En tant que commerçants et professionnels de santé, vous collectez et transmettez des données relatives à vos clients. De plus, 95% d'entre vous pratiquent aujourd'hui le tiers-payant en magasin. Une transmission de données par téléphone, fax ou de façon numérique, qui vous oblige à être en règle par rapport à la loi Informatique et Libertés. Alors quelles sont vos obligations ? A quel moment et comment déclarer vos fichiers ?
Norme simplifiée n°54
Si vous avez informatisé votre fichier clients et que vous n'avez pas effectué cette déclaration, vous pouvez le faire facilement sur le site Internet de la Cnil. Il y a 5 ans, celle-ci a mis en place une norme simplifiée pour les opticiens-lunetiers, qui porte le n°54. Après avoir vérifié que votre fichier correspond aux standards de cette norme, il vous suffit de remplir le formulaire de déclaration disponible en ligne. Notez aussi que la loi Informatique et Libertés vous oblige, au moment où vous renseignez le dossier de votre client, à l'informer de ses droits par des mentions précises. Vous pouvez ainsi lui préciser, par affichage ou sur papier par exemple sur vos devis, le texte suivant :
« Votre opticien dispose d'un système informatique destiné à gérer plus facilement ses ventes (facturation, remboursements). Les informations qui vous sont demandées feront l'objet, sauf opposition justifiée de votre part, d'un enregistrement informatique réservé à l'usage de votre opticien, et le cas échéant de votre caisse de sécurité sociale, de votre organisme d'assurance maladie complémentaire. Vous pouvez accéder aux informations vous concernant auprès de votre opticien*. *Articles 32, 38, 39, 40 de la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades ; décret n° 2002-637 du 29 avril 2002 ».
Norme Opto-AMC
Comme nous l'évoquions dans notre news précédente, si vous télétransmettez en Opto-AMC, le déclaration simplifiée n°54 n'est plus suffisante. En effet, cette dernière ne couvre pas la transmission aux assurances complémentaires santé de certaines données de vos clients. Dans ce cas, et préalablement à la mise en place des transmissions, vous devez adresser un dossier de formalités à la Cnil. Cette fois, il vous faudra remplir une « déclaration normale ». Vous recevrez alors un accusé de réception et un accord de la Cnil, si votre demande est acceptée.
Il faut également noter que si vous ne l'avez pas déjà fait, la Cnil admet en principe les régularisations. La pratique montre que le risque de sanction est très faible pour un opticien qui n'a jamais déclaré ses fichiers mais souhaite le faire aujourd'hui.
Quelles sont les sanctions et les risques encourus ?
Le nombre de contrôles réalisés par la Cnil augmente : 385 en 2011 et plus de 400 en 2012. Souvent lancés à la suite de plaintes de consommateurs, ils peuvent déboucher sur une sanction financière ou administrative sous forme d'avertissement public. Dans ses fichiers clients, il faut faire particulièrement attention aux zones de commentaires libres et éviter toute donnée contraire à la dignité humaine ou propos diffamatoires, jugements de valeurs... Les sanctions peuvent aller d'une contravention de 1 500 euros par infraction constatée à 5 ans d'emprisonnement et 300 000 euros d'amende. Mais le pénale reste aujourd'hui théorique.
Les autres risques sont liés à l'image de marque. Si des violations sont constatées, la Cnil peut publier un avertissement public. De plus, être conforme à loi constitue un argument de différenciation par rapport à la concurrence et un vrai gage de qualité et de confiance à l'égard des clients. Un correspondant Informatique et Libertés peut être désigné au sein du magasin.
Lire aussi : Transmission des données de santé : la norme Opto-AMC respecte-t-elle la loi ? La réponse de la Cnil
Profession