Cher client, Chère cliente,

Chaque jour, vous nous accordez votre confiance en nous permettant de vous accompagner dans votre quotidien professionnel et ce, en faisant appel à nous afin de traiter les données pour votre compte dans le cadre de notre activité d’éditeur de logiciels métiers.

Le Règlement général sur la protection des données à caractère personnel (dit « RGPD »), qui entrera en application le 25 mai 2018, impose de nouvelles obligations aux responsables de traitement et aux sous-traitants en charge du traitement de données à caractère personnel.

SEPHIRA occupe deux rôles au regard du traitement de données à caractère personnel :

  • SEPHIRA est responsable des traitements de données vous concernant collectées dans le cadre de la gestion de notre relation professionnelle et commerciale,
  • SEPHIRA est votre sous-traitant dans le cadre des traitements de données concernant vos patients.

Dans ce contexte, nous sommes engagés, comme vous le savez, dans un processus d’amélioration constante de nos pratiques et vous confirmons notre souci de qualité des traitements menés pour votre compte au regard de l'entrée en application du RGPD.

Dans un souci de transparence, vous trouverez ci-dessous le détail de vos droits au regard des données à caractère personnel.

Quelques mots sur le contexte d’adoption du RGPD :

La loi française relative à la protection des données à caractère personnel date de 1978 (loi dite « Informatique et libertés »). Cette loi a été modifiée à plusieurs reprises, notamment à la suite d’une directive européenne de 1995 relative à la protection des données à caractère personnel.

Le Règlement Général sur la Protection des Données (RGPD) est un nouveau texte européen qui prend le relai sur la directive européenne et qui entre en application le 25 mai 2018, pour la remplacer. Ce texte est d’applicabilité directe en France et permettra une application harmonisée des exigences au sein de l’Union européenne.

La loi informatique et libertés de 1978 va donc être adaptée à ce règlement européen et a été ainsi votée définitivement le 14 mai 2018,  afin de permettre à la France de faire des choix sur certaines marges de manœuvre offertes par le RGPD.

 

Quels changements avec le RGPD ?

Le RGPD concerne toutes les structures qui traitent les données à caractère personnel des citoyens européens. Les deux objectifs principaux sont (i) de renforcer les droits de chacun vis-à-vis des données à caractère personnel les concernant et (ii) de favoriser la libre circulation des données dans un cadre de conformité partagée par chacun.

Les principes consacrés par le RGPD sont similaires à ceux de la loi de 1978 et la directive de 1995, mais le changement majeur est le suivant : la plupart des formalités préalables à la CNIL sont désormais supprimées.

Il incombe désormais aux responsables de traitement de démontrer leur conformité au RPGD par la documentation de leurs efforts pour se mettre en conformité avec les obligations : sécurité des données, protection des droits des personnes en particulier.

 

Quels sont vos droits au regard des données à caractère personnel ?

Nous souhaitons donc vous rappeler les différents droits dont vous disposez par rapport à vos données personnelles :

  • Droit d’accès : vous pouvez obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par SEPHIRA, et lorsque nous traitons des données vous concernant, vous pouvez y accéder, ainsi qu’à des informations supplémentaires relatives à la manière dont nous traitons vos données,
  • Droit de rectification : vous pouvez faire rectifier des données vous concernant qui sont inexactes. Vous pouvez également compléter des données incomplètes,
  • Droit à l’effacement : dans certains cas, vous pouvez demander à SEPHIRA l’effacement des données vous concernant dans les meilleurs délais.
  • Droit à la limitation du traitement : dans certains cas, vous pouvez demander à SEPHIRA que le traitement des données vous concernant soient limités. Le traitement de vos données n’aura plus lieu.
  • Droit d’opposition : dans certains cas, vous pouvez vous opposer au traitement des données à caractère personnel vous concernant.
  • Droit à la portabilité des données : dans certains cas, vous pouvez demander à ce que SEPHIRA vous transmette ou transmette à un autre responsable de traitement, les données vous concernant.

Pour faire valoir vos droits, vous pouvez contacter notre Data Protection Officer à l’adresse : [email protected]

Nous vous précisons qu’en tant que responsable de traitement, vous êtes également soumis à ce nouveau règlement et que vos patients disposent des mêmes droits au regard des données les concernant qu’ils peuvent exercer à votre égard.

 

Mon contrat avec SEPHIRA va-t-il changer ?

Le RGPD imposant de nouveaux éléments à inclure dans les contrats de sous-traitance, vous recevrez prochainement par mail un « Accord sur la protection des données personnelles conclu entre vous et Sephira ».

Cet accord définira les obligations incombant à SEPHIRA en tant que sous-traitant, ainsi que les vôtres en tant que responsable de traitement et contiendra une clause spécifique au RGPD au contrat conclu entre vous et SEPHIRA.

Cette clause viendra préciser notre relation contractuelle en incluant les éléments imposés par le RGPD. Elle reprendra également la liste des traitements que nous réalisons pour votre compte et selon vos instructions.

Afin de garantir l’application de ces règles par nos propres sous-traitants, nous allons également conclure un « Accord sur la protection des données personnelles » avec eux, complété par une documentation attestant qu’ils présentent les garanties suffisantes exigées par le RGPD.

 

En tant que responsable de traitement, que dois-je faire ?

Dans le cadre du RGPD et en tant que responsable de traitement, il vous revient de prendre des dispositions afin de vous mettre en conformité avec ses exigences :

1. Constituer un registre de vos traitements de données. Avec la suppression de la plupart des formalités préalables à accomplir devant la CNIL, ce registre doit contenir l’ensemble des documents permettant de prouver votre conformité au RGPD en regard des traitements de données que vous mettez en oeuvre. Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble. Pour chaque fichier, il convient de créer une fiche dans un registre de suivi de vos traitements. A l’occasion de la création de ce registre, faites le tri dans vos données, en éliminant les données n’étant pas nécessaires ou dont la durée de conservation a expiré. Si certaines de ces données nous ont été confiées, faites-le nous savoir.

Ce registre doit être présenté à la CNIL en cas de contrôle.

2. Informer vos patients au regard de la collecte de données à caractère personnel les concernant. A l’occasion d’une consultation, vous collectez des données concernant vos patients, il est donc important qu’ils en soient informés. Ces patients peuvent également choisir d’exercer leurs droits  pour les données les concernant. 

3. Sécuriser vos données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez. Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. 

Pour aller plus loin, la CNIL a publié de nombreux documents pédagogiques afin d’aider les responsables de traitements dans leur démarche de mise en conformité.

Soyez assurés que SEPHIRA œuvre au quotidien pour répondre à ses obligations en matière de sécurisation des traitements confiés.