C’est à partir du 25 mai 2018 que le Règlement général pour la protection des données (RGPD) remplacera la réglementation actuelle. Savez-vous en quoi consiste ce règlement ?
Le traitement des données personnelles effectué par les entreprises sur leur clientèle et leurs utilisateurs doit toujours s’appuyer sur les mesures les plus strictes de sécurité et de confidentialité. Par conséquent, chaque entreprise est tenue de se conformer aux mesures de protection des données personnelles, données des personnes qui ont utilisé leurs services, quelle qu’en soit le moyen d’obtention.
En quoi consiste la protection des données ?
La protection des données est une des branches du droit qui a vu le jour il y a peu. Son objectif est de protéger la vie privée et le droit à l’honneur, entre autres les droits fondamentaux, face aux risques éventuels résultant de la collecte et de l’utilisation des données personnelles par les entreprises et institutions.
On comprend par données personnelles tout ce qui fait référence à la sphère particulière de la personne et qui, d’une façon ou d’une autre, peut être utilisé pour évaluer certains aspects comme les habitudes d’achat, les routines familiales, les croyances personnelles, l’historique médical ou psychologique, etc. L’importance de sa régulation est évidemment survenue avec le traitement informatique de ces mêmes données, qui a permis de développer une grande flexibilité dans la communication, les rendant facilement transmissibles à toute personne dans le monde.
Pourquoi est-ce si important ?
Face à ces situations, les États ont commencé à considérer la nécessité de limiter ce trafic et l’utilisation massive des données pour considérer l’atteinte aux droits fondamentaux comme le droit à l’honneur et la vie privée personnelle et familiale.
Actuellement, en France, la protection des données personnelle est régie par la loi Informatique et Liberté française qui se trouvent dans le prolongement du Règlement Général européen de Protection des Données personnelles. Cette loi a permis dans un premier temps de définir les principes que les entreprises doivent respecter lorsqu’elle collecte, traite et conserve les données de leurs utilisateurs. La nouvelle réglementation européenne permet également d’élargir les droits des Citoyens sur la gestion de leurs données personnelles.
Par ailleurs, ce droit est si important au niveau international que la Charte des droits fondamentaux de l’Union européenne le qualifie à l’article 8, paragraphe 1 comme étant un droit fondamental pour tout citoyen. Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques a été élaboré en s’appuyant sur cet objectif ainsi que pour essayer d’éliminer les disparités possibles dans le traitement par les États membres de l’Union européenne. Ce règlement se rapporte directement à la protection des personnes en ce qui concerne le traitement de leurs données personnelles et de la libre circulation de ces données en abrogeant la directive 95/46 / CE (règlement général sur la protection des données).
Ce règlement entre en vigueur le 25 mai 2018, date à laquelle il devient un instrument d’application directe pour toute société fournissant ses services dans les États membres de l’Union européenne.
Notes sur le Règlement Général de Protection des Données
Le règlement général de protection des données comprend dans sa rédaction quelques améliorations très importantes notamment concernant les droits des utilisateurs, que nous préciserons dans les paragraphes suivants. L’un de ces développements est le consentement explicite, clair et direct du propriétaire des données en ce qui concerne le traitement, car le consentement tacite n’existera plus.
De plus, le droit à l’oubli est également introduit par le nouveau règlement, ce qui permet de mettre à disposition les demandes d’annulation des données personnelles, droit qui reste toujours lié à certains critères ou certaines exigences. Une autre des principales mesures à mettre en œuvre est la représentation du Délégué à la Protection des Données, qui sera directement en charge du traitement des données et du respect par l’entreprise de toutes les tâches qui s’y rapportent. Il est également chargé de donner des solutions aux revendications éventuelles des utilisateurs. Ces réclamations peuvent même entraîner une indemnisation pour les dommages et préjudices causés au titulaire des données lors d’une utilisation illégale de celles-ci; ou des sanctions millionnaires pour la société qui n’a pas respecté le règlement, soit un maximum de 20 000 000 euros ou un montant équivalent à un maximum de 4% du volume d’affaires annuel total de l’exercice précédent, en optant pour le montant le plus élevé.
Quelles sont les obligations des entreprises ?
Parmi les données protégées qui ne peuvent pas en aucun être transférées à des tiers sans le consentement explicite du propriétaire, on ne retrouve pas seulement le nom, le prénom ou encore le numéro d’identification fiscale, mais aussi toutes données de base de la personne. Les données particulièrement sensibles de l’utilisateur ou du patient doivent être d’autant plus protégés, notamment les données en relation avec la prestation de services de psychologie ou celles liées à la santé, tant psychique que physique.
