Les données de santé sont parmi les plus sensibles au regard du RGPD. Les professionnels et établissements de santé sont soumis à des obligations renforcées. Nous vous accompagnons pour les respecter — et nous défendons les patients dont les droits ne sont pas respectés.
Le RGPD classe les données de santé comme une catégorie particulière de données personnelles (article 9). Leur traitement est en principe interdit, sauf exceptions strictement encadrées. Pour les professionnels et établissements de santé, cela signifie des obligations plus strictes que dans presque tous les autres secteurs.
Et les conséquences d'un manquement sont à la mesure de la sensibilité des données : sanctions de la CNPD, perte de confiance des patients, atteinte à la réputation, voire procédures disciplinaires devant le Collège médical si le manquement touche au secret professionnel.
Notre conviction : la conformité RGPD en santé ne peut pas être traitée par un avocat généraliste. Elle exige une compréhension fine des réalités médicales, du cadre déontologique et de la loi du 24 juillet 2014 relative aux droits et obligations du patient. C'est précisément la rencontre de notre expertise RGPD existante et de notre pôle droit médical.
Vous êtes médecin, dentiste, pharmacien, kinésithérapeute, psychologue, laboratoire, clinique ou maison de soins. Vous traitez quotidiennement des données de santé : dossiers patients, résultats d'analyses, prescriptions, imagerie médicale, données de facturation liées à des actes médicaux. Nous vous aidons à le faire en conformité avec le RGPD et le droit luxembourgeois, sans paralyser votre activité.
Une analyse complète de vos traitements de données de santé. Nous identifions les écarts par rapport aux exigences du RGPD, évaluons les risques concrets et priorisons les actions à mener. Vous repartez avec un diagnostic clair et un plan d'action réaliste.
Concrètement — Registre des traitements, bases légales, durées de conservation, mesures de sécurité, flux de données, sous-traitants, AIPD si nécessaire.
Nous ne nous arrêtons pas au diagnostic. Nous rédigeons et mettons en place les documents et procédures dont vous avez besoin : mentions d'information patients, clauses de sous-traitance, registres, procédures de gestion des demandes patients, procédures de notification des violations.
Concrètement — Documents prêts à l'emploi, adaptés à votre structure et applicables par vos équipes au quotidien.
La loi du 24 juillet 2014 confère aux patients un large droit d'accès à leur dossier médical. Le RGPD y ajoute le droit à la portabilité et le droit à l'effacement — avec des limites spécifiques en matière médicale. Nous vous aidons à traiter ces demandes correctement, dans le délai légal de 15 jours ouvrables.
Concrètement — Procédures de réponse, modèles de courriers, gestion des cas complexes (annotations personnelles, données de tiers, exception thérapeutique).
Une cyberattaque, un dossier envoyé au mauvais destinataire, un accès non autorisé : une violation de données de santé fait partie des incidents les plus graves au regard du RGPD. Notification à la CNPD sous 72 heures, communication aux patients concernés, mesures correctrices. Nous vous préparons et vous assistons en temps réel si l'incident survient.
Concrètement — Procédure de gestion, assistance d'urgence, rédaction des notifications, coordination avec la CNPD.
Vos secrétaires médicales, assistantes, infirmiers et techniciens manipulent quotidiennement des données de santé. L'erreur humaine est la cause la plus fréquente des violations de données. Nous formons vos équipes aux bons réflexes : ce qu'on partage, avec qui, comment, et que faire en cas de doute.
Concrètement — Sessions de formation adaptées à votre structure, cas pratiques tirés du secteur santé, supports de référence.
Certains établissements de santé sont tenus de désigner un Délégué à la protection des données (DPO). Nous pouvons assurer cette fonction en externe, ou accompagner votre DPO interne sur les questions spécifiques aux données de santé.
Concrètement — Mission de DPO externe ou support ponctuel à votre DPO sur les enjeux santé.
La réglementation évolue. Votre activité aussi. Pour les structures qui ont besoin d'un suivi régulier, notre abonnement Lawyer as a Service intègre la veille RGPD dans un accompagnement juridique global.
