Guide

RGPD et données de santé en maison de repos : guide 2026

RGPD appliqué aux maisons de repos belges : registre de traitement, DPIA, DPO, données de santé, localisation bewoners, appel infirmier. Guide 2026 direction/DPO.

Demander une démonstration

Le RGPD appliqué aux MR — pourquoi la conformité n’est plus optionnelle

Les maisons de repos et maisons de repos et de soins en Belgique traitent massivement des données de santé au sens de l’article 9 du RGPD — dossiers médicaux, plans de soins, interventions infirmières, événements de chute, localisation des résidents désorientés, appels d’urgence. Ces données bénéficient d’une protection renforcée dans le règlement européen : base juridique spécifique exigée (pas le simple intérêt légitime), obligation quasi-systématique de désigner un Délégué à la Protection des Données (DPO), tenue d’un registre de traitement détaillé, analyse d’impact (DPIA) pour les traitements à risque élevé comme la géolocalisation ou la vidéosurveillance, notification de violation à l’Autorité de protection des données (APD) dans les 72 heures, durée de conservation limitée, journalisation des accès, sécurité technique et organisationnelle démontrable.

Le cadre belge complémentaire (loi du 30 juillet 2018, loi du 22 août 2002 sur les droits du patient, Code wallon ou Woonzorgdecreet selon région) précise certains aspects. Pour les directions de MR/MRS en 2026, la conformité RGPD n’est plus optionnelle : elle conditionne à la fois la protection des résidents, la relation de confiance avec les familles, et la capacité à passer les inspections régionales (AViQ, Iriscare, Zorginspectie) et les contrôles APD. Une infrastructure digitale bien conçue couvre nativement la majorité des obligations, simplifiant considérablement le travail du DPO et de la direction.

  • 72 h

    Délai notification violation

    à l’APD si risque pour les personnes

  • 30 ans

    Dossier médical/soins

    loi du 22 août 2002, droits du patient

  • 30 jours

    Localisation bewoners (Healthcall)

    puis anonymisation / agrégation

  • 100 % BE

    Hébergement hébergeur premium belge

    triple base de données, pas de Cloud Act

Pour aller plus loin : guide de la réglementation MR belge · politique de confidentialité Healthcall · gids GDPR en WZC (NL).

Les huit obligations clés pour une MR

Ces huit obligations forment la colonne vertébrale d'une conformité RGPD opérationnelle en maison de repos. Chacune est directement vérifiable par l'APD et par les inspections régionales (AViQ, Iriscare, Zorginspectie).

  • 1. Registre de traitement

    Document listant tous les traitements : finalités, catégories de personnes, types de données, destinataires, transferts, durées, mesures de sécurité. Obligatoire. Mis à jour au moins annuellement.

  • 2. Base juridique appropriée

    Chaque traitement doit reposer sur une base juridique de l’art. 6 RGPD + art. 9 pour les données de santé. Contrat d’accueil, consentement, prestation de soins, intérêts vitaux.

  • 3. DPO désigné

    Quasi-obligatoire pour les MR > 30 résidents. Interne ou externe. Indépendant, compétent, joignable. Interlocuteur APD en cas d’incident ou d’audit.

  • 4. DPIA pour traitements à risque

    Géolocalisation bewoners, vidéosurveillance, IA détection de chute, dossier résident intégré. Documentation des risques et des mesures de protection avant tout déploiement.

  • 5. Notice d’information

    Document remis au résident/représentant à l’accueil : finalités, durées de conservation, droits, contact DPO, voies de recours APD. Disponible dans les deux langues pour Bruxelles bilingue.

  • 6. Exercice des droits

    Accès, rectification, effacement, portabilité. Procédure documentée. Réponse dans le mois (prolongeable à 3 mois pour les demandes complexes).

  • 7. Contrats de sous-traitance (DPA)

    Pour chaque prestataire traitant des données personnelles (éditeur logiciel, hébergeur, labo, prestataire santé externe). Clauses obligatoires article 28 RGPD.

  • 8. Notification des violations

    Procédure interne pour détecter, documenter et notifier. 72 h pour APD si risque, délai raisonnable pour personnes concernées si risque élevé.

Données particulièrement sensibles en MR

Toutes les données ne présentent pas le même niveau de sensibilité. Le tableau ci-dessous récapitule les catégories fréquentes en MR et les obligations renforcées associées.

Type de donnéesSensibilitéObligation renforcée
Dossier médical/soinsTrès élevéeArt. 9 GDPR + secret médical professionnel + conservation 30 ans
Appel infirmier tracéÉlevéeArt. 9 GDPR (révèle état de santé)
Localisation résidentsTrès élevéeDPIA obligatoire + anonymisation recommandée + durée limitée
Vidéosurveillance espaces communsÉlevéeDPIA + informations publiques + durée < 30 jours
Données de famille (contacts, visites)ModéréeConsentement + durée contrat
Données biométriques (si utilisées)Très élevéeDéconseillées sauf strict nécessaire + DPIA
Écran de supervision Healthcall — anonymisation par défaut (code + couleur), identification nominative sur action authentifiée tracée. Visuel illustratif (shooting client à produire).

