Se connecter

RGPD : le maîtriser pour ne pas le craindre

Crédit photo @ Thapana_Studio - stock.adobe.com
Vous traitez chaque jour une multitude de données personnelles au sein de votre structure vétérinaire. Qu’elles concernent vos collègues, vos clients ou encore vos fournisseurs, ces données personnelles sont protégées et des procédures doivent être mises en place afin de vous assurer de respecter le Règlement Général de Protection des Données, communément appelé RGPD.

Cet acronyme peut vous sembler totalement étranger ou vous dire vaguement quelque chose. Ce qui est sûr en revanche, c'est qu’en cas de non-respect des règles du RGPD, le montant des sanctions peut s’élever jusqu’à 4 % du chiffre d’affaires annuel de votre structure ou 20 millions d’euros. Voilà de quoi vous motiver à vous mettre en conformité si ce n'est déjà fait !

Le RGPD : notions de base

Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne (UE). Il est entré en application le 25 mai 2018.

Il s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Il renforce les règles sur la collecte et l’utilisation des données sur le territoire français.

Il permet également d’harmoniser les règles en Europe en offrant un cadre juridique unique aux professionnels. Il concerne bien évidemment les structures vétérinaires et les vétérinaires qui exercent en libéral quels que soient leur taille ou encore leur secteur d’activité...

Une donnée à caractère personnel (ou DCP) est définie comme étant toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement.

Nom, prénom, adresse, numéros de téléphone, situation familiale, adresse IP, coordonnées bancaires, données des animaux possédés… sont autant d’informations qui peuvent être rattachées directement à une personne et qui sont donc considérées comme des données personnelles.

Ces données sont traitées et manipulées chaque jour selon divers procédés : appels clients, établissement de factures, envoi de mails, collecte par le biais d’un formulaire, gestion des fiches de payes, tenue du registre des fournisseurs...

Le traitement des données personnelles n’est  pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Enfin, il se peut que ces données soient traitées en interne ou en externe, par un sous-traitant. Mais quoi qu’il en soit, il y aura toujours un responsable de traitement (il en faut toujours un !) qui détermine la finalité du traitement des données et qui veille à ce qu’une bonne application du RGPD soit faite.

Les 6 bases légales du RGPD

Les données personnelles doivent impérativement être collectées de manière consciente et pour viser un objectif précis (et reconnu comme étant légal par le RGPD).

Les 6 bases légales prévues par le RGPD sont : le consentement, l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux, la mission d’intérêt public et l’intérêt légitime.

Un même traitement peut reposer sur plusieurs bases légales, mais une seule suffit à justifier légalement la collecte et le traitement des DCP.

  1. Le consentement préalable de la personne physique ;
  2. L’exécution d’un contrat avec la personne physique concernée ;
  3. Une obligation légale à laquelle le responsable du traitement est soumis ;
  4. La protection des intérêts vitaux de la personne concernée ;
  5. La réalisation d'une mission d’intérêt public ;
  6. Aux fins des intérêts légitimes poursuivis par le responsable du traitement, sauf atteinte aux libertés et droits fondamentaux des personnes.

Parlons consentement...

Sachez tout d'abord que le consentement n’est pas obligatoire. En effet, comme nous l’avons vu plus haut, celui-ci ne constitue que l’une des 6 bases légales du RGPD... Si la finalité de votre traitement de DCP repose sur une ou plusieurs des 5 autres bases légales, alors vous êtes en règle !

"Dans la pratique, il n'y a donc pas besoin d'obtenir le consentement des personnes pour récolter des DCP afin d'établir une facturation, une ordonnance, un bulletin de salaire... De plus, la loi autorise d'utiliser les DCP d'un client pour lui proposer des offres de service proches de celles qu'il a déjà̀ souscrite, et ce pendant un délai de 3 ans après l'achat. Les rappels de vaccins ou de suivi s'inscrivent naturellement dans cette ligne (à condition cependant que le client ait été informé – voir plus loin). Ils reposent sur la notion des "intérêts légitimes du responsable de traitement". 

Pour tous les autres traitements, le consentement préalable est nécessaire. Pour une structure vétérinaire, ce peut être l'envoi de newsletter, de publicités par la poste, l'incitation à souscrire des services supplémentaires, ou encore le transfert des données à un tiers, dont par exemple un vétérinaire référent." [1]

Même si cela peut paraître contraignant, essayez, dans la mesure du possible, de récolter le consentement, quand il est nécessaire, par écrit. Comme, par exemple, pour l’envoi de données à un tiers, pour l’inscription à l’envoi de SMS/newsletters ou encore si la personne n’est pas encore cliente (prospect).

Même chose si vous disposez d’un site Internet avec espace personnel et/ou formulaire de contact et/ou si vous procédez à l’envoi de newletters. Informez clairement les internautes en amont et n’oubliez pas de prévoir la mise en place des Opt-in et Opt-out.

  • Opt-in : consentement donné pour recevoir une newsletter, des SMS...

  • Opt-out : opposition à l'envoi de nouvelles communications.

En effet, même si la personne concernée a consenti au traitement de ses données, elle peut à tout moment exercer ses droits d’accès, de rectification, d’effacement, de limitation ou d’opposition au traitement, d’opposition au transfert et de portabilité. Et elle doit en être informée clairement...

Étape 1 : recenser

Vous devez dans un premier temps recenser les données personnelles collectées et réfléchir à la bonne utilisation de celles-ci. Dans quel but sont-elles collectées et par qui ? Ces données peuvent concerner vos clients, vos collègues ou encore vos fournisseurs.

