Je dois mettre mon organisation luxembourgeoise en conformité au considérant 35 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 35 RGPD — Considérant 35

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 35

Règlement général sur la protection des données · UE 2016/679

(35)

Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro.

Spécificité Luxembourg

loi du 1er aout 2018 portant organisation de la CNPD et mise en oeuvre du RGPD ; loi du 24 juillet 2014 relative aux droits et obligations du patient

Au Luxembourg, le traitement de données de sante en milieu hospitalier est encadre par la loi du 24 juillet 2014 relative aux droits et obligations du patient et par la loi du 1er aout 2018 portant organisation de la CNPD et mise en oeuvre du RGPD, qui maintient des regimes spécifiques pour la recherché medicale et les registres de sante. La CNPD est l'autorité competente et a publie des orientations spécifiques sur la medecine du travail et les dossiers patients informatises.

Pratique Luxgap : pour les établissements de soins, les mutuelles et les employeurs avec medecine du travail interne au Luxembourg, nous calibrons le Health Data Radar avec les référentiels CNPD et integrons les specificites de l'eSante (dossier de soins partagé, plateforme Agence eSante) pour garantir une conformité opérationnelle des le premier scan.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 35 elargit massivement la notion de donnée de santé bien au-dela du dossier médical. Un numéro de patient, un résultat d'analyse, une mesure de smartwatch synchronisee, un formulaire d'inscription a une mutuelle, un test COVID archive dans Outlook : tout cela tombe dans l'article 9. La CNPD et la CNIL sanctionnent régulièrement des employeurs, RH et assureurs qui traitent ces données sans base légale article 9(2) appropriee, en croyant a tort qu'il ne s'agit pas de données sensibles. Le piège est de raisonner par catégorie de document plutot que par information révélée.

Les 6 zones grises ou la donnée de santé se cache sans qu'on s'en doute

Les notes RH sur un arret maladie, même sans diagnostic (la durée et la fréquence revelent l'état de santé).
Les badges d'accès a l'infirmerie d'entreprise ou au cabinet médical du travail.
Les tickets de remboursement frais professionnels mentionnant pharmacie, kine, opticien.
Les données de wearables connectes a Microsoft Teams ou Slack via integrations bien-etre.
Les listes de presence aux campagnes de vaccination ou tests organisees par l'employeur.
Les emails RH archives sur M365 contenant des certificats médicaux scannes en pièce jointe.

Chaque element ci-dessus déclenche l'article 9, exige une base légale renforcee, et impose des mesures techniques spécifiques (chiffrement, cloisonnement, journalisation des accès).

Comment Luxgap automatise ce risque

Notre Luxgap Health Data Radar rend impossible le traitement non identifié de données de santé en scannant en continu vos SI metiers pour détecter automatiquement toute donnée qui révélé un état de santé, même indirectement. L'outil branche un agent IA spécialisé sur vos tenants M365, SharePoint, Outlook, Teams, Odoo HR, Sage BOB 50 et stockages S3, et classifie chaque fichier, email, champ de base selon la grille du considérant 35 et des lignes directrices EDPB.

Detecte automatiquement les certificats médicaux, arrets de travail et ordonnances scannes dans les boites mail RH et les SharePoint via OCR et classification IA.
Identifié les champs de bases de données (Odoo, Sage, SAP) contenant indirectement des informations de santé (codes absence, libelles de remboursement, motifs de visite medecine du travail).
Alerte en temps reel sur Teams ou Slack des qu'un nouvel email contenant une pièce jointe de type médical arrive dans une boite partagée RH non habilitee.
Genere automatiquement la fiche article 9(2) adaptee (consentement explicite, medecine du travail, intérêt vital, santé publique) pour chaque flux detecte.
Produit un registre cartographique des données de santé avec niveau de chiffrement, base légale et durée de conservation, opposable a la CNPD lors d'un contrôle.
Vérifié la coherence des accès : seul le personnel habilite (medecin du travail, infirmiere, DPO) doit pouvoir lire ces données, et l'outil detecte les accès anormaux par les RH opérationnelles.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos données reelles, avec un scan gratuit sous 48h pour cartographier votre exposition aux données de santé avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 35

Ils nous font confiance

Avant de discuter