Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
DOSSIER
Auteur(s) : FABRICE JAFFRÉ
LE RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES (RGPD) S’APPLIQUE AUX VÉTÉRINAIRES QUI EXERCENT EN LIBÉRAL, PUISQU’ILS COLLECTENT ET TRAITENT DES DONNÉES À CARACTÈRE PERSONNEL. DE NOMBREUSES MESURES DOIVENT ÊTRE MISES EN PLACE, AU-DELÀ DU REGISTRE DES TRAITEMENTS. QUELLES SONT-ELLES ? ET PAR QUOI COMMENCER ? EXPLICATIONS.
La plus connue des mesures obligatoires du règlement européen sur la protection des données (RGPD) est la tenue d’un registre, qui doit lister l’ensemble des traitements de données à caractère personnel du cabinet vétérinaire. Un traitement est une opération portant sur les données : une collecte, une extraction, une transmission, mais aussi une simple consultation, et même l’opération de suppression. Il faut créer dans ce registre une fiche par traitement recensé. Chaque traitement a obligatoirement au moins une finalité (autrement dit ce pour quoi on le réalise), mais on pourra également regrouper plusieurs finalités proches. Par exemple, une fiche “Gestion informatisée du cabinet” pourra rassembler les finalités “Gestion des clients”, “Gestion des animaux”, “Édition des ordonnances”, “Gestion des règlements”, etc. Rien n’empêche cependant de distinguer plus finement chaque finalité (pourquoi pas en créant une fiche spécifique concernant l’agenda en ligne ou le contentieux), à chacun de procéder selon sa sensibilité. Mais bien entendu, plus il y a de fiches, plus la mise à jour prendra du temps. En revanche, il est fortement conseillé de réaliser une fiche spécifique pour les traitements “à risque”, comme la vidéosurveillance ou la téléconsultation. On n’oubliera pas non plus les traitements des données des salariés de l’entreprise (une fiche “Gestion du personnel” pourra être créée) ni celui lié aux… obligations imposées par le RGPD (demandes d’exercice de droit par les personnes concernées).
Le registre, outre la ou les finalités, doit préciser les catégories de personnes concernées (par exemple, les clients), les catégories de données à caractère personnel, les destinataires internes ou externes (le prestataire informatique, le laboratoire d’analyse, etc.), le transfert éventuel de données hors de l’Union européenne (notamment si la newsletter est routée par un prestataire situé aux États-Unis) et, dans la mesure du possible, les mesures de sécurité mises en place (chiffrement, sauvegarde, accès par identification forte, etc.), ainsi que la durée de conservation (qui doit être obligatoirement définie et minimale tout en respectant les durées de conservation légales éventuelles).
La base légale (appelée aussi “base juridique” ou “fondement juridique”) définit le droit (ou parfois l’obligation) de mettre en place le traitement. Même s’il n’est pas obligatoire de la faire figurer dans le registre, c’est une bonne pratique, d’autant plus que sa mention est exigée dans les informations à délivrer aux personnes (par exemple, dans l’affichage de la salle d’attente ou dans la page “Données personnelles” sur le site web de la clinique).
Le consentement n’est qu’une des six bases légales possibles. En pratique vétérinaire, on utilisera surtout l’intérêt légitime, l’obligation légale et l’exécution du contrat. En revanche, pour envoyer une newsletter ou pour transmettre des données à caractère personnel à un confrère, il faut obligatoirement recueillir le consentement du client.
Un second registre doit être tenu : le registre des violations de données. Une violation de données est une perte de confidentialité (la perte d’une clé USB non chiffrée contenant des coordonnées de client), d’intégrité (une fausse manipulation dans le logiciel de gestion qui efface ou modifie certaines données) ou encore de disponibilité (un dégât des eaux qui détruit le serveur et la sauvegarde). Toute violation de données doit être notifiée dans le registre. En cas de risque pour les personnes, il faut prévenir, sous 72 heures (sauf cas particulier), la Commission nationale de l’informatique et des libertés (Cnil) via un formulaire à remplir en ligne. Enfin, en cas de “risque élevé”, il convient également d’avertir les personnes concernées par la violation (même si des exceptions existent).
La sécurité technique et opérationnelle des données à caractère personnel fait également partie des obligations. Elle a un intérêt majeur pour l’entreprise, afin de diminuer les risques liés aux pertes de données, au vol, aux cyberattaques, etc.
