En avril 2021, de nombreuses questions sur le RGPD ont été soulevées dans la sphère politique européenne. Des amendements et des propositions de résolution ont été proposés pour une révision urgente et ciblée visant à rectifier les problèmes et les lacunes identifiés, notamment en matière de révolution numérique.
Sur cette base, un membre du Parlement européen, Axel Voss, propose que l’EDPB soit soutenu « par un conseil d’administration composé de parties prenantes issues de la recherche, de l’industrie, des consommateurs et d’autres organisations de la société civile ainsi que d’associations religieuses ».
En effet, 3 ans plus tard, nous pouvons constater que certaines choses pourraient être améliorées avec le RGPD.
Il semble que le RGPD ne soit pas assez précis en ce qui concerne le secteur, notamment en ce qui concerne les essais cliniques. Cette logique s’explique clairement par le fait que les praticiens du RGPD ne maîtrisent pas correctement le sujet pour prendre la bonne décision.
Exemples de mauvaise utilisation du RGPD en Belgique
Institution publique
Vous savez probablement déjà qu’en Belgique, vous pouvez recevoir une amende de l’institution publique régionale de l’environnement en cas de dépôt de déchets sauvages. En tout état de cause, cette amende ne doit mentionner que la personne directement liée à cette infraction.
Fin 2020, une institution publique régionale de l’environnement de Belgique a infligé une amende à un citoyen qui avait déposé illégalement des déchets portant son nom. L’une des principales erreurs commises par l’institution a été de mentionner le partenaire civil du citoyen, trouvé dans le registre national de la personne condamnée, en plus de son beau-père présumé.
En conséquence, ces 3 personnes ont déposé une plainte auprès de l’Autorité belge de protection des données (« DPA ») contre cette institution publique régionale de l’environnement.
COVID-19
Depuis fin juillet 2020, les gérants d’établissements de restauration ont l’obligation de collecter les coordonnées de leurs clients dans le cadre de la lutte contre la propagation du Covid-19. Cette obligation a ensuite été étendue à d’autres établissements ou événements, tels que les cours de sport collectifs, les casinos, etc. En effet, cette obligation a été imposée par les arrêtés ministériels du 30 juin 2020 et du 28 juillet 2020 (ci-après » les arrêtés « ).
Dans ce contexte, l’APD voit émerger diverses initiatives dans le cadre de la mise en œuvre de ces Arrêtés. S’ils ne fournissent pas d’indications précises, notamment quant aux rôles spécifiques des différents acteurs impliqués dans la collecte des données, ou quant aux moyens à mettre en œuvre pour réaliser cette collecte, ils laissent diverses questions ouvertes.
Sur cette base, la DPA souhaite clarifier pour les responsables d’établissements les éléments essentiels à prendre en compte lors de la mise en place de systèmes, manuels ou électroniques, pour la collecte des données visées dans ces arrêtés.
Exemples de réaction, décision de l’Autorité belge de protection des données
Institution publique
La Chambre du contentieux de l’APD belge a confirmé que la mention du nom du partenaire civil, de son lien avec le citoyen, ainsi que du lien familial présumé entre les 3 personnes, sur la base des informations extraites du Registre national, constitue un traitement illicite au regard de l’article 6(1) du RGPD.
En effet, le fondement juridique de ces activités de traitement est réputé être l’exécution d’une tâche d’intérêt public. Ce traitement supplémentaire n’était pas nécessaire à l’exécution de la mission dans un tel contexte.
En particulier, ils ont soutenu que la mention du lien de parenté entre le partenaire civil et le prétendu beau-père était incertaine, et fondée sur des hypothèses non nécessaires, ce qui signifie que les données à caractère personnel des 3 personnes n’ont pas été traitées conformément aux principes d’exactitude et de minimisation des données en réponse à l’article 5, paragraphe 1, points c) et d), du RGPD.
Par conséquent, la Chambre des Litiges a déclaré que l’institution viole ces dispositions du RGPD et a émis un avertissement et un blâme à l’institution conformément aux articles 58(2)(a) et 58(2)(b) du RGPD.
