Logo of the Belgian government
 

Modalités d'utilisation des données à caractère personnel relatives à la santé par le KCE dans le cadre de ses études

Dans le cadre de l’exemption conditionnelle d’informer au préalable la personne concernée sur base de l’article 9, §2 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, le Comité sectoriel de la sécurité sociale et de la santé (ci-après CSSSS) a demandé au Centre fédéral d'expertise des soins de santé (KCE) d’informer le public au sens large via une publication sur son site web. C’est l’objet du présent document. 

Pour pouvoir mener ses études à bien, le KCE doit avoir accès à certaines données personnelles relatives à la santé des citoyens belges. Les finalités des traitements effectués par le KCE sur les données personnelles relatives à la santé sont clairement réglementées par les articles 262 et suivants de la Loi Programme (1) du 24 décembre 2002.

En règle générale, le KCE ne reçoit pas ces données directement du citoyen, mais essentiellement via :
• le Service Public Fédéral (SPF) Santé publique https://portal.health.fgov.be/
• l'Institut National d'Assurance Maladie-Invalidité (INAMI) http://www.inami.fgov.be/homefr.htm et
• la Cellule Technique (TCT) https://tct.fgov.be/etct/)

D'autres données sont obtenues auprès des sources suivantes:
• l'Agence Intermutualiste (AIM) http://www.cin-aim.be/
• les mutualités
• la Fondation Registre du Cancer http://www.registreducancer.be/
• et parfois des établissements de soins eux-mêmes.

Depuis le mois de mai 2008, le KCE dispose par ailleurs également d'un accès (régi par la loi) à l'échantillon permanent. Cet échantillon représentatif de la population belge est constitué des données administratives disponibles au sein des mutualités dans le cadre de l’assurance soins de santé obligatoire. Afin d’exclure toute identification directe du patient, son numéro d'identification à la sécurité sociale (NISS) a été doublement crypté dans l’échantillon. (voir http://www.riziv.fgov.be/information/fr/sampling/index.htm)

Depuis 1992, il existe en Belgique une loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, mieux connue sous le nom de 'Loi Vie privée'. Cette loi et son arrêté d'exécution de 2001 définissent précisément de quelle manière et dans quelles circonstances les données personnelles peuvent être traitées ou transmises. Dans le cadre de sa mission légale, le KCE a directement accès aux données de santé des séjours hospitaliers de la TCT (Art. 35 de la Loi portant dispositions diverses en matière de santé (1) du 13 décembre 2006). Dans la plupart des cas cependant, par exemple pour ce qui concerne la transmission des données de l'IMA ou de la Fondation Registre du Cancer, ou encore lors du couplage de données provenant de plusieurs sources, le KCE doit toutefois d'abord demander et obtenir une autorisation de transfert de données auprès de la Commission de la Protection de la Vie privée (http://www.privacycommission.be), et plus précisément auprès du Comité sectoriel de la Sécurité Sociale et de la Santé (CSSSS) (http://www.ksz.fgov.be/fr/bcss/page/content/websites/belgium/security/security_03.html) ou auprès de la Commission Technique pour l'Échantillon permanent lorsqu'il s'agit de données provenant de cet échantillon.

Le CSSSS prend toutes les mesures nécessaires pour protéger la vie privée des citoyens. Les décisions du CSSSS sont publiques et peuvent être consultées sur: http://www.privacycommission.be/fr/decisions/social_security/ ou sur : http://www.ksz.fgov.be/fr/bcss/page/content/websites/belgium/security/security_06.html .

Dans sa demande, le KCE doit décrire clairement les données qu'il souhaite utiliser, la finalité du traitement envisagé, ainsi que les mesures qui seront prises lors du couplage pour garantir la confidentialité des données sources. Ce n'est qu'après autorisation du Comité Sectoriel que les données sont transmises au KCE, où elles sont stockées sur un serveur hautement sécurisé. Ces données sont en outre cryptées en permanence. Les champs 'date de naissance', 'nom/prénom', 'rue' et 'numéro de rue' sont effacés et remplacés par un code d'identification unique et non distinctif. Seuls les champs 'année de naissance' et 'code postal' sont conservés. Cette méthode rend impossible toute identification individuelle. Par ailleurs, seuls les informaticiens-analystes du KCE ou de sous-traitants agréés sont habilités à traiter ces données, et en tout état de cause sous le contrôle d'un médecin-surveillant. À l'issue de l'étude, les données sont détruites (par défaut, après un délai de 2 ans).

Tout traitement de données personnelles par le KCE fait l'objet d'une déclaration auprès de la Commission Vie privée. Le registre public de cette déclaration est accessible à : https://www.privacycommission.be/elg/searchPR.htm .

publié le 08-07-2011