Délibération

Norme simplifiée n° 54 : Délibération relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les opticiens lunetiers pour la gestion de leur activité professionnelle

Santé, Optique-lunetterie

L'opticien-lunetier responsable ou le directeur de l'organisme gestionnaire du centre d'optique

(par exemple : mutuelle)

gestion de clientèle : fiche client, courriers et relances
édition des feuilles de soins et télétransmission aux organismes d'assurance maladie
gestion des fournisseurs
traçabilité des produits et des intervenants
gestion des prospects
enquêtes de satisfaction
établissement de statistiques

prospection commerciale à partir des données de santé ou traitement permettant d'identifier le prescripteur

identité du client : nom, prénoms, adresse, numéro de téléphone, de télécopie, adresse électronique, date de naissance, code client
facturation : numéros de la transaction, de chèque, de carte bancaire, remises consenties, reçus, impayés, relances, soldes
numéro de sécurité sociale et taux de prise en charge pour l'édition des feuilles de soins et la télétransmission aux organismes d'assurance maladie obligatoire et complémentaire
santé : prescriptions, ordonnances, mesures d'adaptation, produits délivrés, dispositifs médicaux, données directement liées aux défauts optiques
prescripteurs : identité, n° d'agrément ou n° professionnel, spécialité
relation client : historique des achats, retour des produits, traçabilité (suivi) du circuit de vente du produit, correspondances avec le client et service-après-vente

(sur support distinct et dans des conditions de sécurité équivalentes)

les opticiens-lunetiers du centre d'optique
les membres du personnel du centre d'optique pour les seules informations relatives à la relation avec les clients
le praticien prescripteur et les professionnels de santé intervenant dans la prise en charge du défaut optique, sur demande ou avec l'accord du client
les personnels des organismes d'assurance maladie obligatoire ( pour les seules données suivantes : l'identité de l'assuré, le numéro de sécurité sociale et le code des prestations servies)
le personnel des organismes d'assurance maladie complémentaire (pour les seules données suivantes : l'identité de leurs assurés, le numéro de sécurité sociale et les codes regroupés, les catégories des prestations effectuées)
le concentrateur dans le cadre des transmissions à l'assurance maladie obligatoire et complémentaire
les fournisseurs pour l'accomplissement de leurs prestations (pour les seules données suivantes : identité, déficience visuelle, produits commandés)

Un document affiché dans les locaux ou remis en main propre informant :

de l'identité du responsable du traitement,
de la finalité du traitement,
des destinataires des informations,
des modalités pratiques d'exercice des droits, en particulier du droit d'accès aux informations et d'opposition, sans frais et sans justification,
de l'utilisation possible de données d'identité relatives aux clients, à l'exclusion des données de santé, à des fins de prospection commerciale et de leur droit de s'opposer à une telle utilisation.

Mesures de sécurité physique et logique afin de préserver la confidentialité des informations et d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
utilisation d'un identifiant et d'un mot de passe, ou, de préférence, d'une carte de professionnel de santé (CPS) pour l'accès à l'application par l'opticien-lunetier responsable.
utilisation d'un identifiant et d'un mot de passe pour le personnel placé sous l'autorité de l'opticien-lunetier responsable, suivant leur fonction.
mise en place d'une messagerie sécurisée comportant un système de chiffrement fort pour transmettre des données personnelles de santé via le réseau Internet et d'un dispositif technique approprié mis à jour régulièrement (antivirus) afin de se prémunir des risques de captation des données.
un dispositif de traçabilité des accès aux traitements.