Vous êtes ici

Nouvelles règles concernant la protection des données

Nouvelles règles concernant la protection des données

05/02/2018
La GDPR (General Data Protection Regulation) La General Data Protection Regulation (GDPR) est un ensemble de règles, publiées le 4 mai 2016, afin de mieux protéger les données des citoyens européens. Il s'agit d'une révision de la législation européenne de 1995, découlant de la nécessité de modernisation pour faire face aux évolutions comme le cloud et les média sociaux. La GDPR consiste en un cadre légal, obligatoire pour l'Europe entière, et applique des normes plus strictes pour le traitement des données.

Ces nouvelles règles s'appliquent à partir du 25 mai 2018 à toutes les entreprises qui collectent et manipulent des données à caractère personnel. A partir de cette date, ces données ne peuvent être collectées que moyennant l'autorisation de la personne et elles doivent être traitées avec le respect de la vie privée et la protection des données. Certaines entreprises seront obligées de désigner un data protection officer, qui examinera la manière de traiter les données, les systèmes utilisés et qui rendra des conseils sur les adaptations éventuelles.

Les renouvellements principaux de la GDPR consistent en 4 points:

  • Transparence

Les entreprises doivent informer les citoyens sur la manière de rassembler les données et leur traitement, et cela de façon compréhensible.

  • Transmission des données

Les citoyens doivent pouvoir transférer leurs données d'un prestataire de service à un autre.

  • Droit d'être oublié

Les entreprises doivent pouvoir supprimer les données à la demande de la personne concernée, même si les données ont été communiquées à des tiers (p.e. direct mailing).

  • Déclaration obligatoire des fuites de données

Les entreprises sont obligées de rapporter les fuites de données endéans les 72 heures, sauf s'il peut être prouvé que la fuite ne constitue pas un danger pour les données collectées à caractère personnel.

Qui est concerné par cette nouvelle règlementation?

La GDPR à un champ d'application très large: tous les acteurs du secteur optique sont concernés dès qu'ils traitent, pour leur propre compte ou pour celui de tiers, des données à caractère personnel.

Art. 1 GDPR: “toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»), est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”

Le règlement consacre le principe de l'auto-responsabilité et déporte la charge de l'obligation de conformité sur les responsables de traitement des données à caractère personnel. En cas de contrôle, les acteurs devront pouvoir démontrer les mesures techniques et organisationnelles développées et, en cas de non-respect, les sanctions administratives sont considérables!

Toutes les formalités valables jusqu'à ce moment seront remplacées par un registre, reprenant toutes les données à caractère personnel. Ce registre devra reprendre obligatoirement certains éléments:

  • Le nom et les coordonnées du responsable du traitement (le gérant pour un indépendant) et le cas échéant du conjoint responsable du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
  • La finalité du traitement (gestion de la clientèle, la gestion des fournisseurs, statistiques,...);
  • La description des catégories de personnes concernées (clients et prospects, fournisseurs, professionnels des soins de santé) et des catégories de données à caractère personnel (l’identité des personnes, facturation, historique des achats, données de santé);
  • Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (fournisseurs, sécurité sociale, professionnels de la santé,...);
  • Délais prévus pour la suppression des différentes catégories de données (5 ans avec une durée d'archivage de 15 ans);
  • Description générale des mesures de protection technique et organisationnelles...

Le registre est obligatoire pour toutes les entreprises avec plus de 250 employés, mais également pour les opticiens, parce qu'ils traitent des données qui peuvent éventuellement comporter un risque pour les droits et les libertés des porteurs, dans le cadre des catégories visées à l’art. 9, § 1 du règlement où sont citées les données de santé.

Ils devront également nommer, si les conditions le requièrent ou s’ils en font le choix, un DPO (Délégué à la Protection des Données).

Lorsqu'ils appliquent le règlement du tiers payant, les opticiens devront vérifier si l'assuré a autorisé de manière explicite la collecte et le traitement de ses données (y compris les données de santé) aux plateformes de santé et qu'il est en mesure à tout moment de retirer son consentement.

Le client maintient le droit de recevoir de l'info, d'avoir accès à ses données, de les rectifier ou de s'opposer à leur traitement. Le client pourra demander à son opticien de transmettre ses données à un autre opticien.