Que ce soit en lien avec les Ocam, les réseaux de soins ou bien vos fournisseurs, vous traitez chaque jour les données personnelles de vos clients. Si jusqu’ici une simple déclaration préalable à la Cnil vous assurait d’être en règle, une nouvelle réglementation européenne va venir rapidement chambouler la gestion des données personnelles en magasin. Décryptage avec Maître Cécile Vernudachi, avocate au Barreau de Paris spécialisée en droit des affaires.
Acuité : Qu’est-ce que le RGPD ?
Maître Cécile Vernudacchi : Le RGPD est l’acronyme signifiant « Règlement Général sur la Protection des Données »[1]. Cette nouvelle réglementation, adoptée par le Parlement le 27 avril 2016, modifie le cadre juridique de la protection des données personnelles au sein de l’Union Européenne. La nature du texte, d’application immédiate et sans transposition dans le droit national, est justifiée par une volonté d’harmoniser au maximum le régime juridique des données à caractère personnel. Sous réserve de certaines exceptions, notamment en matière de données de santé, le texte a donc vocation à s’appliquer de la même manière partout en Europe, avec l’ambition d’offrir lisibilité et sécurité juridique aux entreprises traitant des données personnelles, en même temps que renforcer les droits des personnes et des citoyens.
A. : Opticiens, Ocam, fabricants... Qui est concerné ?
Me C.V. : Le RGPD couvre un champ d’application très large : tous les acteurs du secteur de l’optique sont concernés, du professionnel de santé en passant par les Ocam, les plateformes, concentrateurs de flux et le régime obligatoire, les fournisseurs, dès lors qu’ils manipulent – pour leur compte propre ou celui d’un tiers – des données à caractère personnel. Est considérées comme telle, « toute information se rapportant à une personne physique identifiée ou identifiable ».
Article 4.1 du règlement ; identifiable signifie « une personne physique est qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro de téléphone, un numéro d'identification ou de sécurité sociale, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». |
Il faut bien comprendre que le règlement consacre le principe de l’auto-responsabilité et déporte la charge de l’obligation de conformité (et la charge de travail corrélative) sur les responsables de traitement et sous-traitants de données personnelle. Finies les formalités préalables, la Cnil n’intervenant désormais plus en amont mais a posteriori lors de contrôles – dont on peut imaginer qu’ils seront renforcés.
En contrepartie, les acteurs devront être capables de démontrer quelles mesures techniques et organisationnelles ils ont mis en place, et d’autre part, les sanctions administratives sont considérablement renforcées : jusqu’à 10M€ ou 2% du CA total mondialisé et même jusqu’à 20M€ ou 4 % du CA total mondialisé pour les infractions les plus graves.
A. : Quelles sont donc les nouvelles obligations pour les opticiens ?
Me C.V. : Concrètement, à partir de mai 2018, en tant que responsables de traitement, (c’est-à-dire qui déterminent la finalité du traitement et ses moyens), les opticiens n’auront plus à faire de déclarations auprès de la Cnil : par exemple, pour ce qui concerne la gestion de leur fichier client, l'édition des feuilles de soins et télétransmission aux Ocam, la gestion des fournisseurs, la traçabilité des produits, la gestion des prospects, les enquêtes de satisfaction, l'établissement de statistiques (...) auparavant déclarés via la norme simplifiée n°54 ou déclaration normale.
Ces formalités préalables seront remplacées par la tenue d’un registre recensant l’ensemble des traitements de données à caractère personnel qui devra obligatoirement mentionner un certain nombre d’éléments :
- nom et coordonnées du responsable du traitement (le gérant du magasin pour un indépendant) et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- finalités du traitement (gestion de la clientèle, gestion des fournisseurs, pratique du tiers payant et télétransmission, gestion des prospects, statistiques et enquêtes de satisfaction...) ;
- description des catégories de personnes concernées (les clients et prospects, les fournisseurs, les professionnels de santé) et des catégories de données à caractère personnel (l’identité des personnes, facturation, historique des achats, données de santé);
- catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (fournisseurs, plateformes de service, Ocam, sécurité sociale, professionnels de santé, ) ;
- délais prévus pour l'effacement des différentes catégories de données (5 ans avec une durée d’archivage de 15 ans) ;
- description générale des mesures de sécurité techniques et organisationnelles...
