Newsletter
Se connecter
S'abonner
Se connecter
e-ASV

Le RGPD en 10 minutes chrono

Publié le : Par : Stéphanie Patiny Lecture : 13 min.

Crédit photo @ Jérôme Rommé - stock.adobe.com
Dans votre structure, vous traitez chaque jour, parfois même sans vous en rendre compte, une multitude de données personnelles. Qu’elles concernent vos collègues, vos clients ou encore vos fournisseurs, ces données personnelles sont protégées et des procédures doivent être mises en place afin de vous assurer de respecter le Règlement Général de Protection des Données, communément appelé RGPD.

Cet acronyme vous est totalement étranger ? Alors lisez cet article jusqu’au bout ! En effet, il est très important que vous compreniez de quoi il s’agit car sachez qu’en cas de non-respect, le montant des sanctions peut s’élever jusqu’à 4 % du chiffre d’affaires annuel de la structure ou 20 millions d’euros. Nous sommes à présents sûrs d’avoir toute votre attention !

Qu’est-ce que le RPDG ?

Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne (UE). Il est entré en application le 25 mai 2018.

Il s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Il renforce les règles sur la collecte et l’utilisation des données sur le territoire français.

Il permet également d’harmoniser les règles en Europe en offrant un cadre juridique unique aux professionnels. Il concerne bien évidemment les structures vétérinaires quels que soient leur taille ou encore leur secteur d’activité...

De quoi parle-t-on ?

Une donnée à caractère personnel (ou DCP) est définie comme étant toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement.

Nom, prénom, adresse, numéros de téléphone, données des animaux possédés… sont autant d’informations qui peuvent être rattachées directement à une personne et qui sont donc considérées comme des données personnelles.

Ces données sont traitées et manipulées chaque jour selon divers procédés : appels clients, établissement de factures, envoi de mails, collecte par le biais d’un formulaire, gestion des fiches de payes, tenue du registre des fournisseurs...

Le traitement des données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Enfin, il se peut que ces données soient traitées en interne ou en externe, par un sous-traitant. Mais quoi qu’il en soit, il y aura toujours un responsable de traitement (il en faut toujours un !) qui détermine la finalité du traitement des données et qui veille à ce qu’une bonne application du RGPD soit faite.

Les 6 bases légales du RGPD

Les données personnelles doivent impérativement être collectées de manière consciente et pour viser un objectif précis (et reconnu comme étant légal par le RGPD).

Les 6 bases légales prévues par le RGPD sont : le consentement, l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux, la mission d’intérêt public et l’intérêt légitime.

Un même traitement peut reposer sur plusieurs bases légales, mais une seule suffit à justifier légalement la collecte et le traitement des DCP.

  1. Le consentement préalable de la personne physique ;
  2. L’exécution d’un contrat avec la personne physique concernée ;
  3. Une obligation légale à laquelle le responsable du traitement est soumis ;
  4. La protection des intérêts vitaux de la personne concernée ;
  5. La réalisation d'une mission d’intérêt public ;
  6. Aux fins des intérêts légitimes poursuivis par le responsable du traitement, sauf atteinte aux libertés et droits fondamentaux des personnes.

Parlons consentement...

Tout d’abord, sachez que le consentement n’est pas obligatoire (ah bon ???). En effet, comme nous l’avons vu plus haut, celui-ci ne constitue que l’une des 6 bases légales du RGPD... Si la finalité de votre traitement de DCP repose sur une ou plusieurs des 5 autres bases légales, alors vous êtes en règle !

"Dans la pratique, il n'y a donc pas besoin d'obtenir le consentement des personnes pour récolter des DCP afin d'établir une facturation, une ordonnance, un bulletin de salaire... De plus, la loi autorise d'utiliser les DCP d'un client pour lui proposer des offres de service proches de celles qu'il a déjà̀ souscrite, et ce pendant un délai de 3 ans après l'achat. Les rappels de vaccins ou de suivi s'inscrivent naturellement dans cette ligne (à condition cependant que le client ait été informé – voir plus loin). Ils reposent sur la notion des "intérêts légitimes du responsable de traitement. 

Pour tous les autres traitements, le consentement préalable est nécessaire. Pour une structure vétérinaire, ce peut être l'envoi de newsletter, de publicités par la poste, l'incitation à souscrire des services supplémentaires, ou encore le transfert des données à un tiers, dont par exemple un vétérinaire référent." [1]

" Verba volant, scripta manent. "

Comme le disait très justement Horace : " Les paroles s'envolent, les écrits restent ". Même si cela peut paraître contraignant, essayez, dans la mesure du possible, de récolter le consentement, quand il est nécessaire, par écrit. Comme, par exemple, pour l’envoi de données à un tiers, pour l’inscription à l’envoi de SMS/newsletters ou encore si la personne n’est pas encore cliente (prospect).

Même chose si vous disposez d’un site Internet avec espace personnel et/ou formulaire de contact et/ou si vous procédez à l’envoi de newletters. Informez clairement les internautes en amont et n’oubliez pas de prévoir la mise en place des Opt-in et Opt-out.

  • Opt-in : consentement donné pour recevoir une newsletter, des SMS..

