Que ce soit en lien avec les Ocam, les réseaux de soins ou bien vos fournisseurs, vous traitez chaque jour des données personnelles de vos clients. Jusqu’ici une simple déclaration préalable à la Cnil vous assurait d’être en règle. En mai 2018, une nouvelle réglementation européenne (RGPD) va chambouler la gestion des données personnelles en magasin. Décryptage en 5 points...
1 - RGPD, késako ?
Le RGPD est l’acronyme du « Règlement Général sur la Protection des Données ». Cette réglementation, adoptée par le Parlement Européen en avril 2016, modifie le cadre juridique de la protection des données personnelles, en application immédiate et sans transposition dans le droit national. L’objectif est d’harmoniser au maximum le régime juridique des données à caractère personnel, avec l’ambition d’offrir lisibilité et sécurité juridique aux entreprises traitant des données personnelles, en même temps que renforcer les droits des personnes et des citoyens.
2 - Les personnes concernées
Dans notre secteur, opticiens, fabricants et Ocam sont concernés dès lors qu’ils manipulent – pour leur compte propre ou celui d’un tiers – des données à caractère personnel. Est considérée comme telle, « toute information se rapportant à une personne physique identifiée ou identifiable ».
3 – Les nouvelles obligations des opticiens
Le règlement consacre le principe de l’auto-responsabilité. Finies les formalités préalables, la Cnil n’intervenant désormais plus en amont mais a posteriori lors de contrôles, dont on peut imaginer qu’ils seront renforcés. Concrètement, à partir de mai 2018, en tant que responsables de traitement, les opticiens n’auront plus à faire de déclarations auprès de la Cnil, mais à tenir un registre recensant l’ensemble des traitements de données à caractère personnel. Ce registre devra obligatoirement mentionner un certain nombre d’éléments :
Eléments à indiquer | Exemples |
Nom et coordonnées | du responsable du traitement (le gérant du magasin pour un indépendant) ou du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ; |
Finalités du traitement | gestion de la clientèle, gestion des fournisseurs, pratique du tiers payant et télétransmission, gestion des prospects, statistiques et enquêtes de satisfaction... |
Personnes concernées | les clients et prospects, les fournisseurs, les professionnels de santé |
Catégories de données personnelles | l’identité des personnes, facturation, historique des achats, données de santé... |
Destinataires | fournisseurs, plateformes de service, Ocam, sécurité sociale, professionnels de santé... |
Délais pour l'effacement des données | 5 ans avec une durée d’archivage de 15 ans |
Si les conditions le requièrent, un Délégué à la Protection des Données (Data Protection Officer ou DPO) peut être nommé pour veiller à la bonne application du règlement. Les opticiens devront aussi s’assurer, lorsqu’ils pratiquent le tiers payant, que l’assuré a consenti expressément au recueil et au transfert de ses données (incluant ses données de santé) aux plateformes de santé ou aux opérateurs de tiers payant, et qu’il est en mesure à tout moment de retirer son consentement.
4 – Le calendrier d’application
Le règlement est entré en vigueur le 25 mai 2016 mais sa date d’application est fixée au 25 mai 2018, pour laisser le temps aux acteurs de se mettre en conformité. En France il est prévu que la loi informatique et libertés soit amendée. La Cnil propose son sur site des « outils » et va publier d’ici peu des contenus spécifiques à destination des PME/TPE.
5 – Les sanctions financières
Les entreprises devront être capables de démontrer quelles mesures techniques et organisationnelles elles ont mis en place. Il est déconseillé de penser que la Cnil attendra avant d’effectuer des contrôles. En cas de manquement à ces obligations, les sanctions administratives sont renforcées : jusqu’à 10M€ ou 2% du CA total et même jusqu’à 20M€ ou 4 % du CA total pour les infractions les plus graves.