Protection des Données et Conformité aux normes LPD et RGPD


Chez agenda.ch, nous accordons de l'importance à la confidentialité des données et à la transparence.

Ainsi, nous prenons des mesures proactives pour que notre service réponde aux normes Suisse (en anticipant la nouvelle LPD loi sur la protection des données) de même que le nouveau règlement Européen RGPD relatif à la protection des données applicable depuis le 25 mai 2018. C'est pourquoi nous souhaitons vous faire part de certains changements apportés à nos Conditions Générales pour les clients d'agenda.ch, ainsi que l’ajout des Conditions de réservations de rendez-vous en ligne, qui doivent désormais obligatoire être validées par vos clients / patients pour tous les rendez-vous réservés à ligne depuis le 15 mai 2018.

Avant de présenter les actions concrètes, il est important de détailler le cas spécifique d’agenda.ch. En effet, agenda.ch est une plateforme SaaS de gestion d’agenda "B to B", nos clients entreprises ou indépendants l’utilisent donc pour collecter et stocker des données de prise de rendez-vous et de client/patient.



Il faut ainsi identifier et bien distinguer deux responsabilités :

1. Le responsable du traitement (Data Controller) – c’est la société / la personne qui décide quelles données collecter, et qui définit l’objectif de cette collecte de données, dans notre cas, le client d’agenda.ch (médecin, ostéopathe, esthéticienne, etc).

2. Le sous-traitant (Data Processor)– (ici agenda.ch) c’est la société qui "traite" les données personnelles pour le compte du responsable du traitement.

En tant que soustraitant, nous ne traitons pas les données personnelles gérées par notre produit agenda.ch que sur instruction documentée du responsable du traitement (notre client). Cela signifie que nous ne manipulons pas, ne diffusons pas, n’utilisons pas, ne partageons pas les données collectées au travers de notre plateforme, car ces données ne nous appartiennent pas.

Par ailleurs, toutes les données d'agenda.ch sont stockées chez notre fournisseur d'accès Exoscale en Suisse.


Voici un bref résumé des actions continues:

  • Depuis le 15 mai 2018, nous avons intégré dans le formulaire de prise de rendez-vous l’obligation pour un client/patient de cocher des conditions d'utilisation spécifiques à la protection des données lors de la prise de rendez-vous en ligne, avec la mise en place de mentions légales relatives à la collecte de données personnelles, qui détaillent les flux de collecte et de traitement de données qui leur sont spécifiques.
  • nous mettons régulièrement à jour cette page consacrée aux Principes de confidentialité avec des explications sur comment nous traitons les informations et les données personnellesune description détaillée de nos pratiques en matière de sécurité ainsi que des conditions relatives au traitement des données expliquant comment les clients peuvent avoir plus d’informations sur notre sécurité.
  • Idem pour des précisions sur notre collaboration avec des partenaires de confiance et des sources en ligne afin d'améliorer la qualité des informations personnelles que nous détenons sur les utilisateurs, de comprendre comment les utilisateurs interagissent avec notre site et de découvrir les types de services qui les intéressent.
  • L’objectif principal de la future Loi sur la Protection des Données Suisse ainsi que le RGPD (Règlement Général sur la protection des données) est de renforcer le cadre légal de protection des données personnelles, et de l’uniformiser sur l’ensemble du territoire Européen. Dans notre contexte, les règles promulguées par RGPD (et le futur LPD) appellent majoritairement à prendre des mesures de bon sens : une architecture moderne et sécurisée, une bonne organisation, un peu de documentation, ces mesures permettent d’être conforme à la majorité des règles. Plus d’information sur ceci suivra bientôt.


    Architecture de l’application agenda.ch actuelle :

    • Toutes les données d’agenda.ch sont hébergées en Suisse (chez Exoscale).
    • Un client d'agenda.ch a accès à son espace d’agenda.ch, accessible par un mot de passe stocké de manière cryptée, accessible par SSL.
    • Un compte est bloqué après un certain nombre de tentatives infructueuses.
    • agenda.ch n’utilise et ne traite pas les données de ses clients, en particulier leur fichier patient ou client.
    • Les backups sont chiffrés.
    • Nous avons mis en place une politique de logs applicatifs pour détecter et tracer toute tentative d’intrusion dans notre architecture applicative.


    Evolutions prévus de nos services vers un « Privacy by Design » :
    • Nous serons en mesure d’effectuer une destruction physique de l’intégralité des données d’un utilisateur, ou d'un client d'un client, sur simple demande.
    • Nous allons créer des pages pour permettre aux utilisateur, une fois identifiés, de consulter et de modifier leurs informations personnelles ;
    • Nous étudions la création d'un formulaire pour récolter les demandes d’accès aux informations personnelles des utilisateurs, notamment pour déclencher un droit à l’oubli et de les faire supprimer physiquement et donc définitivement. Nous allons déterminer dans les prochains mois si cette demande sera traité par les clients d'agenda.ch ou par agenda.ch directement.
    • Nous allons ajouter dans notre Centre d’aide http://help.agenda.ch des informations sur la manière de faire valoir les droits d’utilisateurs sur leurs données et de contrôler l’utilisation de vos informations personnelles via nos services. Nous expliquons également comment nous pouvons gérer les demandes concernant les données que vous pourriez recevoir de la part des clients / patients de nationalité Européenne.
Avec l’application de ces mesures, nous souhaitons assurer à nos client d'être en conformité à la future loi LPD ainsi que le GDPR sur les aspects relatifs à leur data processor.



Cette page sera régulièrement mis à jour, dernière mise à jour le 12 novembre 2019.