  • Opt-out : opposition à l'envoi de nouvelles communications.

En effet, même si la personne concernée a consenti au traitement de ses données, elle peut à tout moment exercer ses droits d’accès, de rectification, d’effacement, de limitation ou d’opposition au traitement, d’opposition au transfert et de portabilité. Et elle doit en être informée clairement...

Par où commencer ?

Choisissez au sein de votre structure une personne responsable de la bonne application des règles en matière de DCP. Quelqu’un qui pourra vérifier la bonne exécution de la collecte des données personnelles et de leur traitement.

Cette personne devra :

  • Tenir un registre des traitements qui définira clairement les données traitées, dans quel but et par qui ;
  • S’assurer que les données sont protégées, en préserver l’intégrité et la confidentialité ;
  • Mettre en place des supports d’information pour les clients (et collègues) sur l’utilisation de leur DCP et les informer de leurs droits ;
  • S’assurer que les sous-traitants sécurisent également de leur côté les DCP traitées et respectent le RGPD (comptable, informaticien…) ;
  • Déclarer au plus vite les éventuels incidents au CNIL (fuite de données, piratage...).

Mise en œuvre concrète : établir des fiches de registre de traitement

La première étape est de s’asseoir, respirer... et réfléchir.

Afin de structurer votre démarche et de vérifier que vous êtes bien en règle, vous allez devoir établir 2 voire 3 fiches de traitement : une pour vos clients, une pour les salariés de votre structure et éventuellement une pour vos fournisseurs. Ces fiches vous permettront d’avoir une vue d’ensemble des données personnelles collectées et de l’utilisation qui en est faite. Vous pouvez également tenir une fiche de registre de traitement par activité de traitement.

La CNIL met à votre disposition un modèle de fiche de registre de traitement sur son site Internet. Il devra bien évidemment être adapté à votre structure mais il vous permettra d’y voir un plus clair.

Pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

  • le nom et les coordonnées du responsable du traitement ;
  • les objectifs poursuivis : facturation client, relances, suivi de dossiers, prospection, fiches de paies... ;
  • les catégories de personnes concernées : client, prospect, employé... ;
  • les catégories de données personnelles : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation... ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées : hébergeur de site Internet, comptable, URSSAF, I-cad... ;
  • les transferts de données à caractère personnel hors de l’UE ;
  • les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer.

Légalement, les données d’un client ne peuvent être utilisées à des fin de prospection que pendant 3 ans après la dernière transaction. Mais vous comprendrez que ça n’a pas de sens de supprimer le dossier médical au bout de 3 ans. Vous pouvez donc mentionner dans cette case : " Conservation jusqu’à demande de suppression ou obsolescence" .

  • les mesures de sécurité prévues pour préserver la confidentialité des données : accès des utilisateurs, traçabilité, protection des logiciels, sauvegardes... [2]

Aller plus loin : rédiger une politique de gestion des données

Le maître mot ? Transparence ! C’est un conseil que l’on vous donne mais c’est aussi et surtout une obligation légale définie aux articles 12, 13 et 14 du RGPD... Soyez honnêtes avec vos clients, vos salariés et vos fournisseurs.

Affichez vos règles en matière de sécurité de traitement de données au dos de vos factures, en salle d’attente, dans les salles de consultation et sur votre site Internet, si vous en avez un. Pas de panique, ce document ne devrait pas vous prendre trop de temps car il se base presque intégralement sur vos fiches de traitement des données. Vous pouvez également aller chiner sur les sites internet de vos confrères afin de vous inspirer de ce qu’ils font. Si, si, c’est autorisé... car on a bien dit inspirer et non copier !

L’objectif de cet article n’est pas de faire de vous des experts du RGPD (sinon on vous garderait encore quelques heures...), mais plutôt de vous sensibiliser à l’importance du respect des données personnelles. Si RGPD, DCP et fiches de traitement n’ont déjà plus aucun secret pour vous, félicitations ! Mais si c’est la première fois que vous en entendez parler, alors il est grand temps de remonter vos manches et d’en toucher un mot au responsable de votre structure afin de vous mettre en règle. Et puis, après tout, vous n’êtes plus à une démarche administrative près...

 

Stéphanie Patiny,
Community manager

 

Ressources documentaires et bibliographiques :

[1] Christophe Lebis, Le Règlement général de protection des données (RGPD) : application à la clinique vétérinaire, 2019, [En ligne] Disponible sur : https://afvac.com/images/documents/groupes/GERM/GERM-le-RGPD-applique-a-la-clinique.pdf [Consulté le : 25 septembre 2023] 

[2] CNIL – Le registre des activités de traitement [En ligne] Disponible sur : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement [Consulté le : 25 septembre 2023] 

 

La rédaction vous conseille

 

La newsletter qui décrypte le monde vétérinaire autrement

Pour les ASV curieux qui n'ont pas le temps de l'être : tous les mois, des articles, des histoires, des jobs et des conseils qui donnent le sourire.

l'auxigène'
Je m'abonne à la newsletter ASV

e-ASV

Presse ASV

Div qui contient le message d'alerte
Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire
Mot de passe oublié

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ?

Contactez le service client abonnements@info6tm.com - 01.40.05.23.15