, constitué ou exécuté par ses collaborateurs.


Article 4. Responsable du traitement et ses représentants

Santhea, association sans but lucratif (numéro d’entreprise BE 0807.643.081), sis 36 Rue du Pinson à 1170 Watermael-Boitsfort est le responsable du traitement des données à caractère personnel de ses contacts.

Les personnes représentant santhea sont :

- La Présidente du Conseil d’Administration de santhea : Madame Marie-Claire LAMBERT ;

- Le Directeur Général de santhea : Monsieur Yves SMEETS.

La responsabilité principale relative au traitement des données à caractère personnel des contacts de santhea incombe à son Directeur Général.


Article 5. Catégories de personnes dont les données font l'objet d'un traitement

La collecte et le traitement des données à caractère personnel s'appliquent à tous les contacts (tels que définis à l’Article 2) de santhea en sa qualité de fédération d’institutions de soins.


Article 6. Nature des données traitées et méthode de collecte

1. Santhea traite les données à caractère personnel suivantes de ses contacts :

  • Données d'identification, incluant le nom, le prénom, le courriel professionnel, le numéro de téléphone professionnel, le numéro de fax et les identifiants aux services en ligne proposés par santhea ;
  • Données relatives à la profession, incluant le nom de l’employeur, le site principal d’activité, le service et la fonction.

2. Les données à caractère personnel des contacts de santhea sont collectées par les collaborateurs de santhea auprès du contact lui-même, par l’intermédiaire d’un collaborateur clairement identifié dudit contact ou dans un courriel, un annuaire ou un site internet accessible au public.


Article 7. Finalités et fondement légal des traitements

1. Dans les limites de son statut de fédération d’institutions de soins et sur base de ses intérêts légitimes, les traitements des données à caractère personnel des contacts de santhea poursuivent au moins l’une des finalités suivantes :

  • Gestion des organes de gestion et comités internes de santhea, incluant la gestion de son Conseil d’Administration, de son Conseil Général des Hôpitaux et de ses autres comités internes ;
  • Organisation d’évènements et de réunions internes, incluant l’organisation de formations, groupes de travail et autres réunions internes à l’association ;
  • Organisation d’évènements et de réunions externes, incluant l’organisation de journées d’études et de réunions externes avec les autres représentants du secteur et/ou l’Administration ;
  • Mise à disposition d’outils de benchmarking en ligne, incluant l’entretien de listes de membres autorisés à accéder à certains contenus, la génération, le stockage et le partage d’identifiants avec le membre concerné ;
  • Diffusion de notes d’information, d’études, d’une revue de presse et de rapports annuels, incluant l’entretien de listes de membres autorisés à accéder à certains contenus, la génération, le stockage et le partage d’identifiants avec le membre concerné ;
  • Gestion des relations avec les membres, par l’intermédiaire d’un outil en ligne spécialement conçu à cette fin ;
  • Gestion des fournisseurs, en ce compris les sous-traitants de santhea.

 2. Des données à caractère personnel autres que celles nécessaires aux fins énoncées au §1er ne seront en aucun cas traitées et ces données à caractère personnel ne seront pas traitées d'une manière qui soit incompatible avec ces objectifs.


Article 8. Gestionnaires des fichiers des contacts et leurs compétences

1. La consultation interne et le traitement des données à caractère personnel des contacts sont réalisés par les personnes et dans les limites telles que décrites dans le présent paragraphe.

  • Les données à caractère personnel des contacts sont collectées et traitées sous la direction du Directeur Général ;
  • Les collaborateurs de santhea (Comité de direction, Secrétariat, Département Étude & qualité, Pôle Conseil, Cellule environnement, Cellule médiation, Cellule RGPD ou autres) collectent et utilisent les données à caractère personnel des contacts dans le cadre de leurs activités respectives ;
  • Le coordinateur IT se charge de l’encodage, du stockage, de la sécurisation, de la mise à jour et de l’entretien sous forme de fichiers informatiques des données à caractère personnel des contacts.