En d’autres termes, les entreprises fournissant le service sont tenues d’agir conformément au règlement général pour la protection des données, ainsi qu’à la directive 2011/24 / UE du Parlement européen et du Conseil, et doivent inclure toute information sur le traitement des données à caractère personnel des personnes physiques récoltées lors de l’enregistrement aux soins de santé, ou lors de toute autre prestation comme une assistance.
Le consentement devrait alors se donner expressément et clairement, validant l’utilisation des données à travers l’application par laquelle le service est fourni, en sélectionnant la case de conformité, activée à cet effet. Une fois le consentement remis, le traitement des données par les entreprises doit rester dans le cadre légal et loyal. Il est important de toujours informer sur les données collectées, utilisées ou consultées. Le vocabulaire à utiliser doit toujours être simple et claire, afin que le consentement puisse être correctement compris. De plus, l’entreprise doit remettre à l’utilisateur une série d’informations sur l’entreprise et son fonctionnement quant au traitement des données notamment l’identité du responsable du traitement, les finalités pour lesquelles elles sont collectées et celles pour lesquelles elles seront recueillies. Bien sûr, il est également important d’informer sur le laps de temps pendant lequel il sera nécessaire de à traiter les données jusqu’à ce qu’elles soient détruites.
Autrement dit, les données doivent être traitées de manière légale, juste et transparente pour l’intéressé. Toutefois, même si le règlement prévoit qu’ils ne peuvent être utilisés qu’aux fins pour lesquelles le consentement a été accordé, il établit l’exception lorsque son utilisation a pour but de servir l’intérêt public, la recherche scientifique et historique ou des fins statistiques. Dans ce cas, les mesures et garanties appropriées doivent être prises pour garantir la contribution de la quantité minimale de données permettant d’identifier l’individu, par exemple par la pseudonymisation des données fournies.
Par conséquent, les entreprises seront responsables des données traitées de manière à pouvoir garantir une sécurité adéquate de celles-ci, y compris leur protection contre les traitements non autorisés ou illicites et contre leur perte, destruction ou dommage accidentel. Tout cela devrait se faire par l’obligation d’une application correcte et pertinente des mesures techniques ou organisationnelles pour garantir l’intégrité et la confidentialité de celles-ci, en pouvant démontrer que cette responsabilité proactive des droits des utilisateurs est exercée.
Enfin, puisqu’il s’agit d’une catégorie particulière de données personnelles, la plupart de celles qui seront traitées dans le développement de la thérapie psychologique, telles que les données génétiques, biométriques, liées à la santé, sexuelles ou encore d’orientation sexuelle de l’utilisateur, il y a une exception pour cela.
En général, et pour la grande majorité des entreprises, son utilisation est interdite, étant donné que cela serait possible seulement si l’une des exceptions prévues par le règlement lui-même est remplie dans le cas qui nous concerne, lorsque le traitement de ces données est nécessaire pour le diagnostic médical, la fourniture d’assistance ou de traitement de type sanitaire ou social.
Et l’utilisateur, quels sont ses droits ?
Les droits que le règlement accorde aux titulaires des données traitées sont très étendus, car l’objectif est mettre en place une protection aussi large que possible et quelle que soit la situation dans laquelle se réalise le traitement de données. C’est pourquoi nous allons vous expliquer en détail les droits applicables aux utilisateurs de services de thérapie en ligne.
● Droit à l’information, l’accès, la rectification et la suppression des données personnelles collectées par l’entreprise. L’intéressé a le droit de demander confirmation auprès de l’entreprise responsable si ses données personnelles sont traitées, et de recevoir toutes les informations concernant ce traitement. Par ailleurs, l’entreprise doit pouvoir lui remettre une copie des données personnelles qui font l’objet du traitement, et si elles étaient inexactes ou incomplètes, il aurait la possibilité de les rectifier et / ou de les compléter. Enfin, l’intéressé peut également demander la suppression de ses données, qui ont été décrites comme un droit à l’oubli.
Pour pouvoir demander le droit à l’oubli de ses données personnelles, il faut au moins satisfaire à l’une de ces exigences, à savoir que les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées; l’intéressé a retiré son consentement pour le traitement des données relatives à sa santé; l’intéressé s’oppose au traitement des données par la société; ou encore des données personnelles ont été traitées illicitement.
● Droit à la limitation du traitement des données lorsque l’intéressé le demande pour l’une des causes établies dans le règlement: si l’exactitude des données personnelles est contestée, pendant la durée de la vérification ; s’il y a eu un traitement illicite des données ; si le responsable n’a plus besoin des données, mais que l’intéressé en a besoin pour formuler, exercer ou défendre une réclamation éventuelle ; ou lorsque la partie intéressée s’est opposée au traitement de ses données, pendant que l’on détermine s’il est approprié d’accepter une telle opposition.
● Dans le cas de données particulièrement sensibles qui ont été collectées lors de l’application de thérapies en ligne, ou à la demande d’informations préalables, l’intéressé a le droit de faire transférer ces données dans un format structuré, d’usage courant et de lecture mécanique, pour pouvoir les transmettre à une autre personne en charge du traitement des données.
