Délibération 2006-295 du 21 décembre 2006

Commission Nationale de l'Informatique et des Libertés
Délibération n°2006-295 du 21 décembre 2006
Délibération portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les opticiens lunetiers pour la gestion de leur activité professionnelle.
NOR: CNIA0600026X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données notamment son article 8 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 relative à l'informatique, aux fichiers et aux libertés notamment ses articles 8, 11, 22, 23, 24 et 30 ;

Vu les articles 226-13 et 226-14 du code pénal relatifs au secret professionnel ;

Vu les articles L. 161-29, R. 115-1 et suivants et R. 161-47 du code de la sécurité sociale ;

Vu le Code de la Santé Publique et notamment ses articles L. 4362-1 à L. 4362-9 relatifs à la profession des opticiens lunetiers ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 ;

Vu la délibération n° 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données à caractère personnel ;

Les opticiens lunetiers sont des auxiliaires médicaux dont la profession est réglementée par le code de la santé publique et qui traitent des informations relatives à la santé de leurs clients nécessaires à la correction des défauts ou déficiences de la vue ;

En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Les traitements informatisés de données à caractère personnel mis en oeuvre par les opticiens- lunetiers sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.

Décide d'adopter la norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les opticiens lunetiers pour la gestion de leur activité professionnelle, qui s'engagent à respecter les conditions figurant dans le tableau joint en annexe.

La présente délibération sera publiée au journal officiel de la République française.

Le Président, Alex TURK.

Norme simplifiée n° 54 relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les opticiens lunetiers pour la gestion de leur activité professionnelle

Tableau des conditions auxquelles doivent répondre les traitements de données à caractère personnel mis en place par les opticiens lunetiers pour bénéficier de la procédure simplifiée

Secteurs concernés :

Santé, Optique-lunetterie

Responsable du traitement

L'opticien-lunetier responsable ou le directeur de l'organisme gestionnaire du centre d'optique (par traitement exemple : mutuelle)

Finalités :

- gestion de clientèle : fiche client, courriers et relances

- édition des feuilles de soins et télétransmission aux organismes d'assurance maladie

- gestion des fournisseurs

- traçabilité des produits et des intervenants

- gestion des prospects

- enquêtes de satisfaction

- établissement de statistiques

Utilisation exclue :

- prospection commerciale à partir des données de santé ou traitement permettant d'identifier le prescripteur

Données traitées :

- identité du client : nom, prénoms, adresse, numéro de téléphone, de télécopie, adresse électronique, date de naissance, code client

- facturation : numéros de la transaction, de chèque, de carte bancaire, remises consenties, reçus impayés, relances, soldes

- numéro de sécurité sociale et taux de prise en charge pour l'édition des feuilles de soins et la télétransmission aux organismes d'assurance maladie obligatoire et complémentaire

- santé : prescriptions, ordonnances, mesures d'adaptation, produits délivrés, dispositifs médicaux, données directement liées aux défauts optiques

- prescripteurs : identité, n° d'agrément ou n° professionnel, spécialité

- relation client : historique des achats, retour des produits, traçabilité (suivi) du circuit de vente du produit, correspondances avec le client et service-après-vente

Durée de conservation :

- 5 ans puis archivage 15 ans (sur support distinct et dans des conditions de sécurité équivalentes)

Destinataires des données :

- les opticiens-lunetiers du centre d'optique

- les membres du personnel du centre d'optique pour les seules informations relatives à la relation avec les clients

- le praticien prescripteur et les professionnels de santé intervenant dans la prise en charge du défaut optique, sur demande ou avec l'accord du client

- les personnels des organismes d'assurance maladie obligatoire ( pour les seules données suivantes : l'identité de l'assuré, le numéro de sécurité sociale et le code des prestations servies)

- le personnel des organismes d'assurance maladie complémentaire (pour les seules donnée suivantes : l'identité de leurs assurés, le numéro de sécurité sociale et les codes regroupés, les catégories des prestations effectuées)

- le concentrateur dans le cadre des transmissions à l'assurance maladie obligatoire et complémentaire

- les fournisseurs pour l'accomplissement de leurs prestations (pour les seules données suivantes : identité, déficience visuelle, produits commandés)

Information et droit d'accès :

Un document affiché dans les locaux ou remis en main propre informant :

. de l'identité du responsable du traitement,

. de la finalité du traitement :

. des destinataires des informations,

. des modalités pratiques d'exercice des droits, en particulier du droit d'accès aux informations et d'opposition, sans frais et sans justification,

. de l'utilisation possible de données d'identité relatives aux clients, à l'exclusion des données de santé, à des fins de prospection commerciale et de leur droit de s'opposer à une telle utilisation.

Sécurités :

- Mesures de sécurité physique et logique afin de préserver la confidentialité des informations et d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

- utilisation d'un identifiant et d'un mot de passe, ou, de préférence, d'une carte de professionnel de santé (CPS) pour l'accès à l'application par l'opticien-lunetier responsable.

- utilisation d'un identifiant et d'un mot de passe pour le personnel placé sous l'autorité l'opticien- lunetier responsable, suivant leur fonction.

- mise en place d'une messagerie sécurisée comportant un système de chiffrement fort pour transmettre des données personnelles de santé via le réseau Internet et d'un dispositif technique approprié mis à jour régulièrement (antivirus) afin de se prémunir des risques de captation des données.

- un dispositif de traçabilité des accès aux traitements.




Nature de la délibération: NORME SIMPLIFIÉE
Date de la publication sur legifrance: 14 octobre 2015