Déclaration de protection des données pour les Patients et les participants à l’étude

L’Integrated BioBank of Luxembourg (IBBL), 1 rue Louis Rech L-3555 Dudelange, Luxembourg (« nous ») est un institut autonome au sein du Luxembourg Institute of Health (LIH), 1A-B rue Thomas Edison L-1445 Strassen, Luxembourg, un institut de recherche sanitaire public. Nous visons à stimuler des connaissances sur les mécanismes de pathologie et à contribuer au développement de nouveaux diagnostics, de stratégies préventives, de thérapies innovantes et d’applications cliniques qui affectent la santé des personnes.

Nous nous engageons à respecter les lois et réglementations qui régissent la conduite de la recherche sanitaire. Cela comprend le Règlement général de l’UE sur la protection des données 2016/679 (le « RGPD ») et toute autre législation ou réglementation européenne ou locale applicable de mise en œuvre du RGPD (notamment la Loi du Luxembourg du 1er août 2018 sur l’organisation de la Commission nationale pour la protection des données et la mise en œuvre du RGPD), ainsi que les textes leur succédant (conjointement, la « Législation de protection des données »).

En tant qu’institut de recherche public en vertu de la loi du 3 décembre 2014 sur l’organisation des centres de recherche publics, nous conduisons la recherche dans l’intérêt public et nous nous assurons que notre recherche sert les intérêts de la société dans son ensemble. Certaines de nos recherches pourront être menées en collaboration avec des organisations commerciales et des donateurs. En tout cas, notre recherche est conforme aux lois et réglementations du Luxembourg applicable à la recherche.

La présente Déclaration de protection des données est destinée aux patients et aux participants de nos recherches, de nos études et de nos projets scientifiques (« vous »). Elle vous fournit des informations détaillées sur la protection que nous apportons à vos données à caractère personnel.

De plus amples informations pourront vous être fournies si nécessaire lorsque vous nous contactez pour une activité de recherche particulière.

1. QUI EST LE RESPONSABLE DU TRAITEMENT DE VOS DONNÉES À CARACTÈRE PERSONNEL ?

L’Integrated BioBank of Luxembourg (IBBL), 1 rue Louis Rech L-3555 Dudelange, Luxembourg est le responsable du traitement et de la collecte de vos données à caractère personnel concernant votre participation à nos recherches, études et projets scientifiques. La finalité de la présente Déclaration de protection des données est de vous informer des données à caractère personnel que nous collectons, des raisons pour lesquelles nous les utilisons et nous les partageons, leur durée de conservation, les droits dont vous disposez et la façon dont vous pouvez les exercer.

2. QUELLES DONNÉES À CARACTÈRE PERSONNEL TRAITONS-NOUS ?

Nous collectons et utilisons vos données à caractère personnel dans la mesure nécessaire pour atteindre les objectifs de recherche de nos projets auxquels vous participez.

Nous pourrons notamment collecter les types suivants de données à caractère personnel concernant des projets de recherche spécifiques :

  • données d’identification (prénom, nom, code de référence ou pseudonyme) ;
  • coordonnées ;
  • caractéristiques personnelles (âge, sexe, poids, taille, …) ;
  • vie personnelle (habitudes de vie et de consommation, statut familial) ;
  • éducation et vie professionnelle ;
  • données concernant la santé (santé physique et mentale, pathologie, historique familial, soins de santé, comportement à risque, cause de décès, etc.) ;
  • données génétiques ;
  • données révélant votre origine raciale ou ethnique, ou votre vie ou orientation sexuelle.

Nous collectons des informations vous concernant (i) directement auprès de vous, ou (ii) indirectement depuis vos dossiers médicaux ou nos bases de données (par ex. données concernant les soins de santé qui vous sont fournis et détenus par les autorités de sécurité sociale) ou les collectes d’échantillons biologiques constituées conformément aux lois applicables.

Lorsque nous avons besoin de collecter d’autres catégories de données vous concernant dans le cadre d’une recherche, d’une étude ou d’un projet spécifique, nous vous en informerons par des moyens appropriés.

