2019
L’Autorité de protection des données prononce une réprimande contre le SPF Santé Publique
Ce mardi 9 juillet 2019, l’Autorité a décidé de formuler une réprimande à l’encontre du SPF Santé Publique. Cette sanction vise une affaire dans laquelle le SPF Santé Publique n’a pas répondu à la demande d’exercice de droit d’accès d’un citoyen, et ce malgré y avoir été sommé par l’Autorité. Le respect des droits des citoyens en matière de protection des données personnelles est selon l’Autorité une pierre angulaire du RGPD, et les responsables du traitement des données se doivent de tout mettre en place pour l’assurer.
L’affaire : non-respect du droit d’accès
L’affaire porte sur un professionnel de la santé qui s’était vu refuser la nomination au poste de membre suppléant du PGC Limburg (Commission médicale provinciale du Limbourg), dans une décision qui corrige sa nomination antérieure. Le plaignant décide alors de faire valoir son droit d’accéder à ses données personnelles en vue de connaître le motif de son retrait de ce poste. Sans réponse de la part du Service Public Fédéral (SPF) Santé Publique, il dépose fin de l’année 2018 une première plainte auprès de l’Autorité.
La Chambre Contentieuse de l’Autorité ordonne en octobre 2018 au SPF Santé Publique de répondre à la demande du plaignant, mais le SPF ne donne aucune suite à la demande. Le plaignant porte alors plainte une seconde fois en 2019. Lors d’une audience, le SPF Santé Publique a reconnu les faits, et a souligné des problèmes de procédures internes.
Après avoir entendu les deux parties, la Chambre Contentieuse de l’Autorité a conclu qu’il y avait eu négligence dans le chef du SPF Santé Publique et a décidé de formuler une réprimande à son encontre, ainsi que de publier la décision de la Chambre Contentieuse en y incluant le nom des parties (avec autorisation formelle du plaignant). La Chambre Contentieuse estime également qu’il est important que le SPF Santé Publique mette en place à court terme des procédures internes permettant de gérer efficacement ses obligations en vertu du RGPD (Règlement général sur la protection des données).
Hielke Hijmans, Président de la Chambre Contentieuse explique : « La procédure a mis en exergue le fait que le SPF Santé Publique n’a pas mis en place les procédures internes lui permettant de satisfaire aux exigences du RGPD, alors que le règlement est entré en vigueur en mai 2016 et est applicable depuis mai 2018. Ce faisant, le SPF Santé Publique n’a pas non plus respecté le principe de responsabilité du responsable du traitement tel que prévu par le RGPD.»
Droits des citoyens et mise en place de procédures internes
Les citoyens jouissent en vertu du RGPD d’une série de droits leur permettant de protéger leurs données, comme par exemple le droit d’accéder à leurs données, le droit de rectifier leurs données ou encore le droit d’effacement ou d’opposition.
Les citoyens peuvent faire valoir leurs droits à tout moment auprès du responsable du traitement de leurs données à caractère personnel. Ce responsable se doit de réagir à la demande de la personne concernée dans un délai d’un mois.
Afin que les citoyens puissent exercer leurs droits en matière de protection des données efficacement, il est donc nécessaire que les organisations traitant les données personnelles prévoient des mesures internes qui leur permettent de répondre aux demandes dans le délai prévu par la loi, comme par exemple la mise en place d’une personne de contact claire pour les citoyens et une procédure de réponse.
« Il est très important pour nous de rappeler aux organisations qu’elles se doivent de mettre tout en œuvre pour respecter le RGPD, » rappelle Hielke Hijmans, Président de la Chambre Contentieuse de l’Autorité.
David Stevens, Président de l’Autorité de protection des données conclut : « Nous sommes très heureux de voir que de plus en plus de citoyens se tournent vers nous pour faire respecter leurs droits. »