Dans le cadre des missions qui lui sont confiées par la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient, le Service national d’information et de médiation dans le domaine de la santé est amené à traiter des données à caractère personnel particulièrement sensibles.
Nous attachons la plus haute importance à la protection des données à caractère personnel tout au long du processus de traitement des dossiers que nous traitons.
Vous trouverez ci-après des informations détaillées concernant la protection de vos données.
Si vous souhaitez avoir plus de précisions sur l'utilisation de vos données dans le cadre de la présence internet du service, veuillez consulter les conditions générales d'utilisation du site.
Responsable du traitement des données à caractère personnel
Le Service national d’information et de médiation dans le domaine de la santé est le responsable du traitement.
Il s'agit d'un service étatique indépendant dans l'exercice de ses missions régi par la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient. Le service est placé sous la tutelle du ministre ayant la santé dans ses attributions.
Service national d’information et de médiation dans le domaine de la santé
73, rue Adolphe Fischer
L-1520 Luxembourg
Tél.: (+352) 247 75515
Email: info@mediateursante.lu
Législation applicable
Le Service est soumis à la législation en matière de traitement des données à caractère personnel, en particulier:
- Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données);
Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État.
Finalité et base juridique
Dans le cadre des missions qui lui sont confiées par la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient, le service est amené à traiter les données à caractère personnel nécessaires à l’ouverture, au traitement et au suivi d'un dossier d’information ou d’un dossier de médiation dont il est saisi par un patient, par un prestataire de soins de santé, ou encore par un représentant du patient.
Il traite par ailleurs les données lui adressées dans le cadre de la fonction de point de contact en matière de soins transfrontaliers (directive 2011/24/UE).
Description du traitement de données
Dans le cadre de sa mission, le service obtient communication des éléments pertinents en rapport avec le traitement du dossier dont il est saisi, notamment des éléments médicaux, soignants ou administratifs du dossier du patient concerné (données de contact, données médicales, …), des données concernant les prestataires ayant participé à la prestation de soins de santé (identité, statut professionnel) ou encore de données concernant des proches du patient (personne de confiance, entourage familial, …).
Population visée (data subject)
Toute personne concernée par une demande de médiation ou une demande d’information en tant que patient, proche d’un patient (personne de confiance, entourage familial) ou en tant que prestataire de soins de santé ayant participé aux soins de santé.
Nature des données
Données d’identification des personnes (p.ex. : nom, prénom, matricule, adresse, etc.), données médicales et soignantes, caractéristiques personnelles, formations et professions.
Dans le cadre du processus de médiation, le service peut être amené à prendre connaissance de tout autre type de données à caractère personnel.
Sources des données
Le service recueille principalement des données auprès des patients et prestataires de soins de santé concernés.
La loi du 24 juillet 2014 relative aux droits et obligations du patient permet au service, avec l’accord du patient ou de la personne qui le représente, d’obtenir communication de tous les éléments pertinents en rapport avec le traitement du dossier dont il a été saisi, notamment les éléments médicaux, soignants ou administratifs du dossier patient. Il peut prendre tous renseignements utiles auprès des organismes de sécurité sociale ou d’autres administrations.
Transfert des données vers des tiers
En fonction des finalités et des traitements, le service peut envoyer à d’autres acteurs dans le domaine de la santé et de la sécurité sociale certaines données.
Avec l’accord des personnes ayant saisi le service, le service transfère des données à caractère personnel à des tiers (p.ex. : Prestataires impliqués dans la prise en charge ; gestion des plaintes du prestataire ; Caisse Nationale de Santé).
Ces transferts ont lieu soit pour recueillir des renseignements utiles au traitement du dossier dont il a été saisi, soit parce que le dossier est transmis à un tiers compétent pour le traiter.
Le service utilise un établissement public comme sous-traitant en matière informatique.
Durée de conservation
La durée de conservation des données est de deux ans à partir de la clôture du dossier. En cas de signature d’un accord de médiation par les parties à une médiation, il est proposé au médiés de conserver une copie de leur accord pendant 10 ans.
Vos droits en matière de protection des données
Le règlement général sur la protection des données vous confère un certain nombre de droits.
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Comment exercer vos droits
Pour toute question concernant les traitements de données à caractère personnel effectués par le service, et pour toute demande relative à l’exercice de vos droits, vous pouvez nous contacter ou vous adresser au délégué à la protection des données :
Délégué à la protection des données
Direction de la Santé
Villa Louvigny
Allée Marconi
L-2120 Luxembourg
E-mail : dpo@mediateursante.lu
Dans un souci de confidentialité et de la protection des données, votre identité doit au besoin pouvoir être vérifiée avant de répondre à votre demande. A cette fin, une copie de votre pièce d’identité pourra vous être demandée. Les informations qui figurent sur votre pièce d’identité ne seront pas stockées plus longtemps que nécessaire pour vérifier votre identité.
Le Règlement général sur la protection des données vous confère aussi le droit d'introduire une réclamation auprès de l'autorité national de contrôle:
Commission Nationale pour la Protection des Données (CNPD)
1, avenue du Rock’n’Roll
L-4361 Esch-sur-Alzette
Sécurité de vos données
Dans le cadre de nos missions, les collaborateurs du service ont accès à vos données. Ils sont soumis au secret professionnel et au respect de la législation en matière de protection des données.
Le Service s’engage à protéger et à sécuriser vos données à caractère personnel afin d’assurer leur confidentialité et d'empêcher leur destruction, leur perte, leur modification ou leur divulgation à travers des mesures de protection physiques, techniques, organisationnelles et procédurales mises à jour de manière régulière.
Notification des violations de données à caractère personnel
En cas de violation des données à caractère personnel, le Service notifie ce fait à la Commission Nationale pour la Protection des Données (CNPD) au plus tard 72 heures après en avoir pris connaissance.
Au cas où cette violation concerne vos données à caractère personnel et si l’incident est susceptible d’engendrer un risque élevé pour vos droits et libertés, le service vous informera dans les meilleurs délais.