Ce site utilise des cookies pour améliorer votre expérience sur le site

RGPD et pharmacie après la mise en application du règlement européen

Publié le

Les changements à compter du 25 mai 2018, date d’entrée en application du RGPD

Cet article reprend les informations disponibles au 1er juillet 2018 sur la mise en conformité des pharmacies avec le règlement général pour la protection des données (RGPD).

Comme exposé dans  l’article publié en décembre 2017 sur le blog, le RGPD va donc vers une plus grande responsabilisation des acteurs et de leurs sous-traitants concernant la protection des données.

Les réponses à vos questions sur l’application du règlement européen en pharmacie.

Photo by Timon Studler on Unsplash
Photo by Timon Studler on Unsplash

Qui est le responsable de traitement ?

Le responsable du traitement est celui qui décide des finalités et des moyens des traitements. En pharmacie il s’agit donc des pharmaciens titulaires.
Ainsi il incombe au responsable du traitement de s’assurer de la conformité des prestataires qui traitent les données dont il est responsable (LGO, éditeur du site web, groupement qui analyse les données…). Les prestataires doivent donc prouver à leur donneur d’ordre leur bonne conformité avec le RGPD (la désignation d’un DPO, la tenue du registre des traitements, les études d’impact menées).

Faut-il nommer un DPO, Data Privacy Officer ?

La désignation d’un délégué à la protection des données devient obligatoire pour les structures qui exercent une « activité à grande échelle » (échelle qui n’est toutefois pas précisée par la CNIL). Le DPO doit, en outre, être distingué du responsable de traitement et peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Le DPO est désigné en interne, ou externalisé (consultants, cabinets d’avocats, etc.). (cf page CNIL dédiée ).

Pour tenter de répondre précisément à cette question, l’Ordre national des médecins a publié un guide pratique de recommandations dans lequel sont précisés les cas nécessitant la désignation d’un DPO : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc. On peut alors penser que, lorsqu’une pharmacie est incluse dans ces échanges de données avec les médecins, l’obligation de nomination d’un DPO va s’appliquer et pourra être mutualisée. Qu’en est-il pour les groupements et les réseaux formels ou informels de pharmaciens qui mettent en commun leur base de données, les sites web propriétaires de e-réservation ou de click&collect même peu actifs ?

Doit-on informer les personnes concernées ?

Le responsable du traitement a l’obligation d’informer les personnes concernées par un traitement des données (patients, fournisseurs, usagers, personnel) et s’assurer de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.). Recueillir le consentement du patient n’est pas systématique en pharmacie lors de la délivrance de traitements (recueil d’information « nécessaire aux fins des intérêts légitimes poursuis par le responsable du traitement »), mais le patient doit en être informé par panneaux d’affichage sur le point de vente ou d’une page «  protection des données  » ou «  informatique et libertés  » sur le site internet de l’établissement. (cf Art. 32 de la loi informatique et liberté)

Les usagers dûment informés peuvent alors mettre en oeuvre leur droit à la portabilité. Seules les données recueillies avec l’accord de l’usager ou dans le cadre d’un contrat sont concernées. « Le droit à la portabilité concerne par exemple des informations qui ont été déclarées (coordonnées, like, …) mais également des données tirées de l’activité (historique d’achat, données enregistrées par une montre connectée …)« . En revanche sont exclues « les données dérivées, calculées ou inférées à partir de ces informations« . Donc en théorie, si le patient demande à avoir accès à son historique des entretiens pharmaceutiques par exemple, le pharmacien devrait être en mesure de les lui fournir dans un format « structuré, couramment utilisé et lisible par une machine » ou de le transmettre à une autre pharmacie … (cf page CNIL sur le droit à la portabilité)

Qu’est ce que le registre des traitements ?

La déclaration du fichier à la CNIL, via la norme simplifiée 052, n’est plus d’actualité en revanche, le responsable du traitement doit tenir un « registre des traitements » (article 30 du RGPD).Chaque fichier utilisé doit être explicitement décrit (responsable du traitement, finalité et personnes concernées) et mentionner les usages, les enregistrements ou toutes les opérations réalisées sur les données. La tenue de ce registre permet d’identifier et de corriger les potentielles failles de sécurités. Tout fichier, créé par à l’officine, contenant une information relative à une personne physique identifiée ou identifiable (nom, prénom, date de naissance, numéro de téléphone, numéro de sécurité sociale, empreinte digitale…) doit être tracé quelque soit le support. Pour la pharmacie, les fichiers concernés sont par exemple le logiciel métier avec les fichiers patients, le registre du personnel, un logiciel de gestion de la paie, un tableau Excel avec la liste des fournisseurs, une base de contacts des professionnels de santé, une installation de vidéosurveillance ou de télémédecine, la base de donnée des clients recevant les Newsletter, le carnet de RDV  pour les entretiens nutrition, coaching, beauté… menés à la pharmacie ... A noter que les sous traitants doivent également tenir un registre des traitements. Un modèle de registre est disponible sur le site de la CNIL. (cf. page CNIL dédiée au registre avec modèle).

