Déclaration de confidentialité

Le CHU de Liège accorde beaucoup d’importance à la protection des données à caractère personnel.

Nous avons adapté notre politique de confidentialité au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »). 

Le CHU de Liège, en sa qualité de responsable de traitement,  vous informe que le traitement de vos données respecte les nouvelles exigences de la règlementation européenne.

1 - Préambule

Dans le cadre de ses activités de soins de santé, d’enseignement et de recherche, le Centre Hospitalier Universitaire de Liège est amené à traiter les données à caractère personnel de patients et accorde une importance particulière à la protection de ces données.

Par traitement, on entend toutes les opérations appliquées aux données permettant d’identifier directement ou indirectement une personne physique, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par patient, on entend toute personne physique à qui des soins de santé sont dispensés, à sa demande ou non.

La présente déclaration a pour objet de fournir les informations requises par la réglementation applicable et, notamment, par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du    27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,  ci-après dénommé « Règlement général sur la protection des données ».

2 - Responsable de traitement

Le responsable du traitement des données à caractère personnel est le Centre Hospitalier Universitaire de Liège, Domaine universitaire du Sart Tilman, B35 à 4000 LIEGE, ci-après dénommé « le CHU de Liège ».

3 - Délégué à la protection des données

Le CHU de Liège a désigné un délégué à la protection des données, lequel peut être contacté pour toute question relative à la protection des données à caractère personnel, à l’adresse suivante : dpo@chuliege.be.

4 - Quels sont les types de données traitées et comment sont-elles collectées ?

Les données à caractère personnel traitées par le CHU de Liège sont :

  • les données d’identification et caractéristiques personnelles, dont les nom et prénom, la date de naissance, le lieu de naissance, le sexe, l’âge, le numéro de registre national, etc. ;
  • les données financières et administratives ayant trait à l’admission et à la facturation, dont les données concernant les affiliations auprès de mutualités ou de compagnies d’assurance ;
  • les données relatives à l’état de santé ;
  • les images (photos, vidéos) ;
  • les autres données nécessaires à la poursuite des finalités déterminées ou imposées par la loi (données relatives aux habitudes de vie, à la situation familiale et professionnelle, aux personnes de contact ou de confiance ou mandataires, à l’opinion philosophique ou religieuse, au comportement sexuel, à l’origine raciale ou ethnique, etc.).

 

Ces données peuvent être collectées soit directement auprès des patients, de leur représentant, de leur médecin prescripteur ou de leur médecin généraliste.

5 - Sur quels fondements juridiques vos données sont-elles traitées ?

Selon les cas, le CHU de Liège ne traite que les données personnelles nécessaires :

  • à la sauvegarde des intérêts vitaux de la personne concernée (par exemple, le traitement des données relatives aux patients admis aux Urgences) ;
  • à l'exécution d'un contrat (par exemple, le traitement des données relatives à la facturation de prestations sollicitées et/ou exécutées) ;
  • à l’exécution d’une mission d’intérêt public dont est investi le CHU de Liège (par exemple, les traitements portant sur la gestion médico-économique ou dans le domaine de la santé publique) ;
  • au respect d’une obligation légale (par exemple, le traitement des données relevant des groupes à risques ou des donneurs d’organes) ;
  • aux fins des intérêts légitimes poursuivis par le CHU de Liège (par exemple, l’enregistrement et la gestion des risques et des événements indésirables, les traitements relatifs à la gestion technique, logistique, sécurité des biens, contrôle des accès, etc.).

Si le traitement des données à caractère personnel ne peut se baser sur l’un de ces fondements, le traitement ne pourra être effectué que moyennant votre consentement écrit.

Vos données personnelles ne pourront être traitées pour des objectifs autres que ceux énumérés ci-dessus.

6 - Dans quel but les données sont-elles utilisées ?

Les données à caractère personnel sont utilisées en vue de permettre au CHU de Liège de remplir ses missions, à savoir la dispensation de soins aux patients, l'enseignement clinique, la recherche scientifique appliquée, le développement de nouvelles technologies et l'évaluation des activités médicales.

Le CHU de Liège accorde une attention particulière à ce que les données à caractère personnel soient traitées de manière adéquate, limitée à la finalité du traitement de ces données et conformément à la législation applicable.