Un sous-traitant, au sens du RGPD, est l’entité qui va traiter les données personnelles pour le compte et sur instruction du responsable de traitement. C’est le prestataire informatique, le prestataire qui gère la paie des salariés ou encore le prestataire qui gère l’outil de prise de rendez-vous en ligne. L’obligation consiste ici à s’assurer contractuellement que le soustraitant respecte bien le RGPD.
Le RGPD impose, au titre de la transparence, un devoir d’information des personnes quand on collecte leurs données. Doivent être précisés : le responsable du traitement (et le cas échéant le délégué à la protection des données désigné), la finalité de ce traitement, les données à caractère personnel récoltées, les destinataires du traitement, l’export éventuel des données hors de l’Union européenne, le temps de conservation, la base légale utilisée, leurs différents droits (accès, rectification, effacement, limitation, opposition, portabilité) et la possibilité de porter réclamation à la Cnil.
Le client et le salarié peuvent exercer différents droits. Le droit d’accès leur permet de connaître l’ensemble des données à caractère personnel que possède le responsable de traitement les concernant. Cela comprend les fameuses zones “bloc-notes” des logiciels de gestion de cabinet, qui permettent, par exemple, de laisser un commentaire sur le client. La Cnil avait ainsi sanctionné en 2008 un vétérinaire portant, dans son fichier clients, des appréciations injurieuses sur certains propriétaires.
Grâce au droit de rectification, il est possible d’apporter une modification (en cas d’erreur). Le droit à l’effacement, appelé aussi “droit à l’oubli”, s’applique dans certains cas pour demander l’effacement des données. Le droit à la portabilité permet de récupérer les données apportées ou générées (par exemple, des logs sur le site), mais pas les données créées par le responsable de traitement (des données statistiques, entre autres). Cela permet au client de récupérer (dans un format « structuré, couramment utilisé, lisible par machine et interopérable ») l’historique de l’animal afin qu’il soit récupéré par un autre vétérinaire. Cela reste néanmoins assez théorique : l’interopérabilité entre logiciels est loin d’être en place. En pratique, un export au format JSON ou XML semble adapté, mais pas toujours réalisable.
Le droit d’opposition permet à la personne de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant. Ce droit est discrétionnaire en matière de prospection électronique.
Le droit à la limitation complète les autres droits et pourrait s’exercer notamment en cas de demande de rectification, le temps que le responsable de traitement vérifie l’identité de la personne.
Ces droits ne s’appliquent pas systématiquement, et dépendent de la base légale choisie. On devine qu’un droit à l’effacement ne pourra pas s’exercer en cas d’exécution d’un contrat (par exemple, la vente d’un produit) ou d’obligation légale (lors de mise sous surveillance d’animal mordeur, entre autres). Et le droit à la portabilité ne peut concerner que les traitements dont la base légale est le consentement ou l’exécution d’un contrat.
Le vétérinaire devrait principalement devoir répondre à des demandes de droit d’accès et de rectification, et dans une moindre mesure à des demandes d’opposition. Une réponse doit obligatoirement intervenir dans un délai d’un mois maximum (deux mois si la demande est complexe). Quel que soit le canal utilisé par le client (visite à la clinique, téléphone, courriel), il faut bien vérifier l’identité du demandeur, sous peine de risquer… une violation de données !
Depuis le 25 mai 2018, il n’y a plus de déclaration des fichiers clients ou du site web à la Cnil. Ces obligations ont été remplacées par le principe d’accountability (“responsabilisation” en français) : les responsables de traitement sont tenus d’être en capacité de démontrer le respect des règles relatives à la protection des données.
Une dernière obligation consiste à réaliser, pour chaque traitement estimé à risque pour les personnes concernées, une analyse d’impact relative à la protection des données (AIPD). La Cnil fournit des critères permettant d’évaluer ce risque, mais aussi une liste de cas avec obligation d’AIPD et une autre d’exemptions. On peut considérer a priori que l’activité de base du vétérinaire ne nécessite pas d’analyse d’impact, sauf en cas de surveillance permanente des salariés (par vidéosurveillance, par exemple), d’utilisation d’une technologie innovante (comme la téléconsultation), ou de mise en place d’un système de notation ou de profilage (des salariés ou des clients).
Notre confrère Fabrice Jaffré (Kena conseil) est titulaire du certificat de spécialisation de délégué à la protection des données du Conservatoire national des arts et métiers de Paris. Membre de l’Association française des correspondants à la protection des données à caractère personnel.
