PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

Préambule

La Fédération des Hôpitaux Luxembourgeois (FHL) accorde une importance particulière à la protection des données à caractère personnel et au respect de la vie privée.

Dans le cadre de ses missions dans le secteur de la santé, la FHL est amenée à collecter et traiter différentes catégories de données personnelles, y compris des données sensibles, notamment des données de santé. Ces données nécessitent une protection renforcée afin de garantir le respect des droits et libertés des personnes concernées.

 

La présente politique a pour objectif :

  • d’expliquer les principes appliqués par la FHL en matière de protection des données ;
  • d’informer les personnes concernées sur l’utilisation de leurs données ;
  • de présenter les mesures organisationnelles mises en place afin d’assurer la conformité au Règlement Général sur la Protection des Données (RGPD).

Cette politique n’a pas pour but de constituer un frein aux activités quotidiennes réalisées par les salariés dans le cadre de l’exécution de leurs missions, mais de les aider à remplir ces missions dans le respect de la réglementation.

Données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Responsable du traitement : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. »

Traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. »

Limitation du traitement : le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur (mettre une date d’expiration).

Pseudonymisation : « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. Les données pseudonymisées demeurent sous le coup de la GDPR. »

Anonymisation : « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée (données définitivement non identifiables). Ce processus est irréversible. Des données anonymisées ne sont plus sous le coup de la GDPR, et peuvent donc être utilisées à d’autres finalités que celles définies lors de leur collecte. »

Sous-traitant : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

Responsable du traitement

Le responsable du traitement est :

FHL

5, rue des Mérovingiens

L-8070 Bertrange – Luxembourg

Téléphone : (+352) 42 41 42-1

Email : fhlux@fhlux.lu

Site web : https://fhlux.lu

Cadre juridique

Les traitements de données mis en œuvre par la FHL sont réalisés conformément :

  • au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) ;
  • à la loi luxembourgeoise du 1er août 2018 relative à la protection des données ;
  • aux recommandations de la Commission Nationale pour la Protection des Données (CNPD).

Champ d’application

La présente politique s’applique à toute personne traitant des données à caractère personnel de manière automatisée en tout ou en partie, ou non automatisée, dans le cadre de l’exercice de ses missions.

Les différents acteurs concernés par cette politique sont :

  • Les salariés (permanents, temporaires, stagiaires, apprentis, etc.),
  • Les fournisseurs et intervenants externes dès lors qu’ils utilisent les Systèmes d’information de l’organisme, s’y connectent, y hébergent ou y gèrent des ressources, des systèmes ou des données.

Principes applicables aux traitements de données

La FHL s’engage à respecter les principes fondamentaux du RGPD :

Les données personnelles doivent être :

  • collectées pour une finalité déterminée et ne doivent pas être traitées ultérieurement d'une manière incompatible avec sa finalité initiale. La finalité est la raison pour laquelle la FHL collecte les informations de la personne concernée. Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherches scientifiques, historiques ou à des fins statistiques n'est pas considéré comme incompatible avec la finalité initiale.
  • traitées de manière licite, loyale et transparente, en garantissant l’information à l’égard de la personne concernée au sujet des traitements auxquels sont soumis ses données personnelles et les raisons de la transmission éventuelle de ces données à des tiers.
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont traitées.
  • exactes et tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes soient effacées ou rectifiées sans tarder. A noter que la personne concernée a à tout moment le droit de demander l’accès aux données récoltées à son sujet par la FHL et il peut les faire corriger le cas échéant.
  • conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. La conservation des données peut être soumise à des obligations légales qui imposent la suppression ou la conservation des données dans des délais requis. Les données peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique, historiques ou statistiques. Il faut s’assurer de mettre en œuvre les mesures techniques et organisationnelles requises afin de garantir les droits et libertés de la personne concernée.
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle. Les mesures techniques et organisationnelles nécessaires pour garantir la confidentialité des données et éviter leur divulgation doivent être appliquées (intégrité, disponibilité et confidentialité des données).