Les finalités pour lesquelles le CHU de Liège traite les données à caractère personnel sont les suivantes :

 

Activités de soins
  • gestion informatisée du dossier patient, destinée à permettre le diagnostic, la prise en charge thérapeutique et la communication des informations relatives à la dispensation des soins médicaux, infirmiers et paramédicaux aux patients dans des conditions de sécurité optimales ;
  • prise en charge des patients admis aux Urgences ;
  • gestion de la prescription et des résultats des examens médico-techniques ;
  • prescription de produits de santé et les demandes d’actes ;
  • enregistrement des groupes à risque, avec pour objectif l’identification et le suivi des personnes représentant un risque médical ;
  • enregistrement des donneurs, avec pour objectif la création de fichiers comprenant des personnes qui souhaitent être donneurs, la promotion à cette fin et l’exploitation de ces fichiers.

 

Activités de support
  • gestion administrative des patients en vue de la facturation, laquelle implique la communication d’informations aux tiers autorisés (mutuelles, assurances, etc.) ;
  • gestion des contacts relatifs à la famille, aux mandataires, personnes de contact et personnes de confiance désignés par le patient afin d’améliorer sa prise en charge thérapeutique et administrative ;
  • gestion des contacts et annuaires relatifs aux médecins traitants, prescripteurs, dispensateurs et signataires afin d’assurer le suivi thérapeutique ;
  • gestion technique du système d’information supportant les infrastructures et les applications institutionnelles qui traitent les données à caractère personnel ;
  • gestion logistique permettant la prise en charge des patients, à savoir le brancardage, l’accueil, les rendez-vous, le gardiennage, la diététique ;
  • enregistrement et gestion des événements indésirables relatifs à la sécurité du patient ;
  • gestion des demandes introduites par le patient relative à l’exercice de ses droits en vertu du Règlement général sur la protection des données et de la loi du 22 août 2002 relative aux droits du patient ;
  • gestion des plaintes et du contentieux ;
  • sécurité des personnes et des biens exercée notamment par des caméras de vidéosurveillance et le contrôle des accès.

 

Activités de gestion médico-économique
  • enregistrement de données médicales et de séjour des patients en vue de la gestion interne au CHU de Liège ou pour des objectifs imposés par les pouvoirs publics ;
  • évaluation de la qualité des soins, la gestion des ressources et le contrôle des activités hospitalières.

 

Activités de recherche et d’enseignement
  • enseignement clinique et formation des médecins et autres professionnels des soins de santé ;
  • recherche scientifique appliquée (études rétrospectives, prospectives et essais cliniques) ;
  • développement de nouvelles technologies.

 

Communication de données
  • communication des demandes d’analyse et d’examens médicaux et des résultats de ceux-ci aux professionnels des soins de santé ;
  • communication d’informations nécessaires à la sortie des patients, aux organismes des secteurs d’aide sociale et familiale, médico-social, psychopédagogique ;
  • échange électronique de documents de santé (résultats d’examens, rapports médicaux, courriers, etc.) informatisés entre prestataires de soins intervenant pour un même patient et les patients qui le souhaitent.

7 - Quelles sont les personnes ayant accès à vos données ?

Les personnes désignées ci-dessous sont amenées à traiter, dans les limites nécessaires à leurs missions et aux finalités spécifiques du traitement, les données à caractère personnel relatives aux patients :
─ les médecins et dentistes attachés au CHU de Liège ;
─ les membres du personnel attachés aux différents services infirmiers et paramédicaux du CHU de Liège ;
─ les membres du personnel soignant, technique et administratif attachés aux unités de soins, aux laboratoires et à l’administration centrale ;
─ les étudiants amenés à réaliser un stage et, éventuellement, leurs superviseurs ;
─ le personnel informatique amené à gérer le système d’information.

Toutes les personnes désignées ci-dessus s’engagent, en ce qui concerne le traitement des données relatives aux patients, à respecter les dispositions légales et réglementaires en la matière (Règlement général sur la protection des données, secret professionnel, code de déontologie pour les professions médicale et infirmière, déclaration relative au traitement des données personnelles par le CHU de Liège et charte informatique).

