En tant que commerçant et professionnel de santé, vous collectez et transmettez des données relatives à vos clients. A ce titre, vous avez des obligations à respecter vis-à-vis de la Cnil (Commission nationale de l'informatique et des libertés). Maître Chloé Torres, directeur du département Informatique et Libertés du Cabinet Alain Bensoussan - Avocats, vous donne toutes les clefs pour être en règle.
Acuité : Quelles sont les obligations des opticiens vis-à-vis de la Cnil et de leurs clients ?
Chloé Torres : Les opticiens sont responsables de traitement au sens de la loi Informatique et Libertés. Ils sont donc tenus à six principales obligations :
1-Déclarer à la Cnil le type de données collectées dans le cadre de son activité (base de données clients, fichier de prospects...) et la finalité de leur traitement.
2-Informer les clients ou prospects de leurs droits, en indiquant, par une mention dans le magasin ou sur les devis : le nom de la société, la finalité du traitement et les destinataires des informations. Il faut aussi leur préciser qu'ils bénéficient d'un droit d'accès et de rectification.
3-Expliquer aux clients et prospects comment exercer leur droit d'accès et de rectification des informations qui les concernent.
4-Obtenir le consentement express du client pour la collecte et le traitement de ses données de santé. Il peut apposer une mention particulière sur les devis.
5-Conserver dans un délai de temps adéquat les données clients. On ne peut pas garder des données ad vitam æternam. Il existe un droit à l'oubli.
6-Assurer la sécurité des données. L'opticien doit veiller à ce qu'elles ne puissent pas être endommagées, déformées ou accessibles par des tiers non-autorisés.
A : Comment déclarer ses fichiers et à quel moment ?
C.T. : La Cnil a établi pour les opticiens une déclaration simplifiée. On la trouve directement sur le site www.cnil.fr sous le nom de « norme simplifiée n°54 » (pour en savoir plus, cliquez ici). Là, ils peuvent établir en ligne un engagement de conformité à cette norme. Cette obligation doit être remplie avant la mise en oeuvre d'un traitement. Mais la Cnil admet en principe les régularisations. La pratique montre que le risque de sanction est très faible pour un opticien qui n'a jamais déclaré ses fichiers mais souhaite le faire aujourd'hui.
A : Comment s'effectuent les contrôles et quelles sont les éventuelles sanctions ?
C.T. : Le nombre de contrôles réalisés par la Cnil augmente : 385 en 2011 et probablement plus de 400 d'ici fin 2012. Souvent lancés à la suite de plaintes de consommateurs, ils peuvent déboucher sur une sanction financière ou administrative sous forme d'avertissement public. Dans ses fichiers clients, il faut faire particulièrement attention aux zones de commentaires libres et éviter toute donnée contraire à la dignité humaine ou propos diffamatoires, jugements de valeurs... Les sanctions peuvent aller d'une contravention de 1 500 euros par infraction constatée à 5 ans d'emprisonnement et 300 000 euros d'amende. Mais les sanctions pénales restent aujourd'hui théoriques.
A : Outre les sanctions, quels sont les autres risques ?
C.T. : Ils sont liés à l'image de marque. Si des violations sont constatées, la Cnil peut publier un avertissement public. De plus, être conforme à loi constitue un argument de différenciation par rapport à la concurrence et un vrai gage de qualité et de confiance à l'égard des clients. Un correspondant Informatique et Libertés peut être désigné au sein du magasin.
A : La Cnil fait-elle une différence entre données numériques et données papier ?
C.T. : Depuis la réforme de 2004, la loi Informatique et Libertés s'applique aussi bien au traitement numérique qu'au traitement papier. Seule différence : les traitements papier n'ont pas à faire l'objet de déclaration auprès de la Cnil. Les autres principes fondamentaux restent valables.
A : Quid de l'anonymisation des données et de la légalité des transmissions entre les complémentaires santé et l'opticien ?
C.T. : Au sens de la loi Informatique et Libertés, l'anonymisation impliquerait que les informations ne permettent jamais, directement ou indirectement, de remonter vers une personne physique. Mais pour traiter les demandes de prise en charge, il est nécessaire de lier les devis à une personne physique. Par contre, il n'est pas obligatoire de transmettre toutes les données mais seulement celles qui sont pertinentes par rapport à la finalité du traitement. L'opticien ne sera pas responsable des déviances engendrées par une transmission de données de santé. Si l'assureur regroupe ces informations avec sa propre base client, il s'agit d'un détournement de finalité pour faire de la segmentation ou du scoring sur certaines données. Il peut certes le faire, mais dans un cadre précis soumis à un autre régime.
Cette question de l'anonymisation des données de santé fait débat dans notre secteur. Pour voir ou revoir notre plateau TV du Silmo 2012, "Les Ocam sont-ils hors la loi en exigeant vos données clients ?", cliquez ici.
Profession