La FHL veille au respect des principes relatifs à la protection de la vie privée et à la sécurité des données à caractère personnel par l’ensemble des tiers intervenant dans les traitements de données, qu’ils agissent en qualité de responsables du traitement, de responsables conjoints ou de sous-traitants. À cette fin, la FHL s’assure de leur engagement à respecter ces exigences, notamment par l’insertion ou la vérification de clauses contractuelles appropriées dans les contrats et conventions conclus avec ces partenaires.

Catégories de données

La FHL veille à ce que seules les données à caractère personnel strictement nécessaires à la réalisation des finalités du traitement soient collectées et traitées. Dans le cadre de ses activités, la FHL peut traiter différentes catégories de données :

  1. Données d’identification
  • nom
  • prénom
  • coordonnées
  • fonction professionnelle
  1. Données de connexion
  • adresse IP
  • données de navigation
  • cookies
  1. Données professionnelles
  • fonction
  • employeur
  • expérience professionnelle
  1. Données sensibles (dans certains traitements)
  • données de santé
  • données médicales
  • informations liées au suivi en médecine du travail.

 

Les traitements d’Ageris : finalités, bases légales et données concernées

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée :

  • directement (ex : nom et prénom)
  • indirectement (ex : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

Un traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

La finalité du traitement est l’objectif principal de l’utilisation de données personnelles. Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont la FHL peut utiliser ou réutiliser ces données dans le futur.

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à la FHL de collecter ou d’utiliser des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement. Les 6 bases légales prévues par le RGPD sont : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public, les intérêts légitimes.

Ainsi, les traitements, mis en œuvre par la FHL, collectent et traitent des données strictement nécessaires à la poursuite de finalités spécifiques, ayant une base juridique les légitimant :

Finalité du traitement

Catégories de données

Base juridique

Gestion de la comptabilité

Données d’identification : civilité, nom, prénom.
Données relatives à la situation professionnelle : coordonnées professionnelles.
Données d’ordre économique et financier : domiciliations bancaires.
Données de transactions financières : nature des opérations effectuées.

Obligations légales et réglementaires

Gestion des formations

Données d’identification : civilité, nom, prénom, coordonnées électroniques (courriel, email), téléphoniques et postales.
Données relatives à la situation professionnelle : profession / fonction, employeurs, coordonnées professionnelles, dates et lieux des formations souhaitées et/ou suivies, émargements, évaluations, compétences/diplômes/certifications acquises ou visées
Enregistrement audios et images des visioconférences FHL : vidéo, contenu, message, tableau de bord et rapports
– Données de connexions, logs
– Contenus des échanges avec la FHL

Exécution d’un contrat ou exécution des mesures précontractuelles

Gestion des relations prestataires et partenaires

Données d’identification : civilité, nom ou raison sociale, prénom, adresse (siège social, lieu de facturation), code d’identification comptable, téléphone, coordonnées électronique, numéro d’identification professionnelles

Données relatives à la situation professionnelle : profession, catégorie économique, activité, coordonnées professionnelles
Données d’ordre économique et financier :  éléments de commande, facturation et de règlement, service commandé

Exécution d’un contrat ou exécution des mesures précontractuelles

Gestion d’une base de données des contacts FHL

Données d’identification : civilité, nom, prénom, coordonnées électroniques (courriel, email), téléphoniques et/ou postales
Données relatives à la situation professionnelle : profession / fonction, coordonnées professionnelles
Contenus des échanges avec la FHL

Intérêt légitime

Gestion de l’organisation des événements par la FHL

Données d’identification : civilité, nom, prénom, coordonnées électroniques (courriel, email), téléphoniques et/ou postales
Données relatives à la situation professionnelle : profession / fonction, coordonnées professionnelles

Intérêt légitime

Gestion des enregistrements des visioconférences

Données d’identification : civilité, nom, prénom, coordonnées électroniques (courriel, email), téléphoniques.
Données relatives à la situation professionnelle : profession / fonction, organismes de rattachement, coordonnées professionnelles, dates et lieux des webinaires et visioconférences concernés.
Enregistrement audios et images des visioconférences : vidéo, contenu, message, tableau de bord et rapports.
Données de connexions, logs.