8 - Avec qui partageons-nous vos données ?

Les données à caractère personnel peuvent être partagées avec les différents services internes du CHU de Liège ou avec des tiers. Dans tous les cas, le CHU de Liège a mis en place toutes les mesures de sécurité nécessaires pour que le partage de ces données respecte les obligations de sécurité imposées par la législation.

 

  • Transfert interne au CHU de Liège : lorsque cela s’avère nécessaire, le CHU de Liège transmet certaines données à caractère personnel à d’autres services du CHU de Liège (par exemple, au service de médiation, service d’informations médico-économiques, etc.).

 

  • Transfert externe au CHU de Liège : un transfert des données à caractère personnel à des organismes externes au CHU de Liège peut avoir lieu dans le cadre de la prise en charge thérapeutique du patient (partage de données avec d’autres hôpitaux, des médecins ne prestant pas au CHU de Liège, etc.) ou dans le cadre d’une obligation légale de transmission à laquelle est soumis le CHU de Liège (par exemple, en vertu d’une loi, d’un règlement ou d’une procédure judiciaire).

 

La liste des tiers peut être communiquée, sur demande écrite, adressée au délégué à la protection des données.

9 - Comment protégeons-nous vos données en cas de transfert hors UE-EEE ?

En cas de transfert de vos données en dehors de l’Espace économique européen (comprenant l’Union européenne, le Liechtenstein, l’Islande et la Norvège), le CHU de Liège s’assure de mettre en place toutes les mesures nécessaires pour que le partage de ces données respecte les obligations imposées par la législation relative à la protection des données personnelles.

10 - Quelle est notre politique en matière de "cookies" ?

Le site web du CHU de Liège utilise des "cookies" visant à collecter des informations relatives à l'utilisation du site. Les informations collectées ne sont pas des informations identifiant l'utilisateur personnellement. Il s'agit exclusivement d'informations techniques basiques relatives à l'ordinateur utilisé et à sa connexion avec le réseau Internet.

Le présent site utilise les cookies suivants :

  • JSESSIONID : permet l’identification la session de l’utilisateur. Il est supprimé à la fin de la session.
  • memberid : permet de ré-identifier l’utilisateur s'il s'est déjà identifié. Persistant.
  • Jcms.prefs : permet de conserver des préférences des utilisateurs identifiés (onglet ouvert, par exemple). Persistant.
  • orejime : permet de conserver le choix de l'utilisateur concernant l'utilisation des cookies. (12 mois)
  • popInfo : permet de ne pas afficher à nouveau l'éventuel popup d'information sur la page d'accueil. (1 mois)

Les cookies suivants sont optionnels. Ils sont dès lors soumis au consentement de l’utilisateur. Lors de la connexion initiale, l’utilisateur est invité à indiquer son choix quant à ces cookies d'analyse. Ce nom de cookie est associé à la plateforme d'analyse Web open source Matomo. Il est utilisé pour aider les propriétaires de sites Web à suivre le comportement des visiteurs et à mesurer les performances du site. Il s'agit d'un cookie de type modèle, où le préfixe _pk_xxx est suivi d'une courte série de chiffres et de lettres, ce qui est considéré comme un code de référence pour le domaine définissant le cookie.

  • _pk_ref : Utilisé par Matomo pour les statistiques. (6 mois)
  • _pk_cvar : Utilisé par Matomo pour les statistiques. (30 minutes)
  • _pk_id : Utilisé par Matomo pour les statistiques. (13 mois)
  • _pk_ses : Utilisé par Matomo pour les statistiques. (30 minutes)

11 - Quelles sont les mesures de sécurité prises à l'égard de vos données ?

Conseiller en sécurité de l’information

Le conseiller en sécurité de l’information veille à la sécurité des données du système d’information qui sont traitées ou échangées au sein du CHU de Liège. Il fournit des avis qualifiés et exécute les missions qui lui sont confiées par le responsable de traitement. Il dispose des compétences et des informations nécessaires pour exécuter sa mission de conseil au moment opportun.