● Recevoir toute communication concernant ses données personnelles de manière claire, concise et parfaitement intelligible, ainsi que d’avoir un accès facile à ces communications.
● Dès que l’entreprise a exercé tout droit sur les données personnelles, elle doit informer l’intéressé de l’état de sa demande dans un délai maximum d’un mois à compter de la réception de celle-ci. En cas de grande complexité ou d’un nombre élevé de demandes, le délai pour répondre à la demande peut être prolongé jusqu’à deux mois, mais en informant toujours la partie intéressée de ces circonstances dans le mois qui suit la réception de la demande.
● Dans le cas où la personne responsable du traitement des données décide de refuser l’action sollicitée par le propriétaire des données, elle doit absolument l’informer des raisons pour lesquelles la demande est rejetée dans les plus brefs délais avec un maximum d’un mois après réception. Par ailleurs, l’intéressé doit être informé de la possibilité de présenter la réclamation correspondante devant l’autorité de contrôle correspondante ou devant l’instance judiciaire.
● Le titulaire des données a le droit de gratuité sur la démarche d’information, tout comme toute autre démarche concernant ses données personnelles, telles que la rectification ou même l’annulation. Cependant, dans certains cas, les entreprises peuvent être amenée à facturer une petite taxe pour cette procédure notamment dans les cas où il y a des demandes objectivement infondées ou excessives, en particulier celles de nature répétitive. Cette redevance doit être raisonnable en fonction des frais administratifs encourus lors de la prise en charge de la demande. Dans tous les cas, une autre option est possible pour l’entreprise, celle du refus d’effectuer une action suite à la demande du propriétaire. Dans les deux cas, il appartiendra à la personne responsable du traitement de prouver que la demande est non fondée ou excessive si le propriétaire décide d’intenter une action en justice.
● La personne auprès de laquelle sont collectées les informations personnelles a le droit de recevoir certaines informations sur l’entreprise qui les collecte, parmi lesquelles nous trouvons : l’identité et les coordonnées du responsable du traitement, celles du délégué en charge de la protection des données, les finalités pour lesquelles elles sont collectées et la base juridique de la collecte, les destinataires des données collectées et si elles seront transférées vers un pays tiers ou une organisation internationale. De plus, il est nécessaire d’informer de la durée pendant laquelle les données seront traitées, de l’existence du droit d’accès, de rectification ou de suppression, du droit de retrait du consentement pour le traitement de données particulièrement sensibles dont nous avons parlé ci-dessus, qu’ils devraient cesser de traiter immédiatement, ou le droit de déposer une réclamation auprès de l’organisme de contrôle.
● Dans le cas où la communication de données personnelles est faite en vertu d’une relation juridique ou contractuelle, il faut préciser si l’intéressé est tenu de fournir les données demandées, ainsi que les conséquences que cela aura sur le contrat s’il ne le faisait pas.
● Pour les cas dans lesquels le responsable du traitement est amené à modifier, a posteriori, les finalités pour lesquelles les données ont été initialement collectées, l’utilisateur a le droit d’être informé de cette circonstance et aura la possibilité de ne pas accorder son autorisation pour ce nouvel objectif.
● Enfin, comme nous l’avons déjà mentionné ci-dessus, dans le cas où le règlement serait violé, l’utilisateur qui subit un dommage ou une perte suite au traitement de ses données, a droit à une indemnisation en fonction des dommages ou pertes subis.
Face à tous ces droits, l’intéressé a un seul devoir qui est celui de faciliter pleinement l’information sur son identité à la personne responsable du traitement des données personnelles, qui peut être amenée à lui demander de fournir des informations supplémentaires nécessaires à cette vérification. Bien que nous ne pouvons pas ignorer que c’est vraiment un droit des parties intéressées elles-mêmes, son objectif est précisément de garantir la confidentialité et l’intégrité des données personnelles.
Comment l’application aide-t-elle à ne pas enfreindre la réglementation relative à la protection des données ?
L’application offerte par le portail est conçue pour aider à la fois les entreprises qui offrent leurs services ainsi que ses utilisateurs Elle leur permet de prendre les mesures appropriées pour protéger leurs données personnelles. Par ailleurs, l’application laisse la possibilité à l’utilisateur d’autoriser le consentement exprès afin que l’entreprise puisse traiter ses données. Evidemment, elle dispose de toutes les mesures de sécurité et de cryptage nécessaires, visant à garantir l’acheminement en toute sécurité des données obtenues vers la société cible, sans fuite susceptible de compromettre sa confidentialité. En s’appuyant sur les dispositions légales applicables au traitement des données personnelles et des données spécialement protégées dont nous avons déjà parlé plus haut.