3. QUELLES SONT LES FINALITÉS ET LES BASES LÉGALES DE NOTRE TRAITEMENT ?

Nous collectons et utilisons vos données à caractère personnel pour les finalités suivantes :

  • les prestations de services de recherche-support pour soutenir nos unités de recherche, l’académie, les autres instituts de recherche et les acteurs de l’industrie pharmaceutique internationale, en leur fournissant des ressources biologiques ainsi que la collecte et le stockage de données associés, mais aussi des services méthodologiques de haute qualité ;
  • pour améliorer nos processus internes et atteindre une efficacité maximum dans notre organisation interne,
  • pour gérer les litiges, les réclamations et le contentieux dans lesquels nous sommes impliqués,
  • pour nous défendre dans le cadre de toute procédure légale ou judiciaire découlant de nos activités,
  • pour la sécurité et la protection de notre organisation, de nos réseaux informatiques et de nos informations.

La Législation de protection des données exige que nous disposions d’une raison légale valable (« base légale ») pour le traitement et l’utilisation des données à caractère personnel vous concernant. Dans le contexte de la recherche, nous collectons vos données à caractère personnel selon les bases légales suivantes :

  • pour respecter nos obligations légales et réglementaires en matière de santé publique (article 6.1c RGPD), ou
  • pour l’exécution d’une mission d’intérêt public (article 6.1e RGPD), ou
  • pour nos intérêts légitimes (article 6.1f RGPD), ou
  • avec votre consentement (article 6.1a RGPD) lorsque cela est autorisé ou permis.

Lorsque nous collectons et utilisons également des données à caractère personnel sensibles (santé, génétiques,…) nous le ferons uniquement lorsque :

  • « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique » (article 9.2i RGPD), ou
  • « le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » (article 9.2j RPGD), ou
  • nous avons obtenu votre consentement explicite (article 9.2a RGPD) lorsque cela est autorisé ou permis.

Lorsque nous devons nous fonder sur une base légale différente, nous vous en informerons par des moyens appropriés.

4. AVEC QUI PARTAGEONS-NOUS VOS DONNÉES À CARACTÈRE PERSONNEL ?

Selon la nature et la portée de nos activités de recherche, vos données à caractère personnel pourront être partagées avec les destinataires suivants :

  • notre équipe scientifique en charge d’une recherche, d’une étude ou d’un projet spécifique,
  • les professionnels intervenant dans une recherche, une étude ou un projet spécifique,
  • les professionnels en charge de la collecte de données, des contrôles qualité, du traitement et de l’analyse statistique de vos données à caractère personnel sous notre responsabilité,
  • d’autres chercheurs ou organisations de recherche à des fins de recherche.

Nous pourrons accéder ou partager vos données de façon à pouvoir vous identifier en tant que participant à une recherche, une étude ou un projet. Toutefois, vos données à caractère personnel sont toujours codées ou pseudonymisées, en particulier avant de les partager avec les chercheurs et avant de publier les résultats de recherche.

Lorsque nous travaillons avec d’autres organisations et que des informations sont partagées avec elles, de plus amples informations vous seront transmises dans un avis d’information spécifique (« Note d’information aux personnes concernées ») avant votre inclusion dans une étude/un projet.

Nous pourrons communiquer vos données à caractère personnel à :

  • des prestataires/fournisseurs de service tiers qui réalisent des services pour notre compte afin de soutenir la recherche, l’étude ou le projet,
  • les organismes d’application de la loi ou autres organismes ou agences publics, sur demande et dans la mesure permise par la loi,
  • certains professionnels réglementés tels que les avocats ou auditeurs,
  • les chercheurs d’institutions de recherche privées ou publiques.

Nous exigeons que tous les tiers respectent la sécurité de vos données à caractère personnel et les traitent conformément aux lois et réglementations applicables.

5. OÙ TRANSFÉRONS-NOUS VOS DONNÉES À CARACTÈRE PERSONNEL ?

Nos activités pourront impliquer des transferts de vos données à caractère personnel vers des pays situés hors de l’Union européenne/l’Espace économique européen (EU/EEE). Le cas échéant, le transfert de vos données à caractère personnel pourra survenir lorsque la Commission européenne a décidé que le pays situé hors de l’UE/EEE assure un niveau de protection des données adapté.

Pour les transferts vers les pays situés hors de l’UE/EE pour lesquels le niveau de protection n’a pas été reconnu comme adéquat par la Commission européenne, nous mettrons en œuvre les protections appropriées prévues par la législation en matière de protection des données (par ex. la conclusion des clauses standard de protection des données) ou nous nous appuierons sur une dérogation applicable aux situations particulières (comme votre consentement explicite).

Vous pouvez obtenir de plus amples informations concernant les protections pertinentes sur lesquelles nous nous appuyons en nous contactant à l’adresse dpo@lih.lu.

