RGPD, Data et pharmacie d’officine, ce qui change en mai 2018.

La pharmacie est un lieu de production et de collecte de données et à fortiori de données personnelles de santé. Au 25 mai 2018, le règlement européen, voté 2 ans plus tôt, entrera en application directe pour tous les états membres[1]. Les entreprises ont donc eu 2 ans pour se préparer à la mise en place de la fameuse RGPD (General Data Protection Regulation).
La France était un des premiers pays à avoir déjà statué sur la protection des données et le seul pays imposant un hébergement agréé pour les données de santé depuis 2002[2]. La RGPD vient donc renforcer la loi informatique et liberté du 6 janvier 1978 et la loi pour une République Numérique promulguée en octobre 2016.

Tour d’horizon des obligations pour la pharmacie d’officine tant sur le point de vente que sur les sites web.

Crédit Photo Sebastian Pichler on Unsplash

Crédit Photo Sebastian Pichler on Unsplash

La réglementation

Le règlement européen du 27 avril 2016 définit les données de santé comme suit :

« Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique ; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro. »

Cette définition s’appliquera à l’échelle européenne à compter du 25 mai 2018.

En France, les données relatives à la santé sont considérées par la loi Informatique et Libertés (article 8) comme des données sensibles dont le traitement et la collecte sont par principe interdits.

Les données de santé ne peuvent être utilisées et communiquées que dans des conditions déterminées par la loi et dans l’intérêt des patients ou pour les besoins de la santé publique. La loi Informatique et Libertés énumère les cas dans lesquels le traitement[3] ou la collecte des données de santé est possible comme les traitements nécessaires aux fins de suivi médical des personnes, de prévention, de diagnostic, d’administration de soins ou de traitements, ou de gestion de services de santé, les traitements de données de santé à des fins d’évaluation ou d’analyse des pratiques ou des activités de soins de prévention.
Concrètement cela signifie que recueillir le consentement du patient n’est pas systématique puisqu’il « est nécessaire aux fins des intérêts légitimes poursuis par le responsable du traitement ». Par exemple, sans accès à l’historique des délivrances d’un patient, le pharmacien ne peut exercer pleinement son conseil pharmaceutique.

D’autres textes organisent l’accès aux données de santé dans le cadre d’une équipe de soins[4], de la télémédecine[5] ou de la sécurité sociale[6].

La responsabilité du pharmacien face aux données

Le pharmacien est soumis à un ensemble d’obligation pour garantir la confidentialité des informations liées à son activité et à ses clients.
Le pharmacien titulaire est désigné comme le responsable du fichier informatique et doit en garantir sa sécurité : la confidentialité et non divulgation à des tiers non autorisés. Toute infraction relève du pénal.

  • Le secret professionnel

Le pharmacien est tenu au secret professionnel qui couvre l’ensemble des informations, concernant une personne, venues à la connaissance du pharmacien dans sa pratique professionnelle. [7]

Cependant, « un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge, à condition qu’ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social. »

Tout échange ou partage d’information en dehors d’une équipe de soin devra être autorisé par le patient par consentement express et le patient peut à tout moment s’y opposer. Le consentement du patient ne suffit pas à exonérer le professionnel de santé de son obligation de secret professionnel.

  • La protection des données personnelles

La loi informatique et libertés encadre les termes de collecte, de traitement et de conservation[8] des données personnelles et des données de santé :

  • Le principe de la finalité : le recueil et le traitement sont réalisés pour un usage déterminé et légitime, déclarés auprès de la CNIL. Une déclaration simplifiée par la norme NS-052 concernant la gestion informatisée de la pharmacie est à réaliser par le titulaire.
  • Le principe de la pertinence des données : seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis par le traitement des données.
  • Le droit à l’oubli : la conservation ne peut être illimitée. Les données doivent être conservées pendant une durée précise et déterminée en fonction de l’objet de chaque fichier. La durée maximale de conservation est limitée à 3 ans.
  • Le principe du respect des droits des personnes. Chaque personne concernée par  un enregistrement de ses données personnelles doit être informée des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des destinataires et des modalités d’accès, de rectification et d’opposition. Cette information doit être assurée par panneaux d’affichage sur le point de vente ou une page «  protection des données  » ou «  informatique et libertés  » sur le site internet de l’établissement. Lorsque les informations sont recueillies par voie de questionnaires, papier ou informatisés, ceux-ci doivent comporter ces mentions légales.
  • Lorsque l’hébergement des données est externalisé (epharmacie commercialisant des OTC), le dépôt et la conservation des données personnelles de santé doivent être effectuées sur des serveurs agréés de données de santé à caractère personnel qu’avec le consentement exprès de la personne concernée[9]. A noter qu’une simple page vitrine ne nécessite plus de déclaration à la CNIL, en revanche, tout site, collectant des données personnelles (questionnaire en ligne, commande en ligne, création d’un compte en ligne, etc.), nécessite la déclaration du fichier constitué avec ces informations (déclaration simplifiée pour un fichier client, déclaration normale pour un site avec un forum, chat…)
  • Le dossier Pharmaceutique

