La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel prévoit les conditions auxquelles ces traitements doivent être soumis.

Tous les médecins qui tiennent des dossiers médicaux entrent dans le champ d'application de cette loi, qu'ils procèdent au moyen de fichiers manuels ou au moyen de traitements automatisés.

La loi prévoit également que "chaque maître du fichier est tenu de déclarer les traitements automatisés des données à caractère personnel dont il est responsable".

Il appartient à chaque médecin de déclarer auprès de la Commission de la protection de la vie privée, les traitements automatisés déjà en cours et dorénavant également avant la mise en oeuvre d'un traitement automatisé.

La Commission de la protection de la vie privée a élaboré un formulaire destiné à la déclaration d'un traitement automatisé des données à caractère personnel. Ce formulaire est disponible sur papier ou sous forme électronique et comporte toujours deux parties :

• la partie 1 concerne l'identification du maître du fichier qui fait la déclaration;
• la partie 2 porte sur la description du traitement automatisé qui fait l'objet de la déclaration.

La Commission a cependant prévu la possibilité de créer des déclarations "standard". Il s'agit de déclarations dont la partie 2 est déjà complétée. Elles sont destinées à rencontrer les traitements auxquels sont couramment confrontés un certain nombre de maîtres de fichiers (médicaux).

Dans le but de faciliter les déclarations pour une partie du corps médical soumise à cette obligation, le Conseil national de l'Ordre des médecins a préparé quatre déclarations "standard" susceptibles de rencontrer les buts du traitement et les catégories de données traitées pour :

• le médecin travaillant comme indépendant dans son cabinet médical;
• la société professionnelle unipersonnelle d'un médecin;
• la société professionnelle de plusieurs médecins;
• le médecin travaillant au sein d'une association de médecins sans personnalité juridique.

Les médecins dont la situation correspond à une ou plusieurs des finalités des déclarations "standard" décrites ci-après peuvent s'y référer en introduisant leur déclaration "standard" auprès de la Commission de la protection de la vie privée de préférence au moyen d'une disquette fournie par cette dernière qu'il importe de compléter au niveau de la partie 1 : le maître du fichier en se référant au numéro d'identification du maître du fichier attribué par la Commission et au niveau de la partie S en indiquant le numéro de référence de la déclaration standard.

Il va de soi que lorsque des fichiers informatisés sont tenus dans des modalités et/ou pour des finalités différentes, des déclarations individuelles restent obligatoires.
De même les présentes déclarations "standard" ne concernent que des médecins qui traitent des données à caractère personnel, à titre individuel, par opposition à ceux qui, par exemple, au sein d'une institution de soins, participent à l'élaboration d'un dossier dont l'institution est le maître du fichier.

Le médecin déclarant, qu'il se réfère à une ou plusieurs déclarations "standard", reste toujours responsable de l'exactitude de ses déclarations.

Les déclarations de fichiers médicaux informatisés doivent être faites avant la fin du mois de mai 1997.

Le Conseil national a également préparé le texte d'une affichette à apposer au niveau de la salle d'attente ou du cabinet et destinée à informer de ses droits le public dont des données personnelles seront traitées.

La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel - principales obligations des médecin-maîtres de fichiers de données médicales à caractère personnel. (1)

I. Obligations s'adressant aux maîtres de fichiers manuels et aux maîtres de fichiers automatisés

1. Obligation d'information à propos de l'enregistrement

La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (Loi sur les Traitements de Données à Caractère Personnel - LTDCP) a instauré une obligation d'information tant en ce qui concerne les traitements automatisés que les fichiers manuels (articles 4 et 9).

Différentes situations peuvent se présenter :

a. des données à caractère personnel sont recueillies directement auprès de la personne qu'elles concernent (art.4 LTDCP).
Dans ce cas, la personne concernée doit être informée :

- de l'identité et de l'adresse du maître du fichier, de son représentant éventuel en Belgique et, le cas échéant, du gestionnaire du traitement;
- le cas échéant, de la base légale ou réglementaire de la collecte des données;
- de la finalité pour laquelle les données recueillies seront utilisées;
- de la possibilité d'obtenir des renseignements complémentaires auprès du registre public des traitements automatisés que doit créer la Commission de la protection de la vie privée (CPVP) (s'il s'agit d'un traitement automatisé);
- de son droit d'accéder aux données ainsi que de son droit de demander la rectification de celles-ci.