Consentement des personnes concernées

Gestion de la communication externe et du Site Web

Données d’identification : nom, prénom, coordonnées électroniques (courriel, email), téléphoniques et/ou postales.
Données relatives à la situation professionnelle : profession / fonction, coordonnées professionnelles
Données de connexions, navigations et logs.

Intérêt légitime

Gestion des relations avec les établissements hospitaliers et partenaires

Données professionnelles

Exécution de missions sectorielles

Gestion des candidatures au recrutement

Données d’identification : civilité, noms, prénoms, coordonnées électroniques (courriel/email), téléphoniques et/ou postales.
Données relatives à la situation professionnelle : professions / fonctions exercés et souhaités, expériences professionnelles, formations suivies et évaluation des aptitudes et des compétences, CV, lettre de motivation, recommandations professionnelle

Exécution d’un contrat ou exécution des mesures précontractuelles.


CVthèque : Consentement des personnes concernées et intérêt légitime

Contact avec le DPO

Identité, coordonnées, contenu de la demande

Obligation légale (RGPD)

Cookies

Lors de la consultation du site internet de la FHL, des cookies peuvent être installés sur votre terminal.

Ces cookies permettent notamment :

  • d’assurer le fonctionnement du site ;
  • d’améliorer l’expérience utilisateur ;
  • de réaliser des statistiques de fréquentation.

Certains cookies nécessitent le consentement préalable de l’utilisateur. La FHL soucieuse de la protection des données personnelles a pris la décision de ne déposer aucun cookie

Destinataires des données

Dans le cadre de ses missions, la FHL peut être amenée à communiquer certaines données aux :

  • établissements hospitaliers ;
  • autorités publiques (ex. ministère de la Santé, CNS) ;
  • autorités ou juridictions compétentes
  • les visioconférences : les participants, partenaires, membres habilités, ainsi que les prestataires fournisseurs des solutions utilisées
  • prestataires informatiques ;
  • partenaires institutionnels.

Ces destinataires sont soumis à des obligations de confidentialité et de sécurité.

Transferts de données hors de l’UE

En principe, les données personnelles sont traitées au sein de l’Union européenne.

Si un transfert vers un pays tiers est nécessaire, la FHL veille à ce que des garanties appropriées soient mises en place conformément au RGPD.

Sécurité des données

La FHL met en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer la confidentialité, l’intégrité et la disponibilité des données.

Ces mesures incluent notamment :

  • la gestion des accès aux systèmes ;
  • la sécurisation des systèmes informatiques ;
  • la sensibilisation du personnel ;
  • la gestion des incidents de sécurité.

Droits des personnes concernées

Conformément au RGPD, toute personne dispose des droits suivants :

  • droit d’accès ;
  • droit de rectification ;
  • droit d’effacement ;
  • droit à la limitation du traitement ;
  • droit à la portabilité des données ;
  • droit d’opposition ;
  • droit de retirer son consentement ;
  • droit d’introduire une réclamation auprès d’une autorité de contrôle

Contact du dpo

Pour toute question relative au traitement de vos données personnelles ou pour exercer vos droits, vous pouvez contacter le DPO :

Email :
dpo@fhlux.lu

Adresse :
Fédération des Hôpitaux Luxembourgeois
5, rue des Mérovingiens
L-8070 Bertrange – Luxembourg

Autorité de contrôle

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de :

Commission Nationale pour la Protection des Données (CNPD)
https://cnpd.public.lu

Entrée en vigueur

Le présent document entre en vigueur à dater du jour de la publication sur le site intranet de la FHL après approbation par la Direction.

Il restera en vigueur jusqu’à sa révocation ou modification par la Direction.

Mise a jour de la politique

Cette politique est établie conformément à la législation en vigueur et aux besoins actuels de sécurité. Elle sera révisée annuellement afin de vérifier sa pertinence.

Sanction en cas de NON-RESPECT

Tout manquement répété aux dispositions de la présente politique est susceptible d’entraîner la mise en œuvre de mesures appropriées par la Direction, conformément au droit du travail et la CCT FHL.