Règlement grand-ducal du 2 octobre 1992 réglementant l'utilisation des données nominatives médicales dans les traitements informatiques.
Nous JEAN, par la grâce de Dieu, Grand-Duc de Luxembourg, Duc de Nassau;
Vu l'article 28-1 de la loi du 31 mars 1979 réglementant l'utilisation des données nominatives dans les traitements informatiques, telle qu'elle a été modifiée;
Vu l'avis du Collège médical;
Vu les avis de la commission consultative prévue à l'article 30 de la loi du 31 mars 1979 précitée;
Notre Conseil d'Etat entendu;
Sur rapport de Notre Ministre de la Famille, de Notre ministre du Travail, de Notre ministre ayant le répertoire national des banques de données nominatives dans ses attributions, de Notre ministre de la Santé et de Notre secrétaire d'Etat à la Sécurité sociale, et après délibération du Gouvernement en conseil;
Arrêtons:
Art. 1er.
Le présent règlement grand-ducal s'applique à toute banque de données nominatives médicales automatisée détenue par des instances médicales, des organismes de sécurité sociale ainsi qu'aux administrations et services publics qui gèrent des données médicales en exécution de leurs attributions.
Art. 2.
La création et l'exploitation de banques de données nominatives comportant des données médicales sont soumises aux dispositions des articles 4 à 11 de la loi du 31 mars 1979 réglementant l'utilisation des données nominatives dans les traitements informatiques, telle qu'elle a été modifiée.
Art. 3.
L'interconnexion d'une banque de données nominatives comportant des données médicales avec toute autre banque de données nominatives est soumise à autorisation préalable.
Art. 4.
Outre les informations énumérées à l'article 5 (3) de la loi du 31 mars 1979 précitée, la demande d'autorisation pour la création et l'exploitation d'une banque de données nominatives comportant des données médicales doit contenir:
| a) | l'indication de la durée de conservation des données enregistrées; |
| b) | l'indication des mesures de sécurité et de protection mises en place pour garantir le caractère confidentiel des données enregistrées. |
Art. 5.
(1)
L'autorisation pour la création et l'exploitation d'une banque de données nominatives comportant des données médicales indique notamment les fins en vue desquelles l'autorisation est accordée et fixe les obligations que doivent respecter le propriétaire, le gestionnaire et l'utilisateur de la banque de données quant:| a) | au contenu, à l'utilité, à l'exactitude et à la durée de conservation des données à enregistrer; |
| b) | à la durée de la validité de l'autorisation; |
| c) | à la limitation de la communication des données enregistrées à un tiers; |
| d) | aux mesures de sécurité et de protection à mettre en place, en vue de prévenir l'accès illicite et le détournement des données enregistrées. |
(2)
En cas d'inobservation de ces obligations, l'autorisation accordée peut à tout moment être retirée.Art. 6.
Lorsque le propriétaire d'une banque de données nominatives comportant des données médicales se propose d'utiliser les données enregistrées à des fins autres que celles pour lesquelles elles ont été collectées, il doit solliciter au préalable une autorisation de modification.
Art. 7.
L'autorisation pour la création et l'exploitation d'une banque de données nominatives comportant des données médicales peut prévoir l'obligation pour le propriétaire de la banque de données de désigner une personne spécialement chargée de la mise en place des mesures techniques et d'organisation adéquates pour garantir la sécurité et le caractère confidentiel des données nominatives enregistrées.
Art. 8.
L'autorisation pour la création et l'exploitation d'une banque de données nominatives comportant des données médicales peut prévoir la condition que l'accès à la banque de données doit être contrôlé par un système d'identification et d'authentification individuelles des utilisateurs.
Art. 9.
Lorsqu'une banque de données nominatives comportant des données médicales comprend plusieurs fichiers médicaux ou sous-systèmes de données médicales, de tels systèmes nécessitent des autorisations distinctes complémentaires accordées en fonction des particularités de ces systèmes.
Art. 10.
