Lorsque l’on s’installe comme praticien de médecine non conventionnelle, il est important de s’interroger sur ses obligations en matière de protection des données personnelles (obligations RGPD), notamment à l’égard des clients.
En effet, dès lors qu’il reçoit un nouveau client, le thérapeute va collecter des données personnelles le concernant (nom, prénom, adresse, situation de santé, etc).
Le praticien doit donc respecter le règlement européen RGPD.
Les obligations prévues par ce règlement sont nombreuses. Parmi elles, un chapitre est dédié aux obligations d’information.
Le praticien doit donc informer ses clients du fait qu’il traite des données personnelles les concernant.
La liste des informations à fournir est longue et précise.
Pour satisfaire à ses obligations d’information, il est conseillé d’élaborer un document : une politique de confidentialité (également appelée « Politique de protection des données personnelles).
Découvrez dans cet article comment rédiger sa politique de protection des données personnelles lorsque l’on est praticien de soins non conventionnelle.
Table des matières
Qui doit prévoir une politique de protection des données personnelles ?
Au plan juridique, le praticien de santé naturelle a la qualité de « responsable de traitement » lorsqu’il traite les données personnelles de ses clients.
Plus précisément :
- Il est responsable parce que c’est lui qui décide des raisons pour lesquelles sont traitées les données personnelles
- On parle de « finalités » de traitement
- Parce qu’il est le responsable de traitement, le thérapeute de médecine alternative a des devoirs d’information légaux à l’égard de ses clients
- Ces devoirs d’information doivent en principe se faire au moment de la collecte des données
- En cas de contrôle de la CNIL (l’autorité de contrôle) ou en cas d’une plainte, le praticien devra être en mesure de démontrer qu’elle a respecté ses devoirs d’information.
- Le thérapeute a donc la charge de la preuve. Il faudra donc qu’il communique les informations légales par écrit, pour pouvoir prouver, en cas de contrôle ou de plainte, que les informations ont bien été données.
A quoi sert la politique de confidentialité ?
La politique de confidentialité (ou politique de protection des données personnelles) sert à informer les clients sur :
- les caractéristiques des traitements que le praticien de médecine non conventionnelle réalise sur leurs données personnelles (quelles données, pourquoi, comment)
- des droits dont ils bénéficient (droit d’accès, d’opposition, etc)
La politique de protection des données personnelles permet également de protéger le praticien en cas de contrôle de la CNIL ou encore d’une plainte éventuelle d’une personne. Ce document lui permet de prouver qu’il a rempli ses obligations d’information.
Quelles informations faut-il mettre dans la politique de confidentialité ?
Les informations que le praticien doit fournir à ses clients sont précises et listées par le RGPD. Il devra notamment informer les personnes concernées :
- de son identité et ses coordonnées
- des finalités de traitement (à quelle fin sont traitées les données)
- des bases légales des traitements (ce qui leur permet légalement de traiter les données)
- des éventuels transferts de données vers des destinataires ou de l’existence de sous-traitants
- de transferts éventuels de données hors UE par le praticien ou ses sous-traitants
- de la durée de conservation des données
- des droits dont les clients disposent, de l’existence d’une prise de décision automatisée,y compris le profilage, etc.
Le praticien doit veiller à ce que les informations qu’il donne à ses clients soient délivrées de la façon la plus claire, la plus complète et la plus intelligible possible.
A défaut, les instances considèreront que les informations n’ont pas été faites valablement.
Ce document d’information doit donc être rédigé avec la plus grande attention.
Qui est compétent pour rédiger la politique de confidentialité ?
Pour rédiger les mentions d’information RGPD, et compte tenu de la technicité de la matière, nous conseillons vivement d’avoir recours à un expert RGPD.
Où faire figurer sa politique de confidentialité ?
La politique sur la protection des données personnelles est un document d’information.
Il devra donc être librement accessible dans vos locaux d’exercice.
Le praticien ne doit donc pas hésiter à la transmettre à ses clients dès qu’il le peut (par mail, sur son site, par une remise en mains propres, etc).
Une signature de la politique de confidentialité par les clients est la solution la plus sécurisante.
Dans quels cas faut-il prévoir le consentement de vos clients sur le traitement de leurs données personnelles ?
Lorsque le thérapeute réalise un traitement de données personnelles, il doit s’interroger pour savoir quelle est la base légale qui l’autorise à faire ce traitement.
S’il n’y a pas de base légale, le traitement n’est pas légal.
Il peut s’agir du consentement de la personne, du respect d’une obligation légale, de l’exécution d’un contrat, d’une mission de service public ou encore de l’intérêt légitime.
Ainsi, pour certains traitements de données, le consentement de la personne est obligatoire.
Dans quel cas le consentement du client est-il nécessaire ?
Par exemple, dans les cas suivants (attention, il ne s’agit que d’exemples) :
- lorsque le praticien collecte des données de santé de son client
- pour certains envois de prospection commerciale
- en cas de transfert de données en dehors de l’UE
Pour ces traitements, le consentement du client devra être donné pour chaque finalité de traitement concernée, de manière expresse et préalable.
Vous pouvez également inviter le client à signer votre politique de confidentialité dès le premier rendez-vous.
Quels sont les risques si vous ne respectez pas vos obligations d’information sur la protection des données personnelles ?
Les sanctions sont importantes.
–Sanctions administratives prononcées par la CNIL (selon la violation) :
-10 à 20 M d’euros (pour les praticiens exerçant à titre individuel)
-2 à 4 % du chiffre d’affaires mondial (pour les praticiens exerçant en société)
-Sanctions financières : si poursuites devant les juridictions administratives ou judiciaires de clients (actions individuelles et collectives possibles)
-Sanctions pénales : un chapitre relatif aux données personnelles est prévu dans le Code pénal.
Quelle solution pour rédiger la politique de protection des données personnelles clients ?
Élise Guilhaudis, Avocate, propose aux praticiens d’obtenir une politique de protection des données personnelles adaptée aux activités des praticiens de santé naturelle.
Pour obtenir ce document, vous pouvez vous reporter à cette page.
Vous pouvez aller plus loin dans votre conformité, en vous dotant, en plus d’une politique de protection des données personnelles, d’un second document légal très important : les conditions générales (ou contrat client)
Pour obtenir ces 2 documents juridiques, vous pouvez commander le Pack client du praticien
pour en savoir plus sur vos obligations légales
Vous souhaitez recevoir les actualités d'Elise Guilhaudis sur les obligations légales des praticiens de santé naturelle ?
Élise Guilhaudis réalise régulièrement des webinaires, vidéos, articles pour expliquer les règles à respecter dans le domaine de la santé au naturel.