Des solutions externalisées se sont développées pour tenir rigoureusement ce registre et les actions correctrices qui peuvent en découler. Par exemple, la plateforme datalegaldrive.com centralise l’ensemble des éléments de mise en conformité avec le RGPD pour les petites et moyennes entreprises. Elle est porté par le cabinet d’avocat Staub & Associés et l’éditeur web PocketResult.

Crédits : DataLegalDrive.com

Faut-il mener des études d’Impact sur la Vie Privée ?

Les entreprises ont une obligation de réfléchir en amont à des études d’Impact sur la Vie Privée concernant les risques liés à la sécurité des données (fuite de données confidentielles, perte, intrusion ou altération, non-conformité des projets antérieurs). Le texte prévoit des exceptions, l’activité du pharmacien liée à la délivrance d’un médicament en fait partie et ne fait pas l’objet d’étude d’impact : « Les traitements régulièrement mis en œuvre avant l’entrée en application du RGPD le 25 mai 2018 (c’est-à-dire ayant fait l’objet d’une formalité auprès de la CNIL [comme la norme 052 pour les pharmaciens] n’ont pas à faire l’objet d’une analyse d’impact dans un délai de trois ans à compter du 25 mai 2018, à moins que ceux-ci n’aient fait l’objet d’une modification substantielle depuis leur mise en œuvre »(Cf page CNIL données personnelles de santé).

Concernant les autres activités du pharmacien qui pourraient potentiellement être assujetties à des études d’impact (ie toutes les activités avec collecte de data ne relevant pas de l’ancienne Norme 052 liée à la gestion informatisée de la pharmacie pour les prescriptions delivrées), la CNIL indique de se référer au DPO de la structure. Est-ce que cela signifie que si l’entité n’est pas dans le cas de nomination obligatoire d’un DPO elle n’a pas à faire d’étude d’impact ? Un léger flou subsiste sur ce point.

La CNIL met à disposition des DPO un logiciel pour simuler ces études d’impact (Logiciel PIA)

Logiciel PIA mis à disposition par la CNIL pour les études d'impact
Logiciel PIA mis à disposition par la CNIL

Quel accès aux données ?

Les entreprises doivent prendre en compte le risque pour la vie privée tout au long du processus d’élaboration d’un nouveau produit ou service, et adopter des mécanismes permettant de s’assurer que, par défaut, seul un minimum de données personnelles est collecté, utilisé et conservé. Les données patients sont conservées 3 ans à l’officine et archivées sur un site distinct durant 15 ans sauf exception comme les produits dérivés du sang.

Le responsable du traitement doit garantir que chaque utilisateur du logiciel métier n’accède qu’aux données dont il a besoin pour l’exercice de sa mission. Concrètement, cela se traduit par :

  • une méthode d’authentification : la remise d’un identifiant unique à chaque utilisateur associé à un moyen de s’authentifier
  • une gestion des habilitations : un contrôle a priori de l’accès aux données pour chaque catégorie d’utilisateurs. Des profils types (pharmacien, préparateur, rayonniste) sont paramétrés par défaut sur le LGO et personnalisables.
  • Les utilisateurs doivent être conscients des menaces en termes de sécurité, ainsi que des enjeux concernant la protection des données personnelles.

Fin juin, le conseil national de l’Ordre des médecins a co-publié avec la CNIL un guide pratique pour les praticiens médicaux. De son coté, l’Ordre des pharmaciens a relayé les informations de la CNIL utiles aux pharmaciens et publié le 27 juin 2018 un décryptage du RGPD sur son site (Les apports du RGPD, site du CNOP). Par ailleurs, le CNOP met à disposition des pharmaciens inscrits au tableau les coordonnées du DPO du CNOP  ( Maître Jeanne BOSSI-MALAFOSSE, avocat associé au sein du Cabinet DELSOL Avocats : dpo@ordre.pharmacien.fr et 01.81.69.47.43.)

Il reste cependant encore beaucoup d’interrogations sur la mise en oeuvre du RGDP pour la pharmacie, les groupements et leur sous-traitants.

A l’heure où la profession cherche à investir dans des services, à proposer de nouvelles interactions aux patients, la mise en conformité avec le règlement européen nécessite des ressources, notamment juridiques, qui viennent complexifier le passage à une offre de services.

Les outils numériques sont particulièrement sensibles au sujet de la réglementation de la protection des données. Les acteurs les plus sérieux (comme ceux ayant déjà implémentés des hébergements HADS) seront les plus à même de rassurer les utilisateurs quant à sécurité de leurs données personnelles. On peut donc penser que la mise en place du RGPD va assainir l’offre et seuls les acteurs les plus robustes pourront être les partenaires du pharmacien.

Partager cet article :

Une réponse à “RGPD et pharmacie après la mise en application du règlement européen”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.