Cette information doit être donnée lors de toute collecte de données à caractère personnel auprès de la personne concernée elle-même.

La loi ne définit pas :

- quand la personne concernée doit être mise au courant. L'article 4 donnant la possibilité à la personne concernée d'apprécier en connaissance de cause si elle doit ou si elle veut communiquer toutes les données demandées ou seulement une partie de celles-ci ou aucune, il est admis que la personne concernée doit être informée avant que les données soient effectivement demandées;
- comment l'information doit être donnée. L'information peut être communiquée par écrit ou verbalement. Pour éviter des problèmes de preuve, il est recommandé de donner une information écrite. Celle-ci peut prendre la forme d'un avis affiché dans le cabinet ou la salle d'attente, d'une brochure remise à l'intéressé, ...

Exemple d'un avis qui pourrait être affiché :
"LA LOI DU 8 DECEMBRE 1992 RELATIVE A LA PROTECTION DE LA VIE PRIVEE S'APPLIQUE AU TRAITEMENT DES DONNEES PERSONNELLES RECUEILLIES AUPRES DE VOUS PAR VOTRE MEDECIN EN VUE ...
(remplir le but du traitement).
CES DONNEES SERONT TRAITEES ET CONSERVEES SOUS LE CONTROLE ET LA RESPONSABILITE DE VOTRE MEDECIN.
CES DONNEES POURRONT VOUS ETRE COMMUNIQUEES PAR UN MEDECIN QUE VOUS AUREZ CHOISI, ET ELLES POURRONT ETRE RECTIFIEES LE CAS ECHEANT.
(uniquement pour les traitements automatisés :
L'EXISTENCE DE CE FICHIER EST MENTIONNEE DANS LE REGISTRE PUBLIC DES FICHIERS DE DONNEES PERSONNELLES INFORMATISES TENU AUPRES DE LA COMMISSION DE LA PROTECTION DE LA VIE PRIVEE.)"

b. les données sont collectées auprès d'une personne autre que celle qu'elles concernent (art.9 LTDCP).
Dans ce cas, la personne concernée ne doit pas être informée lors de la collecte de données, mais immédiatement, au moment du premier enregistrement des données.
L'information à donner est la même que celle qui doit être fournie lorsque les données à caractère personnel sont collectées directement auprès de la personne concernée (cf. ci-dessus).
L'obligation d'information au moment du premier enregistrement ne vaut pas lorsque la personne concernée a déjà été mise au courant de la collecte des données (cf. ci-dessus - art.4 LTDCP) ou lorsque le traitement se situe dans une relation, contractuelle ou réglée par la loi, entre la personne concernée et le maître du fichier. Dans ces cas, la personne concernée est censée être au courant du traitement.

2. Respect du droit d'information à propos des données et du droit de faire rectifier, supprimer ou interdire d'utiliser des données

(articles 10, 12 et 16, §10, 3°, LTDCP)

a. Les données médicales à caractère personnel doivent être communiquées à la personne qu'elles concernent lorsque celle-ci le demande. Cette communication ne se fait pas directement mais par l'intermédiaire d'un médecin choisi par la personne concernée. Ce "médecin choisi" peut être: le maître du fichier, le médecin sous la surveillance et la responsabilité duquel les données sont traitées ou un autre médecin que la personne intéressée choisit à cet effet.
La fonction du médecin choisi est de traduire les informations dans un langage intelligible pour l'intéressé.
Suivant la Commission de la protection de la vie privée, toutes les données médicales concernant l'intéressé doivent être communiquées au médecin qu'il a choisi. A titre de principe général, le médecin choisi doit aussi communiquer toutes les données à l'intéressé.
Dans des cas exceptionnels, ce médecin a le droit d'opérer une sélection des données si cette mesure s'avère strictement nécessaire pour sauvegarder la protection de la personne concernée ou des droits et libertés d'autrui.
Enfin, la Commission souligne que, si la personne concernée en formule la demande expresse, le médecin ne peut refuser de lui communiquer les informations par écrit.