6. SÉCURITÉ DE VOS DONNÉES À CARACTÈRE PERSONNEL.

Le traitement de vos données à caractère personnel est réalisé via des outils informatiques, électroniques et manuels, avec des logiques strictement relatives aux finalités précitées et, en toute situation, en conformité avec les mesures techniques et d’organisation requises par la loi afin d’assurer un niveau de sécurité qui est adapté au risque, afin d’éviter la perte ou l’accès non autorisé à vos données.

Afin de protéger vos droits et la confidentialité de vos données à caractère personnel et en particulier lors du traitement de données à caractère personnel sensibles (par ex. santé, génétiques…) à des fins de recherche scientifique, nous devrons avoir mis en place des protections appropriées et spécifiques pour protéger vos données à caractère personnel. Nos chercheurs sont notamment tenus de mettre en œuvre l’anonymisation ou la pseudonymisation (par ex. retirer les identifiants tels que votre nom et les remplacer par un code ou une clé unique) si possible et dès que possible.

7. COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNÉES À CARACTÈRE PERSONNEL ?

Nous conserverons vos données à caractère personnel pour la durée nécessaire aux fins pour lesquelles nous les avons collectées et pour la durée nécessaire au respect de nos obligations légales. Les périodes pendant lesquelles nous conservons vos données à caractère personnel dépendent du type de données et des finalités pour lesquelles nous les utilisons. Veuillez noter que les données à caractère personnel pourront être stockées pour des périodes plus longues dans la mesure où les données à caractère personnel seront traitées uniquement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou des fins statistiques (sous réserve d’examens réguliers par les autorités compétentes). Le cas échéant, nous prendrons les mesures techniques et d’organisation appropriées pour protéger vos données à caractère personnel.

Conformément au principe de minimisation des données, nous demandons à nos chercheurs d’anonymiser, de pseudonymiser ou de supprimer les données à caractère personnel collectées dans le cadre de leur recherche dès que possible.

Nous vous informerons par des moyens appropriés (par ex. note d’information de participant) concernant la durée pour laquelle vos données à caractère personnel seront conservées dans le cadre des projets de recherche.

8. QUELS SONT VOS DROITS A L’ÉGARD DE VOS DONNÉES À CARACTÈRE PERSONNEL ?

Conformément à la législation de protection des données, vous pourrez exercer à tout moment vos droits individuels à l’égard de vos données à caractère personnel :

  • droit d’accès, qui vous permet d’obtenir de notre part une confirmation du traitement ou non de vos données à caractère personnel et, le cas échéant, d’obtenir l’accès auxdites données. Nous traitons un large volume d’informations et par conséquent nous pouvons demander, conformément au RGPD que vous précisiez les informations ou les activités de traitement concernées par votre demande avant de vous fournir les informations ;
  • droit de rectification, qui vous permet d’obtenir de notre part une correction ou une intégration de vos données à caractère personnel qui sont incorrectes ou incomplètes ; et

dans certains cas limités (auquel cas nous analyserons si les conditions pour l’exercice desdits droits sont remplies, conformément au RGPD) :

  • droit à l’effacement, qui vous permet dans certains cas prévus par l’art. 17 RGPD, d’obtenir de notre part l’effacement de vos données à caractère personnel ;
  • droit de limitation du traitement, qui vous permet, dans certains cas prévus par l’art. 18 RGPD, de limiter notre traitement de vos données à caractère personnel ;
  • droit d’opposition, qui vous permet de vous opposer au traitement de vos données à caractère personnel lorsque certaines conditions sont remplies ;
  • droit de portabilité des données, qui vous permet, dans certains cas et à l’égard seulement des données que vous nous avez fournies, de demander la réception de vos données à caractère personnel dans un format structuré et communément lisible par machine.

Veuillez noter que la mesure dans laquelle ces droits s’appliquent à la recherche pourra changer et que dans certaines circonstances les droits pourront être limités. Il doit également être noté que nous pouvons uniquement mettre en œuvre vos droits pour la période au cours de laquelle nous détenons des données à caractère personnel vous concernant. Une fois que les données que nous détenons à votre sujet ont été anonymisées de façon irréversible et font partie de l’ensemble des données de recherche, il ne sera pas possible d’accéder aux données à caractère personnel.

Si vous avez fourni votre consentement au traitement de vos données à caractère personnel, vous pourrez le retirer à tout moment et cela n’affectera pas vos soins médicaux.

