Fondée en 2005

Fondée en 2005

0
écoles
0
Adhérents
0
Sympathisants

La protection des données personnelles : le guide des bonnes pratiques

En tant que masseur·se de bien-être, de prévention et d'accompagnement à la santé, nous pouvons être contact avec des informations délicates concernant la vie privée et les données de santé de nos clients. Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis 2018, engage notre responsabilité dans l'utilisation et la conservation de ces informations personnelles. Il est donc impératif que chaque professionnel du bien-être saisisse l'impact de ces règles sur son quotidien professionnel et détermine comment les intégrer efficacement dans ses process de travail.

1 - RGPD : définition, objectifs, enjeux

Le Règlement Général sur la Protection des Données est un texte qui renforce les droits des citoyens de l’Union européenne :

  • en leur donnant une plus grande visibilité sur leurs données ;
  • en leur apportant une meilleure maîtrise sur l’utilisation qui en est faite.

La réforme poursuit trois objectifs :

  • renforcer les droits des personnes, notamment par la création d’un droit à la modification / suppression / portabilité des données personnelles ;
  • crédibiliser cette évolution réglementaire grâce à une coopération renforcée entre les autorités nationales et européennes de protection des données ;
  • responsabiliser les acteurs traitant ces données !

2 - Qui est concerné par cette réglementation ?

Ce règlement, en vigueur depuis 2018, impacte l’ensemble des acteurs proposant des biens et services sur le marché européen, et donc bien-sûr les professionnels du bien-être.

Pour le professionnel, le non-respect de ces règles peut conduire à des amendes sévères et, pour ses clients, les exposer à des usages malveillants de leurs données personnelles.

La Commission Nationale de l’Informatique et des Libertés (CNIL) est habilitée à réaliser des contrôles aléatoires en demandant de fournir les preuves du respect du RGPD ainsi que les consentements des clients concernant leurs données personnelles. En cas de manquement à ces obligations, la loi prévoit des sanctions pénales pouvant atteindre 4% du chiffre d’affaires annuel. 

Au-delà de la réglementation et des sanctions liées à celle-ci se cache l’enjeu d’une relation de confiance entre le professionnel du bien-être et ses clients. Le RGPD invite chaque professionnel à agir avec responsabilité, transparence et confidentialité dans le traitement des informations qu’il collecte et utilise.

3 - Quelles sont les données personnelles ?

Une donnée est considérée comme personnelle dès lors qu’elle permet d’identifier directement ou indirectement une personne physique.

Une personne peut être identifiée directement par son nom et prénom, mais aussi identifiée indirectement en croisant d’autres informations : numéro de client, caractéristiques physiques, habitudes sociales, économiques ou culturelles, représentation photographique, etc.

Il y a deux grands types de données personnelles :

  • les données personnelles « courantes » : nom, prénom, identifiant client, numéro de téléphone, mail, adresse postale, adresse IP, photo, enregistrement vocal, empreinte.
  • les données personnelles « sensibles » : informations sur la santé, les distinctions physiques et psychiques, orientations sexuelles et religieuses, opinions politiques et philosophiques, préférences syndicales.

Le RGPD interdit de recueillir ou d’utiliser des données personnelles sensibles, sauf si la personne concernée a donné son consentement exprès. Pour un professionnel du bien-être, en cas de collecte de données sensibles, il est donc obligatoire d’obtenir le consentement préalable de la personne concernée.

4 - La notion de traitement des données personnelles

Le traitement de données personnelles correspond à toute opération (collecte, enregistrement, extraction, consultation, modification, diffusion, destruction…) visant à récupérer / sélectionner des informations afin de les utiliser dans un but précis (ex : collecte d’une donnée pour l’envoi d’une newsletter, sélection d’une donnée pour l’envoi d’une promotion…).

Le RGPD s’applique au traitement de toutes les données, que celles-ci soient sur support informatique ou en version papier. Les données sur papier sont soumises exactement aux mêmes règles de protection que les informations numériques. 

5 - Les grands principes du règlement

Le règlement, pour ce qui concerne un·e masseur·se, peut être résumé selon ces grands principes :

Principe de communication

Le professionnel doit expliquer, lorsqu’il collecte des données, en des termes simples et compréhensibles par tous, la finalité, le destinataire et le délai de conservation des données.

