Vous êtes sur notre site français.

Changer de région

Pabau - Clinic Software for your Business | Go Paperless Today
Document
Fermer

Changer de région

Vous êtes sur notre site français. Modifiez votre région pour afficher les informations depuis un autre emplacement.

Loading animation

GDPR

Logiciel de gestion de clinique qui facilite la prise et la reprise de rendez-vous multiples.

Qu'est-ce que le règlement général sur la protection des données (RGPD) ?

Le GDPR est la loi globale de l’Union européenne sur la vie privée et la protection des données qui est entrée en vigueur le 25 mai 2018. L’objectif principal du GDPR est de réglementer la manière dont les données personnelles des individus dans l’UE sont traitées – même par des entreprises qui n’ont pas de présence physique ou légale dans l’UE. Les organisations peuvent se voir infliger de lourdes amendes en cas de non-conformité : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Pabau est-il certifié GDPR ?

Il n’existe pas encore de système de certification GDPR reconnu, mais nous avons travaillé dur pour nous assurer que nous sommes en conformité avec le GDPR.

Le nouveau RGPD régit les conditions dans lesquelles nous, en tant que sous-traitant, traitons les données pour le compte de nos clients (qui sont généralement les responsables du traitement), conformément à l’article 28 du RGPD.

Conformément à l’article 28 du GDPR, les responsables du traitement des données doivent agir uniquement sur la base des instructions documentées du responsable du traitement des données, à moins que la loi n’en dispose autrement. Toutefois, cela ne nous dispense pas de nos obligations ou responsabilités en vertu du GDPR. Nous sommes toujours tenus de nous assurer que nous sommes en conformité avec le GDPR.

Que fait Pabau pour s'assurer qu'elle (et ses fournisseurs) est conforme au GDPR ?

Nous continuerons à revoir nos mesures de sécurité, comme nous le faisons toujours, afin de rester à la pointe de l’évolution des normes et des meilleures pratiques du secteur.

Pabau est donc conforme au GDPR. Cela signifie-t-il que je suis automatiquement en règle ? Si ce n'est pas le cas, où puis-je me renseigner sur mes propres obligations ?

Non, bien que nous ayons fait de notre mieux pour faciliter votre mise en conformité, vous devrez toujours vous pencher sur vos propres pratiques en matière de conformité au GDPR.

Une grande partie de la manière dont vous collectez, utilisez et éliminez les données à caractère personnel n’est pas déterminée par votre responsable du traitement des données (c’est-à-dire nous). Par conséquent, chaque organisation devrait obtenir ses propres conseils professionnels sur le sujet afin de garantir la conformité. Voici une ressource supplémentaire du bureau du commissaire à l’information du Royaume-Uni : https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/getting-ready-for-the-gdpr/.

Suis-je un responsable du traitement des données ? Pabau est-il un processeur de données ?

En règle générale, vous (le client de Pabau) serez considéré comme un contrôleur de données (c.-à-d. une organisation qui détermine les buts et les moyens du traitement des données personnelles) et nous serons toujours considérés comme un sous-traitant de données en vertu de la loi.

Les responsables du traitement et les sous-traitants ont chacun leurs propres obligations en vertu de la loi. Lorsqu’un responsable du traitement des données fait appel à un prestataire de services tel que nous, le prestataire de services est généralement un sous-traitant de données agissant au nom du responsable du traitement, et le sous-traitant agit à la demande du responsable du traitement. Comme indiqué ci-dessus, notre DPA régira la relation et la nature des activités de traitement entre Pabau et ses clients.

Qu'entend-on par données à caractère personnel ?

Selon l’article 4 du GDPR, les données à caractère personnel désignent « toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ».

Qu’est-ce que cela signifie pour vous ?

Dans votre compte Pabau, il s’agit des coordonnées de vos clients. Et ils peuvent à un moment donné vous demander de les oublier, ou de modifier leurs informations pour qu’elles soient exactes, etc. Il vous incombe alors de répondre à cette demande.

Le GDPR exige-t-il une case à cocher supplémentaire pour pouvoir traiter légalement des données à caractère personnel ? Ou une phrase telle que "entrez vos informations pour que nous vous envoyions XYZ Pdf par courrier électronique" sera-t-elle suffisante ?

Si vous traitez des données à caractère personnel sur la base du consentement de la personne concernée, vous devrez prévoir un mécanisme pour recueillir ce consentement, qui pourrait inclure une case à cocher non cochée que la personne concernée peut cocher pour consentir au traitement de ses données. Si vous pouvez considérer ce type d’arrangement comme un « contrat » entre vous et la personne qui a demandé ce « quelque chose », vous pouvez alors sauter la case à cocher et fonder votre traitement sur la nécessité d’exécuter vos obligations dans le cadre de ce « contrat ».

Si un client me demande d'exercer son droit à l'oubli, dois-je le supprimer de ma base de données ?

Une déclaration du type de celle qui suit pourrait être plus appropriée :

Si vous êtes un professionnel de la santé ou si vous fournissez un service médical, vous serez très probablement tenu par la loi de conserver les dossiers médicaux et les notes de traitement pendant une période (minimale) fixée par la loi (généralement entre 7 et 30 ans). La législation sur la protection des données à laquelle vous êtes soumis peut également permettre de conserver ces dossiers plus longtemps, si vous disposez d’une base juridique, par exemple la poursuite des soins. Il est important que vous respectiez vos obligations légales avant de supprimer tout dossier médical de votre base de données. Le droit d’une personne concernée d’obtenir l’effacement de ses données n’annule pas vos obligations légales de conserver les dossiers médicaux pendant la période légale. Vous devez également vous assurer de respecter vos obligations légales en conservant ces dossiers si vous quittez Pabau, si vous mettez fin à votre compte avec Pabau ou si vous cessez vos activités. La possibilité pour vos utilisateurs (personnel) de supprimer des dossiers de clients doit être restreinte à l’aide des autorisations d’utilisateur, afin que seuls les utilisateurs autorisés puissent effacer des données de votre base de données.

Que se passe-t-il si j'offre des services gratuits (par exemple, si j'envoie régulièrement des photos de chats par courrier électronique à mes clients abonnés sans leur demander de payer) ? S'agit-il d'un contrat et cela peut-il être considéré comme une base juridique pour le traitement licite des données à caractère personnel ?

Oui. Le GDPR ne se limite pas aux situations où de l’argent est transféré. Conformément à l’article 3, paragraphe 2, point a), du GDPR, le simple fait de proposer des biens ou des services aux personnes concernées de l’UE, même sans paiement, fait que cette transaction est régie par le GDPR. En utilisant vos services gratuits, vos clients acceptent généralement les conditions d’utilisation/de service que vous affichez sur le site web, formant ainsi un contrat valide. Vous pouvez l’utiliser comme base juridique pour justifier le traitement des données à caractère personnel, simplement parce qu’il est nécessaire pour remplir vos obligations en vertu du contrat.

Dans le cadre du GDPR, mes formulaires opt-in peuvent-ils encore être cochés par défaut ?

Non, veuillez noter que l’utilisation de boîtes d’acceptation pré-cochées n’est pas valide en vertu du GDPR. Le silence ou l’inactivité de la personne concernée, de même que la simple utilisation d’un service (sans avoir préalablement coché une case pour indiquer son accord) ne sont pas considérés comme un « consentement ».