Les différents gestionnaires ne peuvent consulter que les données à caractère personnel qui sont absolument nécessaires à l'exécution de leurs tâches.

2. Tous les collaborateurs de santhea, devant nécessairement avoir accès aux données à caractère personnel des contacts aux fins de l'exécution de leurs tâches, se sont engagés à respecter les dispositions de la présente politique de confidentialité lors du traitement et de la consultation des fichiers des contacts, ainsi que tous les autres principes relatifs à la protection de la vie privée. Ils sont soumis au secret professionnel ou à une obligation statutaire ou contractuelle de confidentialité similaire.


Article 9. Transmission des données des contacts et catégories de destinataires

1. Dans les limites du RGPD et pour autant que cela s'avère nécessaire aux fins des objectifs visés à l'article 7 de la présente politique de confidentialité, santhea autorise ses sous-traitants informatiques, comme seuls destinataires externes, à traiter les données à caractère personnel de ses contacts.

2. Si une transmission telle que visée au §1er du présent article signifie que les données à caractère personnel du contact sont communiquées à un pays tiers en dehors de l'Union européenne ou à une organisation internationale, le contact recevra alors des informations complémentaires sur les conséquences de cette transmission sur la sécurité de ses données à caractère personnel.

3. À l'exception des cas visés au §1er du présent article, seules des données anonymisées peuvent être échangées avec d'autres personnes et instances.


Article 10. Procédures de sécurisation

Toutes les mesures nécessaires sont prises afin d'améliorer l'exactitude et la complétude des données enregistrées. De même, les mesures techniques et organisationnelles nécessaires sont prises afin de sécuriser les fichiers des contacts contre la perte ou l'endommagement des données et contre toute consultation non autorisée, la modification ou la communication des données, telles que, notamment, les procédures de test, d'évaluation et de contrôle de l'efficacité des mesures de sécurité.


Article 11. Délais de conservation et suppression des données

1. Les données à caractère personnel des contacts de santhea sont conservées tant qu’aucune demande de suppression n’a été communiquée à santhea par le contact ou son (ex-)employeur.

2. Les données à caractère personnel des contacts sont supprimées dans un délai d’un mois à compter de la demande de ces derniers ou de leurs (ex-)employeurs.


Article 12. Droits et possibilités de plainte du contact

1. Au plus tard au moment de la collecte des données à caractère personnel relatives au contact, ce dernier est, conformément aux dispositions du RGPD, mis en mesure d’être informé du traitement de ces données et de la base légale afférente à ce traitement de données.

2. Le contact qui en formule la demande peut demander au responsable du traitement de consulter gratuitement et d'obtenir une copie gratuite :

  • de l'existence ou non de traitement de données à caractère personnel le concernant ;
  • des données qui sont traitées et de toutes les informations disponibles sur l'origine de ces données ;
  • des finalités du traitement ;
  • des catégories de données soumises à ces traitements et du délai de conservation de ces données ;
  • des catégories de destinataires auxquels les données sont transmises ;
  • de la source de ces données à caractère personnel, si elles n'ont pas été collectées auprès du contact.

3. Le contact qui en formule la demande a en outre le droit de demander au responsable du traitement de corriger ou compléter gratuitement toutes les données à caractère personnel traitées et incorrectes ou incomplètes. Dans ce cadre, le contact peut également demander que ses données à caractère personnel ne soient temporairement pas traitées (sauf dans plusieurs cas définis par la loi) jusqu'à ce que leur exactitude ait été contrôlée. Les données à caractère personnel doivent être corrigées ou complétées uniquement si le responsable du traitement constate qu'elles sont effectivement incorrectes ou incomplètes.

4. Le contact peut également demander au responsable du traitement de recevoir une copie de ses données à caractère personnel et/ou qu'elles soient transmises directement à un autre établissement ou personne de son choix dans un format permettant de transférer facilement ces données à caractère personnel. Toutefois, ce droit s'applique uniquement aux données à caractère personnel communiquées par le contact et traitées sur base du consentement ou d’un contrat, selon des procédures automatisées et pour autant que cette transmission n'impacte pas négativement la vie privée de tiers.