COVID-19
Au début de l’épidémie de COVID-19 en Belgique, la DPA a réalisé que de nombreuses organisations n’utilisaient pas correctement le RGPD pour collecter ou gérer les données relatives à la situation. Par conséquent, elle a publié une mise à jour contenant des lignes directrices sur la protection de la vie privée et une section FAQ spécialement conçue pour la Belgique. Elle rappelle certains principes et conditions pour le traitement des données (sensibles) spécifiquement dans un contexte d’emploi afin d’atténuer l’impact du COVID-19 (par exemple, la présence d’une base juridique appropriée).
Transfert de données de santé belges vers la Russie
Contexte
Fin mars 2021, Le Soir et Médor ont révélé une enquête dont la conclusion est flagrante : le chemin des données de santé belges n’est pas celui que l’on croit. Les données de santé des patients sont actuellement transférées en Russie sans respect des garanties essentielles telles que prévues par le RGPD.
Des données d’hospitalisation, dites » sensibles « , voire » très sensibles « , sont actuellement conservées dans les bureaux d’un sous-traitant de la société américaine 3M en Russie.
Quatre-vingt-trois hôpitaux belges utilisent un portail de benchmarking, c’est-à-dire un logiciel qui permet aux hôpitaux d’analyser la qualité des traitements, des soins et l’efficacité de la gestion hospitalière. En 2003, la société américaine 3M, par le biais de sa filiale belge, a développé ce programme dans le but d’améliorer la collecte de données et de comparer les performances des hôpitaux.
Explicitement, la dépendance des hôpitaux au logiciel développé par l’américain 3M, basé en Russie, comme aide à la gestion financière est très réelle…..
Comment les données des patients aboutissent-elles en Russie après une hospitalisation ?
Tout d’abord, l’hôpital encode les dossiers médicaux dans le portail 3M. Logiquement, un transfert de données des hôpitaux vers 3M Belgium a lieu, mais le transfert ne s’arrête pas là. Ensuite, après avoir récupéré les données, 3M Belgium les fait stocker en Allemagne et les met ensuite à disposition de Smart Analytics. Ce sous-traitant américain met ensuite à jour les bases de données depuis l’un de ses bureaux en Russie. La société 3M stocke donc physiquement les données en Europe, mais elle les rend accessibles depuis la Russie.
Quel est le risque de ce transfert international ?
La quasi-totalité des patients belges sont concernés par ces risques concernant leurs données de santé. Par conséquent, l’absence de protection adéquate de toutes les données collectées et traitées, notamment les données médicales, pourrait causer un préjudice grave aux personnes concernées.
Le principal risque est d’assister un jour à une fuite de données considérée comme légale pour la Russie, mais pas pour l’Union européenne (« UE »). Par exemple, des données personnelles pourraient être utilisées par les services de renseignement russes ou vendues à des courtiers en données. Il s’agirait donc d’une utilisation illégale des données pour l’UE’, explique Jean-Marc Van Gyseghem, avocat spécialisé dans la protection des données personnelles, qui a pu analyser les contrats entre les hôpitaux et 3M.
Compte tenu de ce qui précède, le RGPD précise clairement que toutes les entreprises de l’UE doivent appliquer le règlement avec la même rigueur. Malgré cette indication explicite du RGPD , il semble que le principal problème reste le fait que les données de l’hôpital sont traitées depuis la Russie.
Comment 3M se justifie-t-il ?
Smart Analytics, qui a des bureaux en Russie, s’est engagé contractuellement à fournir le même niveau de protection que 3M Belgium offre aux hôpitaux belges. Les données limitées, accessibles à distance par Smart Analytics depuis la Russie, semblent être protégées par des mesures de sécurité étendues et des clauses contractuelles types (CCS) conformes au RGPD.
Que faut-il faire ?
Dans ce contexte, le rôle d’information et de conseil du DPO, ainsi que le contrôle de la conformité au RGPD, sont essentiels. Il est important de faire preuve de transparence quant au traitement des données, notamment lorsqu’il s’agit de données sensibles. De plus, il doit s’assurer que les contrats respectent les garanties essentielles telles que prévues par le RGPD.