PATRICE AUTRET praticien canin à La Chapelle-sur-Erdre
Autant de contraintes supplémentaires
Je me sens assez concerné par la protection des données personnelles, que ce soit celles des clients ou celles des salariés de la clinique. Dans ma pratique quotidienne, j’attache particulièrement de l’importance au respect de la confidentialité des informations qui sont recueillies au téléphone, à l’accueil ou dans la salle d’attente.
Et pourtant, je considère les différentes obligations afférentes à la mise en conformité RGPD (les registres à tenir, les normes de sécurité, les différents affichages obligatoires, les conventions à signer avec les sous-traitants, les procédures à formaliser) comme autant de contraintes supplémentaires. J’ai consulté les documents proposés par l’Ordre ou les associations, mais cela reste un sujet assez aride.
ISABELLE MÉDARD praticienne canine à Fontainebleau
Le chantier est vaste !
J’ai été surprise par le nombre d’obligations imposées par le RGPD. J’avais entendu parler du registre des traitements, mais pour le reste, c’était très vague. Je vois ce règlement comme une contrainte qui s’ajoute aux autres, comme la polymerase chain reaction. Mais c’est vrai que c’est l’occasion d’améliorer certains processus. J’utilise un logiciel de conformité (en ligne) qui va m’aider à auditer la partie sécurité, à créer le registre des traitements et à établir les différentes procédures. On a commencé à mettre en place des règles (le choix du mot de passe suffisamment sécurisé, le verrouillage des sessions, la vérification des sauvegardes, etc.) qu’on a partagées avec tout le personnel. Mais le chantier est vaste !
Le règlement européen, tout en supprimant la plupart des anciennes déclarations, impose la mise en place de nombreuses mesures. En pratique, par quoi commencer dans une clinique vétérinaire ?
Étape 1 : nommer un référent RGPD
Le vétérinaire exerçant en libéral n’est a priori pas concerné par cette obligation de désigner un délégué à la protection des données auprès de la Commission nationale de l’informatique et des libertés (Cnil), au vu de l’article 37 du règlement européen sur la protection des données (RGPD). Reste qu’un flou existe sur le cas du « suivi régulier et systématique des personnes à grande échelle ». La question pourrait donc se poser pour les hôpitaux vétérinaires ou les cliniques en réseau.
En revanche, il est nécessaire de désigner un référent RGPD. Ce peut être une personne de l’équipe (y compris le vétérinaire chef d’entreprise, alors qu’un délégué à la protection des données ne peut pas être simultanément responsable de traitement), avec une formation spécifique afin de l’aider à organiser la conformité. Mais il est possible de sous-traiter cette activité à un prestataire externe. Dans tous les cas, le chef d’entreprise, en tant que responsable de traitement, reste responsable des manquements.
Étape 2 : cartographier les traitements
La deuxième étape consiste à cartographier l’ensemble des traitements de données à caractère personnel existants dans la clinique, autrement dit à identifier les flux traitant des données à caractère personnel.
Pour identifier ces traitements, deux méthodes sont utilisables : soit lister les fonctionnalités des applications utilisées, et en déduire les traitements ; soit adopter l’approche par processus et croiser dans un second temps avec les applications.
Les entreprises de taille importante réalisent une cartographie puis renseignent le registre. Dans un cabinet vétérinaire, la saisie des traitements dans le registre correspond en pratique à cette étape de cartographie.
La Cnil propose un modèle spécifiquement adapté aux très petites entreprises (TPE), à télécharger sur son site1. De nombreux logiciels de conformité sur le marché facilitent le remplissage de ce registre. Certains sont spécifiquement adaptés aux TPE.
Cette étape sera l’occasion de mettre en exergue des problèmes critiques (des données non sauvegardées, des ordinateurs sans antivirus, un Wifi mal sécurisé, etc.), qui devront être corrigés en priorité.
Combien de fiches va contenir un registre de traitements pour une clinique vétérinaire ? On a peu de recul encore, et cela peut varier sensiblement selon les regroupements de finalités et les spécificités de la clinique, mais probablement entre 6 et 15 fiches (celui de la RATP compte 1 400 fiches !).
Étape 3 : améliorer la sécurité
La troisième étape est la vérification de la sécurité technique et opérationnelle. La Cnil compile dans un document les précautions élémentaires à mettre en œuvre obligatoirement2. De nombreuses mesures sont probablement déjà en place. D’autres nécessiteront peut-être une étude ou l’intervention d’un prestataire informatique.
