Dans le domaine de la santé, la confiance est primordiale. Cette confiance commence par une promesse : que ce qui est partagé dans la confiance reste strictement dans la confiance.
Mais que se passe-t-il lorsque cette promesse doit respecter les règles du RGPD ? Où s’arrête le secret professionnel et où commence la protection des données ? Et quand, le cas échéant, a-t-on le droit de parler ?
Dissipons la confusion. Ce blog explore comment le secret professionnel en Belgique s’articule avec le RGPD, et ce que les prestataires de soins doivent prendre en compte lors du traitement des données personnelles, de manière légale, éthique et opérationnelle.
1. Qu’est-ce que le secret professionnel ?
Le secret professionnel n’est pas seulement une tradition. C’est le fondement juridique de la confidentialité dans le secteur des soins de santé. Incorporée dans le droit pénal belge, elle s’applique à toute personne qui, en raison de sa fonction, a accès à des secrets personnels, qu’il s’agisse de médecins, d’infirmières, de psychologues, de pharmaciens ou encore de personnel administratif œuvrant dans des environnements confidentiels.
Dans le secteur de la santé,cela ne se limite pas à ce que dit un patient. Toute information obtenue dans le cadre des soins, y compris ce qui est observé, documenté ou appris indirectement, est également couverte.
Il est important de noter que le secret professionnel s’applique au-delà de la vie du patient. Ce n’est pas quelque chose que vous pouvez ignorer une fois le traitement terminé ou les dossiers archivés. Cela le distingue du RGPD, qui ne s’applique plus aux données des personnes décédées.
Comment le RGPD interagit-il avec le secret professionnel ?
À première vue, le secret professionnel et le RGPD semblent alignés : les deux visent à protéger les données personnelles sensibles.
Mais ils ne sont pas interchangeables.
Le RGPD est un règlement européen qui s’applique de manière générale au traitement de toutes les données personnelles, qu’elles soient médicales, financières, comportementales ou autres, dans tous les secteurs. Il s’agit de la façon dont les données sont collectées, utilisées, stockées et partagées. Il s’applique aux organisations, publiques et privées, et établit des règles claires en matière de transparence, de limitation des finalités et de minimisation des données.
Le secret professionnel, en revanche, a une portée plus restreinte, mais un devoir plus profond. Il lie les individus, pas les organisations. Et son objectif n’est pas seulement la conformité, mais le silence, à moins qu’il n’existe une base légale pour la divulgation.
Là où le RGPD pourrait offrir un espace pour traiter des données personnelles avec consentement ou intérêt légitime, le secret professionnel ne bronche pas. Si vous êtes lié par elle, vous gardez le silence, à moins que la loi ne vous autorise explicitement à parler.
C’est là que la nuance commence.
2. Le silence est-il toujours nécessaire ?
La plupart du temps : oui.
Mais il existe des exceptions légales. Le droit belge prévoit des situations spécifiques dans lesquelles le secret professionnel peut être violé, même si même dans ce cas, il n’est pas toujours obligatoire de le faire.
Vous pouvez être autorisé à divulguer des informations confidentielles dans les situations non exhaustives suivantes :
- Vous êtes contraint de témoigner devant un tribunal ou devant une commission parlementaire.
- Une loi spécifique exige ou autorise la divulgation (par exemple, les rapports sur la protection de l’enfance).
- L’information est partagée avec un autre prestataire de soins impliqué dans le traitement du patient et qui est lui-même tenu au secret.
- Le patient a donné son consentement éclairé. Le patient doit recevoir toutes les informations pertinentes dans un langage simple et compréhensible. Cela inclut les risques de divulgation, les personnes qui recevront les données et leurs droits (y compris le droit de retirer leur consentement à tout moment).
- Il existe un motif juridique prépondérant prépondérant qui justifie la divulgation dans l’intérêt public.
Chaque cas nécessite une évaluation minutieuse. La règle d’or ? Si vous avez un doute, ne partagez pas. C’est pour cette raison qu’il existe des conseils juridiques et des conseils d’administration.
Et si vous vous trompez ?
La divulgation d’informations confidentielles sans base juridique est une infraction pénale en Belgique, récemment redéfinie par l’article 352 du nouveau Code pénal qui entrera en vigueur le 8 avril 2026.