(1)
La personne, dont les données médicales sont collectées par une instance médicale au cours d'une consultation ou dans l'exercice de la médecine curative ou préventive, doit être informée au préalable, par des moyens appropriés et de la manière la plus compréhensible possible, des raisons pour lesquelles ses données médicales sont collectées, des finalités pour lesquelles elles seront utilisées, ainsi que du fait que les données ne seront pas utilisées à d'autres fins que celles pour lesquelles elles ont été collectées, sans préjudice des dispositions de l'article 18 (1) de la loi du 31 mars 1979 précitée.
(2)
Lorsque, pour des raisons médicales urgentes, il s'avère nécessaire de collecter et de traiter des données médicales en l'absence de l'information préalable de la personne concernée, il doit être pourvu à cette information dès que l'état de santé de la personne le permet.Art. 11.
Le propriétaire d'une banque de données nominatives comportant des données médicales doit s'assurer:
| a) | que les données soient collectées par des moyens licites et loyaux; |
| b) | que seules soient collectées des données adéquates et pertinentes par rapport aux finalités déclarées; |
| c) | que la concordance entre les données collectées et les données enregistrées soit vérifiée; |
| d) | que le contenu de la banque de données soit tenu à jour. |
Art. 12.
(1)
Les banques de données nominatives comportant des données médicales doivent être conçues dans la mesure du possible de façon à permettre le traitement séparé:| a) | des données relatives à l'identification des personnes; |
| b) | des données à caractère médical; |
| c) | des données à caractère social; |
| d) | des données à caractère administratif. |
(2)
Une distinction entre les données basées sur des constatations objectives et celles basées sur des appréciations subjectives doit être faite dans la mesure du possible par rapport aux données mentionnées aux points b) et c) qui précèdent.Art. 13.
Le traitement de données médicales à des fins de recherche médicale et scientifique ne doit se faire que moyennant des données dépersonnalisées.
Art. 14.
Si, pour des besoins spécifiques et légitimes de recherche médicale et scientifique, il s'avère indispensable de traiter des données médicales nominatives, la collecte et le traitement de ces données ne peuvent se faire que du consentement formulé par écrit de la personne concernée qui, au préalable, aura été informée par des moyens appropriés et de la manière la plus compréhensible possible, des raisons pour lesquelles ses données médicales sont collectées, des finalités pour lesquelles elles seront utilisées,ainsi que du fait que les données ne seront pas utilisées à d'autres fins que celles pour lesquelles elles ont été collectées, sans préjudice des dispositions de l'article 18 (1) de la loi du 31 mars 1979 précitée.
Art. 15.
(1)
La personne qui a donné son consentement écrit pour que ses données médicales puissent être collectées et traitées à des fins de recherche doit être informée qu'elle peut, à tout moment, retirer son consentement.
(2)
Le retrait du consentement écrit n'a toutefois pas d'effet rétroactif.Art. 16.
(1)
La communication à un tiers des données contenues dans une banque de données nominatives comportant des données médicales ne peut se faire que du consentement écrit de la personne concernée.
(2)
Toutefois, ce consentement écrit n'est pas requis lorsque l'intérêt direct du malade exige la communication et qu'il y a lieu de présumer le consentement.Art. 17.
La communication de données médicales à des fins de statistique ne doit se faire que moyennant des données dépersonnalisées.
Art. 18.
Notre ministre de la Famille, Notre ministre du Travail, Notre ministre ayant le répertoire national des banques de données nominatives dans ses attributions, Notre ministre de la Santé et Notre secrétaire d'Etat à la Sécurité sociale sont chargés, chacun en ce qui le concerne, de l'exécution du présent règlement qui sera publié au Mémorial.
|
Le Ministre de la Famille, Fernand Boden
Le Ministre du Travail, Jean-Claude Juncker
Le Ministre de la Justice, Marc Fischbach
Le Ministre de la Santé, Johny Lahure
La Secrétaire d'Etat à la Sécurité sociale, Mady Delvaux-Stehres |
Château de Berg, le 2 octobre 1992. Jean |