Comment Healthcall supporte la conformité RGPD

Cinq mécanismes structurants

Ces mécanismes sont intégrés par conception — pas ajoutés après coup — et documentés dans le DPA signé à l'installation. Ils couvrent la majorité des obligations RGPD opérationnelles d'une MR.

  • Hébergement souverain belge

    Cluster privé chez un hébergeur premium belge. Triple base base de données en mirroring. Aucune sous-traitance hors UE. Pas d’exposition au Cloud Act américain. Conforme à l’esprit et à la lettre du chapitre V RGPD.

  • Anonymisation par défaut

    Écrans de supervision montrent par défaut un code résident + couleur (pas de nom complet). L’opération d’identification nominative requiert une action authentifiée tracée — audit trail complet.

  • Journalisation des accès

    Chaque consultation, modification et export est tracé avec identifiant utilisateur, appareil et horodatage. Exploitable par le DPO en cas d’audit ou d’incident. Preuve technique directe pour l’APD.

  • Durées paramétrables

    Localisation bewoners : 30 jours glissants par défaut, puis agrégation anonyme. Traçabilité interventions : paramétrable selon obligations (5 ans typique). Toutes les durées inscrites au registre de traitement.

  • Documentation RGPD livrée

    Contrat de sous-traitance (DPA) signé à l’installation. Registre de traitement modèle. DPIA-type pour modules sensibles (localisation, détection chute). Accompagnement DPO lors des audits et des inspections.

  • Chiffrement transit + repos

    TLS 1.3+ pour tous les échanges client-serveur. Chiffrement au repos des volumes de données sensibles. Rotation des certificats documentée. Mesures techniques art. 32 RGPD démontrables en audit APD.

Pour la déclinaison concrète sur un module sensible : module géolocalisation des résidents (avec sous-section RGPD) · politique confidentialité Healthcall.

Ressources connexes

  • Réglementation MR Belgique

    Cadre AViQ + INAMI + normes d’erkenning + inspection. Guide pilier du parcours conformité. [Lire le guide →](/fr/ressources/guides/reglementation-mr-belgique)

  • Iriscare Bruxelles

    Régime bicommunautaire bruxellois, exigences bilingues FR/NL, inspection Iriscare. [Lire le guide →](/fr/ressources/guides/iriscare-bruxelles)

  • Géolocalisation résidents

    Module sensible nécessitant DPIA. Sous-section RGPD dédiée avec mesures techniques et organisationnelles. [Module →](/fr/solutions/geolocalisation-residents)

Ressources officielles : APD belge · Comité européen EDPB · Comparer aux alternatives du marché.