Afin d’exercer l’un de ces droits, vous pourrez contacter notre Délégué à la protection des données par e-mail, à l’adresse dpo@lih.lu ou par courrier à l’adresse postale suivante :

Luxembourg Institute of Health (LIH)
Délégué à la protection des données
1A-B rue Thomas Edison
L-1445 Strassen

Vous avez le droit de déposer une plainte formelle devant la Commission nationale pour la protection des données (CPND). De plus amples détails peuvent être consultés dans la section relative aux réclamations sur le site de la CNPD (https://cnpd.public.lu).

9. MODIFICATIONS DE LA PRÉSENTE DÉCLARATION DE PROTECTION DES DONNÉES

Des modifications pourront survenir dans le cadre de notre traitement de vos données à caractère personnel. Dans le cas où ces changements nous imposent de mettre à jour la présente Déclaration de protection des données, nous vous les communiquerons clairement, soit par notre site web soit par d’autres moyens appropriés. La dernière version applicable de la présente Déclaration de protection des données sera toujours disponible sur notre site web.

10. GLOSSAIRE

Anonymisation désigne le processus irréversible de rendre les données à caractère personnel anonymes de manière à ce que la personne concernée ne soit pas ou plus identifiable ;

Responsable du traitement désigne la personne physique ou morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et moyens de traitement des données à caractère personnel. Lorsque lesdites finalités et moyens dudit traitement sont déterminés par le droit de l’Union ou d’un État membre, le responsable ou les critères spécifiques pour sa nomination pourront être prévus par le droit de l’Union ou d’un État membre ;

Consentement désigne toute indication librement donnée, éclairée et non-équivoque du souhait de la personne concernée de signifier, par une déclaration ou une action affirmative claire, son accord au traitement des données à caractère personnel la concernant ;

Données génétiques désigne les données à caractère personnel relatives aux caractéristiques génétiques héritées ou acquises d’une personne physique qui donnent des informations uniques concernant la physiologie ou la santé de ladite personne physique et qui découlent, en particulier, de l’analyse d’un échantillon biologique de la personne concernée en question ;

Données concernant la santé désigne les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations concernant son état de santé ;

Législation de protection des données désigne le Règlement général de l’UE sur la protection des données 2016/679 (le « RGPD ») et toute autre législation ou réglementation européenne ou locale applicable de mise en œuvre du RGPD (notamment la Loi du Luxembourg du 1er août 2018 sur l’organisation de la Commission nationale pour la protection des données et la mise en œuvre du RGPD), ainsi que les textes leur succédant ;

Données à caractère personnel désigne toute information relative à une personne physique identifiée ou identifiable (« personne concernée »). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par une référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs des facteurs spécifiques concernant l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de ladite personne physique (comme défini par le RGPD) ;

Violation de données à caractère personnel désigne une violation de la sécurité entraînant la destruction, la perte, l’altération accidentelle ou illicite, la divulgation ou l’accès non autorisé aux données à caractère personnel transmises, stockées ou autrement traitées ;

Traitement désigne toute opération ou ensemble d’opérations qui sont réalisées sur les données à caractère personnel ou les ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, harmonisation ou combinaison, limitation, effacement ou destruction ;

Sous-traitant désigne une personne physique ou morale, une autorité publique, une agence ou autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement ;

Pseudonymisation désigne le traitement de données à caractère personnel de manière à ce que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans utiliser d’informations supplémentaires, à condition que lesdites informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et d’organisation afin d’assurer que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;

Destinataire désigne une personne physique ou morale, une autorité publique, une agence ou un organisme à qui les données à caractère personnel sont divulguées, que ce soit ou non un tiers. Toutefois, les autorités publiques qui pourront recevoir les données à caractère personnel dans le cadre d’une enquête particulière conformément au droit de l’Union ou d’un État membre ne seront pas réputées être des destinataires. Le traitement de ces données par lesdites autorités publiques sera conforme aux règles applicables en matière de protection des données conformément aux finalités de leur traitement ;

Données à caractère personnel sensibles ou catégories de données particulières désignent les données à caractère personnel révélant l’origine raciale ou ethnique d’une personne, ses opinions politiques, ses croyances religieuses ou philosophiques ou son appartenance syndicale et le traitement de données génétiques ou biométriques aux fins uniques de l’identification d’une personne physique, les données concernant la santé ou concernant la vie ou l’orientation sexuelle d’une personne physique ;

Tiers désigne une personne physique ou morale, une autorité publique, une agence ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisés à traiter des données à caractère personnel ;