Fini les longues listes de professions. Au lieu de cela, la loi fait désormais référence à « toute personne qui, en raison de son statut ou de sa profession, détient des secrets confiés ».
Pour être considéré comme un manquement au secret professionnel, cinq conditions s’appliquent généralement :
- Les informations sont confidentielles.
- La personne concernée est identifiable.
- La divulgation était intentionnelle (aucune intention malveillante n’est nécessaire).
- Il a été partagé avec un tiers (oui, les autorités comptent).
- Le divulgateur était professionnellement tenu au secret.
Conséquences? Elles vont des sanctions disciplinaires aux sanctions pénales, en passant par des amendes et des peines d’emprisonnement, en fonction de la gravité et de l’intention.
3. Qu’en est-il de la conformité au RGPD ? Est-ce suffisant ?
Non, et c’est là que les organisations sont souvent piégées.
Ce n’est pas parce que vous avez coché toutes les cases du RGPD, les formulaires de consentement, les avis de confidentialité, les systèmes sécurisés, que vous êtes en liberté en vertu de la loi sur le secret professionnel.
Prenons l’exemple suivant : une organisation de soins de santé développe une nouvelle application pour les patients. Ils incluent toutes les garanties standard du RGPD. Mais si cette application achemine des informations confidentielles vers du personnel qui n’est pas directement impliqué dans les soins, ou pire, des fournisseurs externes non liés par le secret, ils peuvent enfreindre le droit pénal, indépendamment de la conformité au RGPD.
Le RGPD fixe les règles de traitement. Le secret professionnel définit les limites déontologiques et juridiques de la divulgation. Les deux doivent travailler ensemble, mais ils ne sont pas des substituts.
4. Que doivent faire les prestataires de soins de santé ?
Le secret professionnel n’est pas un concept dépassé. Il s’agit d’un impératif moderne, qui renforce la confiance des patients et l’intégrité juridique. Mais à mesure que les données circulent plus facilement et que les systèmes deviennent plus complexes, les risques de divulgation involontaire sont également plus élevés.
Voici quelques bonnes pratiques :
- Examinez les flux de données internes par rapport au RGPD et aux obligations de secret professionnel.
- Veiller à ce que tout le personnel (et pas seulement les professionnels de la santé) comprenne les limites de leur accès et les limites de la divulgation.
- Intégrer ces obligations dans les systèmes numériques et les structures de gouvernance des données.
- Consulter des experts juridiques et de protection des données avant d’introduire de nouvelles plateformes, applications ou partenariats avec des tiers.
Le mot de la fin
Le secret des soins de santé n’est pas seulement une formalité juridique. C’est une promesse professionnelle. Et à l’ère de la datafication, tenir cette promesse nécessite bien plus que de bonnes intentions.
Cela nécessite une connaissance claire de vos devoirs. Et cela nécessite une conception intelligente de vos politiques, de vos systèmes et de votre personnel.
FAQ. Secret professionnel et RGPD en pratique
Si je suis en conformité avec le RGPD, cela signifie-t-il que je respecte le secret professionnel ?
Pas forcément. La conformité au RGPD se concentre sur le traitement des données personnelles. Le secret professionnel est une question de confidentialité. Vous pouvez avoir des bases juridiques pour traiter des données en vertu du RGPD (comme un intérêt légitime ou un consentement), mais cela ne vous donne pas automatiquement le droit de partager ces données si vous êtes lié par le secret professionnel.
Puis-je partager les renseignements sur les patients avec un collègue ?
Que se passe-t-il si le patient est décédé ?
Ai-je besoin d'un consentement écrit pour partager des renseignements ?
Puis-je briser le secret si je soupçonne un abus ou un danger ?
Le personnel administratif est-il également tenu au secret ?
Quelle est la sanction en cas de violation du secret professionnel ?
What about multidisciplinary teams?
Final word
Healthcare confidentiality isn’t just a legal technicality. It’s a professional promise. And in the age of datafication, keeping that promise requires more than good intentions.
It takes clear knowledge of your duties. And it takes smart design of your policies, your systems and your people.
CRANIUM helps care providers and health tech organisations design privacy and compliance that holds up, legally, ethically and operationally. If you’re unsure where GDPR ends and secrecy begins, we’re here to help you draw the line.