Questions fréquentes

Les données d'appel infirmier sont-elles des données de santé au sens RGPD ?
Oui, dans la grande majorité des cas. L'article 9 du RGPD qualifie de « données de santé » toute donnée relative à la santé physique ou mentale d'une personne, y compris celles qui en révèlent indirectement des informations. Un appel infirmier tracé par un résident révèle l'état de dépendance, les moments critiques (nuit, salle de bain), parfois même le type de symptôme (appel d'urgence, chute, désorientation). La fréquence des appels, l'horaire, la localisation, la durée des interventions — autant de signaux qui, croisés, renseignent sur l'état de santé du résident. Ces données sont donc traitées au sens strict comme des données de santé avec les obligations RGPD renforcées : base juridique spécifique, registre de traitement, DPIA si risque élevé, durée de conservation limitée, journalisation des accès, sécurité technique et organisationnelle démontrable.
Quelle est la base juridique appropriée pour ces traitements en MR ?
Trois bases juridiques sont habituellement invoquées pour les données de santé en MR, parfois de manière combinée. L'exécution du contrat d'accueil (art. 6 §1(b) RGPD) pour les traitements strictement nécessaires à la prestation de service. Le consentement explicite du résident ou de son représentant légal (art. 9 §2(a) RGPD) pour les traitements facultatifs ou sensibles (localisation, vidéo, partage famille). La sauvegarde d'intérêts vitaux (art. 9 §2(c) RGPD) pour les situations d'urgence où le résident n'est pas en état de consentir. La prestation de soins (art. 9 §2(h) RGPD) pour les traitements directement liés aux soins médicaux sous responsabilité d'un professionnel de santé soumis au secret médical. Pour une MR, la combinaison typique est : contrat d'accueil + consentement pour les fonctions optionnelles + prestation de soins pour les actes médicaux.
Faut-il un DPO (délégué à la protection des données) en maison de repos ?
Oui, pour la très grande majorité des MR belges. L'article 37 du RGPD impose la désignation d'un DPO quand le responsable du traitement exerce « à titre principal un traitement à grande échelle de catégories particulières de données », ce qui est précisément le cas d'une MR qui traite quotidiennement les données de santé de dizaines de résidents. En pratique, l'obligation est quasi-systématique pour les MR de plus de 30 résidents. Le DPO peut être interne (employé) ou externe (consultant ou avocat spécialisé). Il doit être indépendant, compétent en RGPD et joignable. Pour les petites MR, mutualiser un DPO externe entre plusieurs établissements est une pratique courante qui réduit le coût. Le DPO rédige le registre de traitement, accompagne les DPIA, répond aux demandes de résidents et familles, et est l'interlocuteur de l'Autorité de protection des données (APD) en cas d'incident.
Quels traitements exigent une analyse d'impact (DPIA) en MR ?
Plusieurs traitements fréquents en MR atteignent le seuil d'obligation DPIA (art. 35 RGPD) : la géolocalisation des résidents (surveillance systématique de personnes vulnérables), la vidéosurveillance des espaces communs (surveillance systématique), la collecte biométrique éventuelle (reconnaissance faciale badge — déconseillée mais parfois proposée), les systèmes de détection de chute par caméra avec intelligence artificielle, le dossier résident intégré combinant santé, administratif, famille. La liste publiée par l'Autorité de protection des données belge précise les catégories qui requièrent quasi-automatiquement une DPIA. La DPIA documente la finalité, les risques, les mesures de protection. Elle doit être réalisée avant le déploiement et mise à jour lors de modifications significatives. Un DPIA mal fait ou absent est un point de faiblesse structurant lors d'une inspection AViQ ou d'un contrôle APD.
Combien de temps faut-il conserver les données des résidents ?
Les durées de conservation varient selon les types de données. Dossier médical/soins : 30 ans après la dernière prestation, selon la loi belge sur les droits du patient (loi du 22 août 2002) — obligation longue liée à la responsabilité médicale. Dossier administratif/contractuel : 10 ans après la fin de la relation contractuelle (obligations comptables et fiscales). Données d'appel infirmier/interventions : généralement 5 ans glissants pour traçabilité qualité et inspections, puis anonymisation pour statistiques. Données de localisation bewoners : idéalement 30 jours glissants pour usage opérationnel, puis anonymisation. Vidéosurveillance : 30 jours maximum sauf incident documenté. Ces durées doivent être inscrites dans votre registre de traitement et communiquées aux résidents/représentants via la notice d'information. Healthcall applique par défaut 30 jours glissants sur la localisation et la traçabilité interventions détaillée.
Que faire en cas de violation de données en MR ?
Le RGPD impose une procédure stricte en cas de violation (art. 33-34). Notification à l'Autorité de protection des données dans les 72 heures si la violation est susceptible d'engendrer un risque pour les personnes. Notification aux personnes concernées (résidents, familles) si le risque est élevé — délai raisonnable. Documentation interne de la violation (nature, personnes touchées, mesures prises) même si aucune notification n'est faite. Les types de violations les plus fréquents en MR : perte/vol de matériel contenant données (ordinateur, smartphone non chiffré, dossier papier), accès non autorisé par un soignant au dossier d'un résident dont il ne s'occupe pas, partage accidentel d'informations à mauvais destinataire (e-mail mal adressé), compromission de compte (phishing). Un système digital avec journalisation des accès (comme Healthcall) facilite considérablement l'analyse a posteriori et la documentation en cas d'incident.
Comment Healthcall est-il conforme RGPD pour les MR belges ?
Healthcall applique six principes structurants. Hébergement en Belgique chez un hébergeur premium belge, avec cluster privé et triple base de données en mirroring — pas de sous-traitance hors UE, pas d'exposition au Cloud Act américain. Journalisation des accès par utilisateur et par appareil — qui a consulté quoi quand. Chiffrement en transit (TLS 1.3+) et au repos. Anonymisation automatique sur les écrans de supervision (code résident + couleur, pas de nom complet sans action explicite). Durée de conservation paramétrable par défaut 30 jours glissants sur localisation détaillée, agrégation anonyme au-delà. Fourniture à la signature de la documentation RGPD complète : contrat de sous-traitance (DPA), registre de traitement modèle, DPIA-type pour les modules sensibles (localisation, détection chute). Notre équipe peut accompagner votre DPO lors des audits et des inspections AViQ/APD.
Où trouver l'information officielle sur le RGPD appliqué aux MR ?
Trois sources primaires. L'Autorité de protection des données (APD — autoriteprotectiondonnees.be / gegevensbeschermingsautoriteit.be) publie des lignes directrices sectorielles, des décisions de sanctions et une foire aux questions. La Commission européenne (edpb.europa.eu) via le Comité européen de la protection des données publie les lignes directrices harmonisées applicables à tous les États membres. La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (la « loi cadre » belge) précise les points laissés à la compétence nationale. Pour les MR, les fédérations sectorielles (FEMARBEL, Santhea, AG Soins Continués en Wallonie ; Zorgnet-Icuro en Flandre) publient régulièrement des guides pratiques et des modèles. Les avocats spécialisés en droit santé + numérique sont les interlocuteurs pour les questions complexes.

Autres guides à consulter

Parlons de votre projet

Une démonstration adaptée à votre maison de repos, sans engagement. Trente minutes pour cadrer votre besoin.

Demander une démonstration Nous contacter