Étape 4 : sensibiliser les collaborateurs
La sensibilisation de tout le personnel de la clinique est un point majeur. Un membre de l’équipe qui ne respecte pas les mesures de sécurité techniques ou organisationnelles ou qui ne remonte pas une suspicion de violation de données ou tout simplement une demande d’exercice de droits entraîne une hausse du risque pour l’entreprise.
Étape 5 : informer et respecter les droits
L’information des clients se fait par voie d’affichage dans la salle d’attente ou dans les conditions générales de fonctionnement figurant sur les factures. Pour les salariés, l’employeur peut afficher les informations dans le local réservé ou bien les communiquer individuellement par courriel, ou encore les faire figurer dans le contrat de travail ou le règlement intérieur. Sur un site web, les informations obligatoires figureront dans une page appelée, par exemple, “Politique de confidentialité”, et dans chaque formulaire de recueil de données, on indiquera principalement la finalité. Pour l’inscription à une newsletter, ce pourrait être : « Votre adresse de messagerie est uniquement utilisée afin de vous envoyer notre newsletter mensuelle. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. En savoir plus sur la gestion de vos données et vos droits. »
Concernant les droits, le travail consistera principalement à écrire des procédures et à les partager avec tout le personnel, en commençant par le droit d’accès. Ces procédures contiendront, par canal de demande, les modalités précises de vérification de l’identité du demandeur, la personne à contacter en interne, le retour à faire au client, etc.
Étape 6 : rassembler la documentation
Le vétérinaire peut utiliser un simple classeur où seront compilés les documents au format papier, ou bien stocker les informations dans un répertoire numérique. On devrait y trouver, entre autres, la charte informatique, la procédure sur la gestion des violations de données, la politique de confidentialité, la procédure de recueil des consentements, les clauses RGPD des sous-traitants, un exemplaire des documents affichés en salle d’attente, les modalités d’exercice des différents droits, etc. Ces documents doivent être présentés à la Cnil en cas de contrôle.
Étape 7 : lister et vérifier les contrats de sous-traitance
La dernière étape consiste à s’assurer contractuellement que le soustraitant respecte bien le RGPD. Un exemple de clauses de sous-traitance à annexer au contrat figure sur le site de la Cnil3. En pratique, si cela n’est pas possible, on l’interrogera au moins sur sa conformité.
La quantité de travail à réaliser peut rebuter le vétérinaire peu familiarisé avec les aspects réglementaires ou sécuritaires liés au RGPD. La Cnil rassure pourtant : « Ce règlement dans votre entreprise n’est pas obligatoirement un projet technique ou juridique, il s’agit avant tout de bon sens et d’organisation ». Et l’objectif n’est pas que la clinique devienne conforme en quelques jours. L’important est de démarrer le projet de conformité, en définissant des priorités fondées sur le risque avec des échéances réalistes, tout en ayant en tête que la conformité est une démarche d’amélioration continue. Ce projet peut même représenter une opportunité pour l’entreprise en fiabilisant ses process.
Cet article a simplifié certaines notions à des fins de meilleure lisibilité. Le vétérinaire pourra approfondir le sujet avec le document de BPI France et de la Cnil qui est consacré aux TPE4. Il est bien sûr possible de se faire accompagner par des consultants en conformité, ou de suivre des formations spécifiques. Mais attention, les arnaques fleurissent5 !
SÉVERINE LELOUP Praticienne canine à Paris
Un effet positif pour la clinique
J’ai effectué une formation spécifique en octobre 2018, à l’issue de laquelle j’ai commencé à renseigner le registre des traitements. J’ai également listé l’ensemble des sous-traitants de la clinique (infogérance, laboratoires d’analyses, etc.) et vérifié avec eux leur conformité. J’ai aussi ajouté des mentions “Protection de vos données personnelles” dans les conditions générales de vente affichées dans la salle d’attente. Toutefois, même si je sais que c’est obligatoire et que j’ai pu constater que cela a un effet positif pour la clinique (sur le plan de la sécurité informatique, notamment), ce sujet est très éloigné de mon cœur de métier, et il est quand même particulièrement difficile de répondre à toutes les obligations.
Une donnée à caractère personnel, ou donnée personnelle, est une information « qui se rapporte à une personne identifiée ou identifiable ». C’est, par exemple, le nom d’un client, son adresse électronique, mais aussi son numéro de client, un numéro de tatouage (on peut remonter au propriétaire de l’animal), un cookie sur le site web, ou même le croisement de plusieurs données (comme la date de naissance d’une personne et le nom de son employeur), s’il permet de remonter à la personne.