b. Conformément à l'article 12 de la LTDCP, l'intéressé a le droit de faire rectifier gratuitement toutes les données personnelles inexactes qui le concernent.
Il a également le droit d'obtenir sans frais la suppression ou l'interdiction d'utilisation de toute donnée à caractère personnel le concernant qui, compte tenu du but du traitement, est incomplète ou non pertinente ou dont l'enregistrement, la communication ou la conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée.
Le médecin doit aussi faire toute diligence pour tenir les données à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues en méconnaissance de la LTDCP (art.16, § 1er, 3°, LTDCP).

3. Le médecin responsable(2) du traitement de données médicales à caractère personnel doit désigner nominativement les personnes qui interviennent (3) dans le traitement de ces données ou qui y accèdent. Un registre régulièrement tenu à jour mentionne pour chaque personne autorisée le contenu et l'étendue de l'autorisation (art.7 LTDCP).

II. Obligations supplémentaires pour les maîtres de fichiers automatisés

1. Déclaration du traitement automatisé à la Commission de la protection de la vie privée

a. L'article 17 de la LTDCP impose à toute personne physique ou morale, maître d'un fichier, de faire une déclaration auprès de la Commission de la protection de la vie privée avant la mise en oeuvre d'un traitement automatisé de données à caractère personnel.

En ce qui concerne les traitements automatisés de données à caractère personnel existant au 1er mars 1995 (date de l'entrée en vigueur de l'article 17 LTDCP), il avait été prévu initialement que la déclaration devait se faire au plus tard le 30 novembre 1995. Ce délai a été prolongé par la suite. En ce qui concerne les médecins, le Conseil national a fait savoir à la Commission que ceux-ci devraient pouvoir faire les déclarations nécessaires au plus tard à la fin du mois d'avril 1997.
La CPVP a élaboré un formulaire destiné à la déclaration d'un traitement automatisé de données à caractère personnel. Ce formulaire est disponible sur papier ou sous forme électronique (disquette, bande magnétique).
Chaque formulaire comporte deux parties: la partie I concerne l'identification du maître du fichier qui fait la déclaration et la partie II porte sur la description du traitement automatisé qui fait l'objet de la déclaration.

Pour diverses raisons, la Commission a estimé qu'il était indiqué de prévoir aussi un système de "déclarations standard". Telle que conçue par la CPVP, la déclaration standard est une déclaration complète, mais déjà partiellement préremplie (à savoir la partie II) et qui est destinée à des types de traitements courants auxquels un grand nombre de maîtres de fichiers se voient confrontés.

b. Une déclaration séparée est requise par but de traitement automatisé.
La CPVP a établi un lexique des buts des traitements. Ce lexique doit servir de ligne directrice. Si le lexique ne reprend pas la descritption adéquate du but d'un traitement déterminé, le maître du fichier peut indiquer lui-même la description de ce but n'apparaissant pas dans le lexique.
La Commission envoie le lexique des buts des traitements en même temps que le formulaire de déclaration.

c. Le Conseil national a élaboré des déclarations standard pour 4 types de buts. Ces buts sont :

• "Soins des patients", c'est-à-dire le diagnostic et le traitement paramédical des patients;

• "Administration des patients", c'est-à-dire le suivi du séjour et du traitement des patients en vue de la facturation;

• "Enregistrement de groupes à risque", c'est-à-dire l'identification et le suivi de personnes présentant un risque médical;

• "Autre but: constitution d'un fichier-patients sur la base de diagnostics".
  Dans ces déclarations standard, les données relatives à la description du traitement à déclarer(partie II de la déclaration) sont déjà remplies et le médecin qui recourt à la déclaration standard ne doit plus remplir que la première partie de la déclaration (données d'identification concernant le maître du fichier).