5. Si le contact estime que ses données à caractère personnel ne peuvent plus être traitées (par ex., car ces données ne sont plus nécessaires à la finalité du traitement ou car elles sont traitées illégalement), il peut alors demander que ses données à caractère personnel soient définitivement supprimées. En lieu et place de la suppression, le contact peut demander que ses données à caractère personnel soient conservées, mais qu'elles ne soient plus traitées (sauf dans certains cas prescrits par la loi).

Le responsable du traitement n'est toutefois pas tenu de supprimer les données à caractère personnel si elles peuvent encore être traitées légalement ou doivent l'être conformément au RGPD.

6. Sauf si le traitement est nécessaire pour des motifs impérieux justifiés, le contact peut faire cesser le traitement de ses données à caractère personnel reposant sur les intérêts légitimes du responsable du traitement ou sur l'exécution d'une tâche d'intérêt général ou l'exercice d'une autorité publique, en introduisant une plainte en la matière. Dans l'attente de la réponse du responsable du traitement, le contact peut demander que les données à caractère personnel ne soient temporairement plus traitées (sauf dans certains cas fixés par la loi).

Le contact peut en tout cas faire cesser d'éventuels traitements réalisés à des fins de marketing direct, en introduisant une plainte.

7. Outre les cas visés aux paragraphes 3, 5 et 6 du présent article, le contact peut également demander que ses données à caractère personnel soient conservées, mais ne soient plus traitées (sauf dans plusieurs cas fixés par la loi) si le responsable du traitement n’en a plus l’utilité, mais que le contact doit encore en disposer dans le cadre d'une action en justice.

Les cas fixés par la loi et dans lesquels le traitement peut encore être exécuté, en dépit de la demande du contact de faire cesser temporairement le traitement, tels que visés aux paragraphes 3, 5, 6 et 7 du présent article, sont les suivants :

  • si le contact marque son consentement spécifique ;
  • afin de protéger les droits d'une autre personne morale ou physique, ou
  • pour des motifs importants d'intérêt général.

8. Aux fins de l'exercice de ses droits visés aux paragraphes 2 à 7 du présent article, le contact peut introduire une demande auprès de rgpd@santhea.be en fournissant une copie de sa carte d’identité.

Après avoir introduit sa demande, le contact recevra un accusé de réception et le responsable du traitement devra l'informer le plus rapidement possible, et dans un délai maximal d'un mois, au sujet de la conséquence de la demande. En cas de réponse favorable, un rendez-vous sera programmé dans les locaux de santhea. Dans le cas de demandes complexes ou multiples, ce délai peut être porté à trois mois à compter de l'introduction de la demande. Dans ce cas, le responsable du traitement en informera le contact.

Si la demande du contact est peu claire, si un doute subsiste quant à l'identité du demandeur, notamment lorsqu’aucune copie de la carte d’identité du contact n’est fournie, le responsable du traitement peut réclamer les informations complémentaires nécessaires. Si le demandeur refuse de fournir les informations nécessaires, le responsable du traitement peut rejeter la demande.

La procédure de demande est gratuite pour le contact. Néanmoins, si la demande du contact est manifestement infondée ou si le contact exerce ses droits de façon abusive, notamment si la même demande est formulée de manière trop répétitive, le responsable du traitement peut rejeter la demande ou réclamer une indemnisation raisonnable en fonction des frais administratifs afférents à ces demandes.

9. Si le contact estime que les dispositions de la présente politique de confidentialité ou du RGPD ne sont pas respectées ou a d'autres raisons de se plaindre au sujet de la protection de la vie privée, celui-ci peut directement s'adresser à l’Autorité de Protection des Données.


Article 13. Entrée en vigueur et amendements

La présente politique de confidentialité entre en vigueur le 1er janvier 2018. Santhea se réserve le droit de modifier à tout moment sa politique de confidentialité. Les modifications sont apportées par le Conseil d'Administration de santhea.