Pour toute demande liée à la sécurité de l’information, vous pouvez vous adresser au conseiller en sécurité de l’information par courrier postal à l’adresse suivante :

 

 

Politique sécurité de l’information

Le responsable de traitement établit les objectifs de la politique de sécurité de l’information du CHU de Liège pour faire face aux enjeux de sécurité. Il s’assure que celle-ci est adaptée à la stratégie du CHU de Liège et la révise régulièrement, le cas échéant.

 

Les objectifs de sécurité de l’information poursuivis par le CHU de Liège visent à :

  • protéger le système d’information au cœur du fonctionnement du CHU de Liège contre les menaces internes et externes avec les moyens de sécurité nécessaires, en tenant compte des activités de soins de santé et des impératifs économiques ;
  • maîtriser les risques de sécurité dans les différents secteurs d’activités du CHU de Liège et assurer la continuité des services médicaux et des activités sensibles ;
  • conscientiser à la sécurité de l’information l’ensemble des acteurs concernés et maintenir la confiance du personnel, du réseau des professionnels de la santé dans lequel s’inscrit le CHU de Liège et les patients ;
  • améliorer en continu la politique de gestion des données du CHU de Liège pour assurer la protection de la vie privée et la protection des données à caractère personnel par toutes les personnes impliquées dans ces traitements.

 

Mesures de sécurité de l’information

Le responsable de traitement et ses sous-traitants, le cas échéant, mettent en œuvre et maintiennent les mesures techniques et organisationnelles adéquates en vue de sécuriser les données à caractère personnel contre tout accès, communication, modification, perte ou destruction accidentelle, interdits ou illicites.

Le CHU de Liège prend, notamment, les mesures de sécurités suivantes :

  • protéger les zones sécurisées pour s’assurer que seul le personnel autorisé est admis à y accéder (contrôles physiques d’accès) ;
  • limiter l’accès à l’information et aux moyens de traitement de l’information (contrôle d’accès logique) ;
  • garantir l’utilisation du chiffrement des communications électroniques en vue de protéger la confidentialité (chiffrement) ;
  • supprimer le caractère identifiant des données personnelles quand le traitement le permet (anonymisation) ;
  • garantir que l’information et les moyens de traitement de l’information sont protégés contre les logiciels malveillants (protection contre les codes malveillants) ;
  • se protéger de la perte des données (sauvegarde et restauration) ;
  • enregistrer les journaux d’évènements (journalisation) ;
  • garantir la protection de l’information sur les réseaux de communication (sécurisation des réseaux) ;
  • maintenir la sécurité de l’information transférée vers une entité extérieure (transfert de l’information) ;
  • détecter et traiter les évènements susceptibles d’affecter la vie privée (gestion des incidents).

12 - Pendant combien de temps vos données sont-elles conservées ?

Sans préjudice d’éventuelles dispositions légales ou réglementaires, notamment en matière d’archivage, les délais de conservation suivants sont applicables, à dater de la sortie ou du dernier traitement du patient :

 

  • 7 ans pour les données de facturation provenant des fichiers des patients et qui ont valeur de pièce comptable ;
  • minimum 30 ans pour les données médicales à caractère personnel relatives aux patients, lesquelles ne pourront être effacées qu’en accord avec le Médecin-chef ;
  • 5 ans pour toutes les autres données contenues dans les fichiers des patients.

13 - Quels sont vos droits et comment les exercer ?

Disposition générale

En vertu de la législation relative à la protection des données à caractère personnel, vous disposez de différents droits relatifs à vos données, lesquels sont exposés ci-dessous.

Le CHU de Liège vous fournira, dans les meilleurs délais, les informations quant aux mesures prises suite à votre demande, et en tout état de cause endéans le mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.

Lorsque votre demande est adressée sous une forme électronique, les informations vous seront transmises par voie électronique dans la mesure du possible, à moins que vous ne souhaitiez qu'il en soit autrement.

Lorsque vos demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le CHU de Liège peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées. Il peut également refuser de donner suite à vos demandes, mais il sera alors tenu de démontrer le caractère manifestement infondé ou excessif de la demande.

 

Vos droits

Droit d’accès

Vous disposez du droit d’accès à vos données traitées par le CHU de Liège. Ainsi, à l’exception de la copie du dossier médical, vous avez le droit d’obtenir, sans frais, une première copie de vos données à caractère personnel faisant l’objet d’un traitement. Le CHU de Liège peut, toutefois, exiger le paiement de frais raisonnables pour toute copie supplémentaire que vous réclameriez.