Principe de minimisation

Le professionnel doit uniquement récolter les informations qui sont pertinentes par rapport à l’utilisation finale : pas de collecte de données superflues.

Recueil du consentement

Le professionnel doit être en mesure de recueillir un consentement clair des utilisateurs (information claire avec case à cocher de consentement).

Droit d’accès et de portabilité

L’utilisateur doit pouvoir exercer librement son droit d’accès, de modification, de portabilité (récupération de ses données pour les conserver ou les transmettre) ainsi que son droit d’opposition à certains types de traitement (profilage). 

Le professionnel doit donc informer les utilisateurs des moyens mis à sa disposition pour accéder à ses données (via leur espace personnel sur le site internet, par un message sur une adresse email dédiée, par un courrier postal, etc.).

Principe d’information

En cas de vol ou de perte des données (vol de l’ordinateur, cyberattaque, etc.), le praticien a 72 heures pour avertir les utilisateurs et la CNIL (Commission nationale de l’informatique et des libertés).

6 - Mode d’emploi pour les masseur·se·s

Déclarer son fichier client à la CNIL

Déclarer son fichier à la Commission nationale informatique et libertés (CNIL) n’est nécessaire que dans le cadre de la collecte de données sensibles, en particulier des données de santé. Déclarer son fichier se fait gratuitement par internet et ne prend que quelques minutes.

Créer et mettre à jour un “registre des activités de traitement”

Ce registre permet d’avoir une vue d’ensemble sur les données personnelles que vous collectez et gérez. Vous pouvez utiliser le modèle ci-contre fourni par la CNIL.

Il va vous permettre de lister sur des fiches distinctes chaque outil vous permettant de récolter des données (exemple : le formulaire de contact sur le site, le formulaire d’inscription à la newsletter, le formulaire papier de participation à une tombola, etc.).

Puis, pour chaque outil, vous allez préciser ces informations : la finalité de la récolte des données (ex : envoi d’une newsletter mensuelle) ; le type de données utilisées (nom, adresse, âge…) ; le ou les personnes(s) dans votre organisation ayant accès aux données ; la durée de conservation des données.

Enfin, vous allez contrôler que les solutions externes que vous utilisez pour exploiter ces informations personnelles respectent le RGPD (ex : solution de paiement en ligne, plateforme dédiée aux envois de SMS, d’emailings, plateforme pour un jeu-concours, solutions en ligne de gestion de clientèle, de facturation, etc.).

Pour chaque fiche créée dans votre registre, vous allez vérifier : si les données récoltées sont vraiment nécessaires en fonction de la finalité du traitement ; si vous traitez des données sensibles (car elles sont soumises à une réglementation spécifique) ; si la façon dont ont été récoltées ces données est bien conforme au RGPD : si ce n’est pas le cas, vous devez renoncer à ces informations ou demander à nouveau leur consentement aux propriétaires desdites données.

Informer vos clients et contacts

Une fois que vous avez “cartographié” dans le registre vos outils et process de recueil et de traitement des données, vous devez  :

  • indiquer clairement pour chaque support permettant de collecter des données personnelles : l’objectif de la récolte, le temps de conservation, les modalités permettant au consommateur d’y accéder, le destinataire final des données (ces informations sont généralement listées dans la page “Politique de confidentialité” de votre site internet) ;
  • permettre aux utilisateurs d’exercer leurs droits d’accès et de portabilité : prévoyez une adresse mail ou un formulaire spécifique pour les recours, intégrez un bouton visible de désabonnement dans votre newsletter, etc. 

Sécuriser les données personnelles

Les conséquences d’un vol ou d’une perte de données peuvent avoir des conséquences désastreuses pour les utilisateurs et pour l’image de votre entreprise. Vous devez tout mettre en place pour garantir leur sécurité :

  • sauvegarder vos données sur plusieurs supports sécurisés ;
  • protéger vos supports par un mot de passe complexe ;
  • mettre à jour régulièrement vos logiciels d’antivirus et vos mots de passe ;
  • sur votre site, sécuriser au maximum les comptes clients en ligne ;
  • enfin, vous assurer que seules les personnes autorisées peuvent avoir accès aux données collectées (par exemple dans la cas de locaux partagés).

Source

Par François Cordier, responsable communication FFMBE, gérant de l’agence de communication La solution est ici, dédiée aux professions du bien-être.

Table des matières

S’abonner
Notification pour

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x