Remarques :

- les déclarations standard élaborées par le Conseil national s'adressent uniquement aux 4 catégories suivantes de médecins :

1. les médecins travaillant en indépendants dans leur cabinet médical;
2. les sociétés professionnelles unipersonnelles d'un médecin;
3. les médecins travaillant dans une association de médecins sans personnalité juridique;
4. les sociétés professionnelles de plusieurs médecins;

- le fait de se référer à une déclaration standard n'exonère aucunement le maître du fichier de sa responsabilité concernant le caractère exact et complet de sa déclaration. Le maître d'un fichier qui recourt à une déclaration standard doit par conséquent confirmer de manière expresse que la description de la déclaration standard à laquelle il se réfère, coïncide avec les caractéristiques du traitement dont il fait la déclaration;

- lorsque le but d'un traitement est totalement ou partiellement autre que celui mentionné dans une déclaration standard, il y a lieu de faire une autre déclaration, éventuellement complémentaire.

d. Toutes les modifications apportées à un traitement automatisé et qui requièrent une adaptation des renseignements communiqués au moyen d'une déclaration à la CPVP, doivent également faire l'objet d'une déclaration préalable à la Commission.
La suppression d'un traitement automatisé doit être préalablement notifiée à la CPVP (art.17, §7, LTDCP).

e. Le formulaire de demande imprimé ci-dessous peut être utilisé pour obtenir un document-papier ou une disquette en vue de la déclaration (tant individuelle que standard) d'un traitement automatisé de données à caractère personnel. Ce formulaire doit être envoyé à la Commission de la protection de la vie privée (adresse: cf. ci-dessous sur le formulaire de demande). La CPVP procure alors au médecin les disquettes ou les documents-papier demandés, avec les explications et instructions nécessaires pour remplir la(les() déclaration(s).

f. Au moment de la déclaration, le maître du fichier est tenu de verser une contribution au comptable de la CPVP (art.17, §9, LTDCP).
Le paiement s'effectue au moyen du bulletin de virement que la Commission fait parvenir au maître du fichier en même temps que le formulaire ou la disquette devant servir à la déclaration. La preuve du paiement doit toujours être jointe à la déclaration.
La cotisation est fixée comme suit :

• 10.000 francs par traitement pour la déclaration d'un traitement sous forme libre, c'est-à-dire lorsque la déclaration n'est pas présentée sur le formulaire ou le support magnétique fournis par la CPVP;
• 5.000 francs par traitement lorsque la déclaration est présentée sur le formulaire de déclaration de la CPVP;
• 2500 francs par traitement si, à la date de la déclaration, le traitement concerne au plus 100 personnes;
• 1000 francs par traitement si la déclaration est présentée sur le support magnétique fourni par la CPVP;
• 500 francs par traitement si, à la date de la déclaration, le traitement concerne au plus 100 personnes;
• 800 francs pour la déclaration, par le même maître du fichier et au même moment, d'une ou plusieurs modifications aux mentions de sa déclaration initiale;
• la notification à la CPVP de la suppression d'un traitement automatisé est gratuite.

2. La CPVP doit envoyer au maître du fichier un accusé de réception dans les trois jours ouvrables qui suivent la réception de la déclaration d'un traitement automatisé.
Cet accusé de réception porte le numéro d'identification du traitement déclaré. Le traitement peut être retrouvé sous ce numéro dans le registre public des traitements automatisés qui doit être tenu par la CPVP.
Le numéro d'identification du traitement devra figurer sur toute pièce qui matérialisera l'usage de ce traitement (art.18 LTDCP)

3. Pour chaque traitement automatisé, il y a lieu d'établir un état où sont consignés :

• la nature des données traitées;
• le but du traitement;
• les interconnexions et les consultations;
• les personnes ou les catégories de personnes à qui les données à caractère personnel sont transmises (art.16, § 1er, 1°, LTDCP).

La loi ne précise pas de quelle manière cet état doit être établi, ni ce qu'il y a lieu d'en faire par la suite. Il s'agit d'un document d'ordre strictement interne que le maître du fichier ne doit pas communiquer. Mais le document doit certainement être rédigé, car la non-respect de cette obligation peut conduire à une amende.

4. Il convient de vérifier la conformité des programmes de traitement automatisé de données à caractère personnel avec les termes de la déclaration du traitement à la CPVP, ainsi que la régularité de leur application (art.16, § 1er, 2°, LTDCP).

Intégrer ici le fac simile du formulaire (voir disquette X press 3.30)