Vous disposez également du droit d’obtenir des informations à propos des finalités en vertu desquelles le CHU de Liège traite vos données. La présente déclaration a pour objet de vous fournir ces informations.

 

Droit de rectification

Vous avez, à tout moment, le droit d’exiger la rectification de vos données à caractère personnel qui seraient inexactes. Compte tenu des finalités du traitement, vous avez le droit d'obtenir que les données à caractère personnel incomplètes soient complétées.

 

Droit à l’effacement

Dans certains cas, vous avez le droit de solliciter l'effacement de vos données à caractère personnel.

Néanmoins, le CHU de Liège ne pourra pas effacer vos données lorsqu’il existe une obligation légale de les conserver.

 

Droit à la limitation du traitement

Dans certains cas prévus par la loi, vous avez le droit de demander la limitation du traitement de vos données. Le droit à la limitation du traitement consiste à demander au CHU de Liège de ne plus traiter vos données, sans toutefois les effacer.

Ce droit peut, par exemple, être exercé lorsque vous contestez l’exactitude de vos données à caractère personnel. La limitation aura lieu pendant la durée permettant au CHU de Liège de vérifier l'exactitude de vos données.

Lorsque le traitement de vos données a été limité, celles-ci ne peuvent, à l'exception de la conservation, être traitées qu'avec votre consentement, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union européenne ou d'un État membre.

Si vous avez obtenu la limitation du traitement de vos données, vous serez informé par le CHU de Liège préalablement à la levée de la limitation du traitement.

 

Droit à la portabilité des données

Vous avez le droit de recevoir vos données à caractère personnel, dans un format structuré, couramment utilisé et lisible par machine, ainsi que le droit de transmettre ces données à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur un contrat et qu’il est effectué à l'aide de procédés automatisés.

 

Droit d’opposition

Vous avez le droit de vous opposer, à tout moment, pour des raisons tenant à votre situation particulière, au traitement de vos données à caractère personnel.

Lorsque vous exercez ce droit, le CHU de Liège ne traitera plus vos données à caractère personnel, à moins qu'il ne démontre l’existence de motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts, vos droits et libertés, ou pour la constatation, l'exercice ou la défense de droits en justice.

Lorsque vos données à caractère personnel sont traitées à des fins de recherche scientifique, historique ou statistiques, vous avez le droit de vous opposer, pour des raisons tenant à votre situation particulière, au traitement de vos données à caractère personnel, à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public.

 

Droit de retirer votre consentement

Lorsque vos données sont traitées sur la base de votre consentement, vous avez le droit de le retirer, à tout moment, auprès du service concerné, sans remettre en cause le traitement passé.

 

Droit d’introduire une plainte auprès de l’autorité de contrôle

Vous avez le droit d’introduire une plainte auprès de l’autorité de contrôle belge, dont les données de contact sont disponibles sur le site web suivant : www.autoriteprotectiondonnees.be.

 

Exercice de vos droits pour les données médicales

Conformément à la loi du 22 août 2002 relative aux droits du patient, le dossier médical est accessible aux patients, à leur demande (à l’exception des annotations personnelles du médecin).

 

La consultation du dossier médical peut se faire en contactant la Direction médicale :

 

Vous pouvez également accéder à vos données médicales via :

La consultation du dossier médical par un tiers exige que le patient ait désigné, par écrit, ce tiers comme personne de confiance.

Il est possible d’obtenir une copie de votre dossier médical moyennant paiement, conformément à l’arrêté royal du 2 février 2017 fixant le montant maximum par page copiée.

Vous pouvez obtenir la liste des personnes ayant consulté votre dossier médical en contactant le contrôleur des accès aux Données de Communication Electronique en Réseau (DCER) par téléphone au 04/323 54 16  ou par courrier postal à l’adresse suivante :

 

 

Exercice de vos droits pour les données personnelles

Pour toute question relative au traitement de vos données à caractère personnel et à l’exercice de vos droits, vous pouvez formuler votre demande auprès du délégué à la protection des données par courrier postal à l’adresse suivante :