Le registre est obligatoire pour les entreprises de plus de 250 salariés mais aussi pour les opticiens, car ils effectuent un traitement des données susceptible de comporter un risque pour les droits et des libertés des porteurs, dans le cadre des catégories de données visées à l'article 9, paragraphe 1 du règlement où sont citées les données de santé.
Ils devront également nommer, si les conditions le requièrent ou s’ils en font le choix, un Délégué à la Protection des Données (Data Protection Officer ou DPO). Cette personne sera chargée de veiller à la bonne application du règlement. De manière générale il me semble que les têtes d’enseigne devraient avoir un rôle sur ces sujets auprès de leurs affiliés, voire même proposer des services de DPO mutualisé par exemple.
Les opticiens devront aussi s’assurer, lorsqu’ils pratiquent le tiers payant, que l’assuré a consenti expressément au recueil et au transfert de ses données (incluant des données de santé) aux plateformes de santé ou aux opérateurs de tiers payant, et qu’il est en mesure à tout moment de retirer son consentement. Le recueil du consentement était déjà imposé par la plupart des plateformes aux opticiens, en vertu d’une convention. Le nouveau règlement impose désormais aux sous-traitants de données (ici les opticiens) un rôle d’alerte, d’information et de conseil auprès du responsable du traitement (les plateformes/Ocam), susceptible de sanctions.
A. : Qu’est-ce qui change pour les clients ?
Me C.V. : Les clients continuent à bénéficier du droit d’être informés, d’accéder à leurs données, de les rectifier ou de s’opposer à leur traitement. D’autres prérogatives sont ajoutées par le règlement telles que, entre autres, le droit à la portabilité des données (droit de récupérer ses données ou de demander de les transférer à un autre responsable de traitement, dans un format standard). Cette question va sans doute poser des difficultés pratiques tant sur le contenu du transfert que dans ses modalités techniques. En pratique, chaque client pourrait demander à son opticien de transmettre ses données à un autre opticien. Sans entrer dans les détails, le règlement ajoute aussi un droit à la limitation du traitement et un droit à l’effacement.
Aussi, le principe de transparence est inscrit dans la nouvelle réglementation : à ce titre, par exemple, les mentions d’information portées à la connaissance du client devront indiquer les coordonnées du DPO s’il y en a un, le fondement juridique du traitement (un contrat ?), le consentement du client et l’intérêt légitime du responsable du traitement. Enfin, le délai de réponse en cas de demande d’accès, de modification ou de suppression des données le concernant est réduit à 1 mois, contre 2 actuellement.
A. : Quel calendrier d’application ?
Me C.V. : Le règlement est entré en vigueur le 25 mai 2016 mais sa date d’application est fixée au 25 mai 2018, pour laisser le temps aux acteurs de se mettre en conformité. En France il est prévu que la loi informatique et libertés soit amendée ; un projet de loi devait être déposée le 30 juin dernier mais cela n’a pas été le cas.
Il demeure certaines zones de flou dans l’application concrète du règlement, aussi certaines dispositions font déjà ou feront l’objet de précisions de la part du G29 (groupe des Cnil européennes). En France, la Cnil propose son sur site des « outils » et va publier au 2e semestre 2017 des contenus spécifiques à destination des PME/TPE. Quoi qu’il en soit, tous les acteurs du secteur privé ou public devront être en conformité avec le règlement au 25 mai 2018 et il est déconseillé de penser que la Cnil attendra avant d’effectuer des contrôles.