Il existe 3 types de DCP : les DCP classiques, les DCP à risques et enfin les DCP sensibles. Ces dernières correspondent à des informations très personnelles, telles que l'état de santé, l'orientation sexuelle, l'appartenance religieuse ou encore l'orientation politique. En tant que structure vétérinaire, vous ne devez en aucun cas être détenteur de données sensibles.

Étape 2 : traiter 

Afin de structurer votre démarche et de vérifier que vous êtes bien en règle, vous allez devoir établir 2 voire 3 fiches de traitement : une pour vos clients, une pour les salariés de votre structure et éventuellement une pour vos fournisseurs. Ces fiches vous permettront d’avoir une vue d’ensemble des données personnelles collectées et de l’utilisation qui en est faite. Vous pouvez également tenir une fiche de registre de traitement par activité de traitement.

La CNIL met à votre disposition un modèle de fiche de registre de traitement sur son site Internet. Il devra bien évidemment être adapté à votre structure mais il vous permettra d’y voir un plus clair.

Pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

  • le nom et les coordonnées du responsable du traitement ;
  • les objectifs poursuivis : facturation client, relances, suivi de dossiers, prospection, fiches de paies... ;
  • les catégories de personnes concernées : client, prospect, employé... ;
  • les catégories de données personnelles : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation... ;
  • les catégories de destinataires auxquelles les données à caractère personnel ont été ou seront communiquées : hébergeur de site Internet, comptable, URSSAF, I-cad... ;
  • les transferts de données à caractère personnel hors de l’UE ;
  • les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer.

Légalement, les données d’un client ne peuvent être utilisées à des fin de prospection que pendant 3 ans après la dernière transaction. Mais vous comprendrez que ça n’a pas de sens de supprimer le dossier médical au bout de 3 ans. Vous pouvez donc mentionner dans cette case : " Conservation jusqu’à demande de suppression ou obsolescence" .

  • les mesures de sécurité prévues pour préserver la confidentialité des données : accès des utilisateurs, traçabilité, protection des logiciels, sauvegardes... [2]

Étape 3 : protéger et sécuriser

Vous devez vous assurer que les données sont protégées, en préserver l’intégrité et la confidentialité. Pour ce faire, vous devez mettre en oeuvre des mesures techniques (éventuellement avec un prestataire informatique) ainsi que des procédures internes pour assurer la protection de ces données.

Si vous travaillez avec des sous-traitants (comptable, informaticien...), vous devez également vous assurer qu'il sécurisent correctement de leur côté les DCP traitées et respectent le RGPD.

En cas de piratage, de perte, ou de tout autre incident concernant les données personnelles, faites une déclaration au CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Mieux vaut prévenir que guérir. Essayez de minimiser au maximum vos risques de pertes de données et de piratage : antivirus puissants, logiciels de traitement à jour, mots de passe complexes (et changés régulièrement).

Étape 4 : informer

Le maître mot ? Transparence ! C’est un conseil que l’on vous donne mais c’est aussi et surtout une obligation légale définie aux articles 12, 13 et 14 du RGPD... Soyez honnêtes avec vos clients, vos salariés et vos fournisseurs.

Affichez vos règles en matière de sécurité de traitement de données au dos de vos factures, en salle d’attente, dans les salles de consultation et sur votre site Internet, si vous en avez un.

Pour vous aider à rédiger votre politique de confidentialité, vous pouvez chiner sur les sites internet de vos confrères afin de vous inspirer de ce qu’ils font. Si, si, c’est autorisé... car on a bien dit inspirer et non copier Sachez également que vous pouvez trouver sur la toile des générateurs de politiques de confidentialité. Attention toutefois à les adapter à votre secteur d'activité, si nécessaire.

Si vous souhaitez être parfaitement en règle, vous pouvez également faire appel à un avocat spécialisé. Vous devrez pour cela compter entre 500 et 1000  HT.

Et enfin, bonne nouvelle : si votre site internet vous est fourni par une plateforme, il y a fort à parier que ce document est déjà rédigé pour vous et accessible. Ceci étant dit, nous vous conseillons fortement de le relire au cas où il ne serait pas adapté à votre structure.


L’objectif de cet article n’est pas de faire de vous des experts du RGPD, mais plutôt de vous sensibiliser à l’importance du respect des données personnelles. Si RGPD, DCP et fiches de traitement n’ont déjà plus aucun secret pour vous, félicitations ! Mais si c’est la première fois que vous en entendez parler, alors il est grand temps de remonter vos manches afin de vous mettre en règle. Et puis, après tout, vous n’êtes plus à une démarche administrative près...

 

Stéphanie Patiny,
Community manager

 

Ressources documentaires et bibliographiques :

[1] Christophe Lebis, Le Règlement général de protection des données (RGPD) : application à la clinique vétérinaire, 2019, [En ligne] Disponible sur : https://afvac.com/images/documents/groupes/GERM/GERM-le-RGPD-applique-a-la-clinique.pdf [Consulté le : 25 septembre 2023] 

[2] CNIL – Le registre des activités de traitement [En ligne] Disponible sur : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement [Consulté le : 25 septembre 2023] 

 

La rédaction vous conseille

 

La newsletter qui décrypte le monde vétérinaire autrement

Pour les vétérinaires curieux qui n'ont pas le temps de l'être : tous les mois, des articles, des histoires, des jobs et des conseils qui donnent le sourire.

Avenir de la profession

Presse vétérinaire

Div qui contient le message d'alerte
Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire
Mot de passe oublié

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ?

Contactez le service client abonnements@info6tm.com - 01.40.05.23.15