La loi du 24 juillet 2014 et le RGPD vous accordent des droits concrets sur vos données de santé. Si ces droits ne sont pas respectés, nous pouvons intervenir.
Vous avez le droit de consulter l'intégralité de votre dossier patient et d'en obtenir une copie (la première copie est gratuite). Le professionnel dispose de 15 jours ouvrables pour répondre. En cas de refus injustifié, nous intervenons.
Vos données de santé sont protégées par le secret professionnel. Si un professionnel, un établissement ou un tiers a divulgué vos informations médicales sans votre consentement et hors des exceptions légales, vous pouvez agir. Nous évaluons votre situation et vous accompagnons dans les recours envisageables.
Vos données de santé ont été utilisées à des fins non autorisées, partagées sans base légale ou conservées au-delà des durées permises. Vous pouvez saisir la CNPD et, si un préjudice en a résulté, demander réparation. Nous vous guidons.
La loi du 24 juillet 2014 vous permet de désigner une personne de confiance et d'exprimer vos volontés concernant votre prise en charge médicale. Nous vous aidons à formaliser ces choix dans les formes requises.
Le RGPD impose la désignation d'un DPO pour les structures qui traitent des données de santé à grande échelle. Un hôpital ou un grand laboratoire est clairement concerné. Pour un cabinet médical individuel ou de petite taille, l'obligation n'est pas automatique, mais la CNPD recommande fortement d'avoir un point de contact en matière de protection des données. Nous évaluons votre situation et vous conseillons sur la meilleure approche.
Pas nécessairement. La loi du 24 juillet 2014 et l'article 17 du RGPD prévoient que les données du dossier médical pertinentes ne peuvent être supprimées sur simple demande. Vous avez des obligations de conservation liées à la continuité des soins et à votre propre protection juridique. Nous vous aidons à formuler une réponse conforme qui respecte à la fois les droits du patient et vos obligations.
Trois priorités immédiates : contenir l'incident (isoler les systèmes affectés), évaluer l'étendue de la violation, et préparer la notification à la CNPD dans le délai de 72 heures. Si la violation est susceptible d'engendrer un risque élevé pour vos patients, vous devez aussi les informer. Appelez-nous immédiatement : nous gérons l'urgence avec vous, de la notification jusqu'aux mesures correctrices.
C'est une question essentielle que trop peu de professionnels de santé se posent. Votre éditeur de logiciel est votre sous-traitant au sens du RGPD. Vous devez avoir un contrat conforme à l'article 28, savoir où sont hébergées les données de vos patients et quelles mesures de sécurité sont en place. Nous auditons cette relation et vous aidons à la sécuriser.
Le coût dépend de la taille de votre structure, du nombre de traitements et de votre niveau de conformité actuel. Nous travaillons sur la base de forfaits, annoncés après un premier diagnostic. Pour les structures qui souhaitent un accompagnement durable, l'abonnement Lawyer as a Service intègre la dimension RGPD dans une assistance juridique globale.
Commencez par formaliser votre demande par écrit. Le professionnel dispose de 15 jours ouvrables pour répondre. En cas de refus persistant et non justifié, vous pouvez saisir le Service du médiateur de la santé ou déposer une réclamation auprès de la CNPD. Nous pouvons vous accompagner dans ces démarches.
Vous avez accès à l'intégralité de votre dossier patient : résultats d'examens, comptes rendus, prescriptions, correspondance médicale. Seules les annotations personnelles du praticien (notes de réflexion privées) et les données fournies par des tiers peuvent être tenues à l'écart, sous certaines conditions, à condition qu'elles ne concernent pas vos soins ou leur continuité.
Non. Votre employeur n'a jamais accès à vos données médicales détaillées. La médecine du travail lui transmet uniquement un avis d'aptitude, sans diagnostic ni détail médical. Si vous suspectez un accès non autorisé à vos données de santé, nous pouvons agir.
Professionnel de santé qui souhaite sécuriser son exercice ou patient dont les droits ne sont pas respectés — prenez contact avec notre pôle droit médical. Nous vous répondons sous 24 heures.