La Commission de protection de la vie privée émet, sous réserves, un avis favorable sur la communication des données hospitalières au Ministère

Etant donné ce qui précède (cf. le fichier en attachement en bas de page), la Commission estime que le projet d'arrêté royal, dans sa forme adaptée, offre déjà beaucoup plus de garanties à l'égard de la protection des données à caractère personnel des personnes concernées.

Il n'en reste pas moins que le responsable du traitement doit toujours veiller à ce que le traitement de ces données à caractère personnel (pour la plupart, des données sensibles) soit toujours effectué avec les précautions et la vigilance nécessaires.

Il convient en particulier de ne pas perdre de vue les points suivants :

- tout traitement de données à caractère personnel implique que les finalités doivent être "déterminées" et exposées "explicitement" par voie légale (voir point 18);
- malgré un codage de données d'identification, certaines données collectées ou une combinaison de celles-ci permettent quand même parfois une réidentification de la personne concernée (voir point 28);
- le rôle d'organisation intermédiaire doit être assuré par une instance totalement indépendante du ou des responsable(s) du traitement ultérieur (voir points 47 et suivants).

PAR CES MOTIFS,

La Commission, sous réserve des remarques formulées, émet un avis favorable quant au projet d'arrêté royal déterminant les règles suivant lesquelles certaines données hospitalières doivent être communiquées au Ministre qui a la Santé publique dans ses attributions.

L' administrateur,
(signé) Jo BARET.
Le vice-président,
(signé) Willem DEBEUCKELAERE.

Point 18

(...) La Commission rappelle le principe selon lequel, lorsqu'un traitement de données à caractère personnel est prévu par un texte légal, les finalités de ce traitement devraient être déterminées de manière explicite dans ce texte légal (...)

Point 28

La Commission attire l'attention sur le fait que certaines des données collectées peuvent facilement être utilisées en vue de la ré-identification des personnes concernées, bien que les données d'identification de ces personnes aient été codées. Les dates d'admission et de sortie, par exemple, sont souvent suffisantes pour retrouver l'identité de la personne concernée. La Commission estime que, lors des mises à disposition ultérieures des données, que ce soit en interne ou à des tiers, il faudra veiller à réduire le plus possible ce risque de ré-identification, par exemple en agrégeant les données, en supprimant certaines données, ou en prenant toute autre mesure de protection adéquate, afin d'éviter une intrusion dans la vie privée des patients
et des personnes physiques, dispensateurs de soins, dont les données sont mises à disposition.

Points 47 et suivants

La Commission estime toutefois que, dans le cadre de l'enregistrement de données développé dans le présent projet, le service Datamanagement précité peut difficilement faire office de "barrière" entre la collecte des données à caractère personnel et le traitement effectif également par des tiers) de celles-ci, en l'absence d'une séparation effective et efficace de fonctions et d'une indépendance à l'égard des services de soutien de la politique.
(...)
L'intervention d'une organisation intermédiaire est nécessaire étant donné que plusieurs responsables de traitements de données à caractère personnel communiquent des données au(x) même(s) tiers en vue de leur traitement ultérieur.
(...)
Idéalement, l'organisation intermédiaire est tout à fait indépendante, juridiquement et dans les faits, des destinataires de ces informations qui les traiteront à des fins historiques, statistiques ou scientifiques. La Commission conçoit que l'élaboration d'une telle organisation intermédiaire complètement indépendante peut être très difficile et coûteuse dans certains cas.
Pour disposer d'une indépendance suffisante, la Commission estime que, dans le cas présent, l'organisation intermédiaire doit au minimum être gérée par un organe au sein duquel sont représentés les fournisseurs des informations et surtout les types de personnes que les informations concernent.
Tel qu'il ressort également de ce qui précède, seules des tâches "de nature technique" (codage, anonymisation et couplage de données; mise à disposition de données sur la base d'une autorisation d'un comité sectoriel ou sur la base d'un avis ou d'une recommandation de la Commission de la protection de la vie privée) peuvent être attribuées à une organisation intermédiaire.