Le dossier pharmaceutique est un dossier professionnel hébergé sur internet qui permet au pharmacien d’avoir accès à l’historique des médicaments prescrits ou délivrés à une personne, au cours des 4 derniers mois, 21 ans pour les vaccins, quelle que soit l’officine de délivrance. Cet outil, à l’initiative de l’ordre national des pharmaciens, permet de sécuriser la délivrance des médicaments en calculant le risque d’interactions médicamenteuses à partir de la liste de l’ensemble des médicaments dispensés. Les informations accessibles au pharmacien concernent la dénomination des médicaments délivrés (avec ou sans prescription), leur quantité et leur date de délivrance. Aucune indication n’est donnée sur le prescripteur, le prix et le lieu de délivrance des médicaments.

L’ouverture d’un DP est facultative et subordonnée à l’accord exprès du patient. Ce dernier a la faculté de fermer son DP à tout moment dans l’officine de son choix. Le patient qui a ouvert un DP peut s’opposer à sa consultation par le pharmacien. Cette consultation ne peut être effectuée qu’en sa présence puisqu’elle nécessite la présentation de sa carte Vitale. Le patient a également la possibilité de refuser l’inscription de tel ou tel médicament dans son DP s’il ne souhaite pas qu’il y figure ; il est alors fait mention du caractère incomplet du DP. Le patient a accès à son DP par l’intermédiaire du pharmacien de son choix. Une copie peut lui être remise à sa demande. Les pharmaciens d’officine se connectent à la plate forme de l’hébergeur en utilisant leur carte CPS et la carte Vitale du patient. Seuls les pharmaciens peuvent consulter et alimenter l’historique des médicaments délivrés. Les pharmaciens utilisant le DP n’ont pas de formalités spécifiques à accomplir s’ils ont réalisé un engagement de conformité avec la norme simplifiée NS-052.

Rappel des bonnes pratiques à date

Comme mentionné précédemment, le titulaire a déclaré à la CNIL l’usage informatisé du traitement des données et affiché les mentions légales spécifiques à l’exercice de la pharmacie d’officine (modèle disponible içi).

Au quotidien à l’officine

Le titulaire doit garantir que chaque utilisateur du LGO n’accède qu’aux données dont il a besoin pour l’exercice de sa mission. Concrètement, cela se traduit par :

  • une méthode d’authentification : la remise d’un identifiant unique à chaque utilisateur associé à un moyen de s’authentifier
  • une gestion des habilitations : un contrôle a priori de l’accès aux données pour chaque catégorie d’utilisateurs. Des profils types (pharmacien, préparateur, rayonniste) sont paramétrés par défaut sur le LGO et personnalisables.

Il convient de veiller également à ce que les utilisateurs soient conscients des menaces en termes de sécurité, ainsi que des enjeux concernant la protection des données personnelles.

Les risques d’intrusion dans les systèmes informatiques sont réels et peuvent conduire à l’implantation de virus ou de programmes «espions».
La sécurité des postes de travail passe par une mise en œuvre de mesures pour:

  • prévenir les tentatives d’accès frauduleux : en limitant le nombre de tentatives d’accès à un compte,
  • éviter l’exécution de virus : installer un «pare-feu» (firewall) logiciel, limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail, utiliser des antivirus régulièrement mis à jour, verrouiller automatiquement les sessions après un délai approprié à l’activité
  • empêcher la prise de contrôle à distance, notamment via internet : afficher, lors de la connexion à un compte, les dates et heures de la dernière connexion

Les e-pharmacies

Identification de sites sécurisés par Google

Vérifier la sécurité de la connexion d’un site par Google

La cybercriminalité ne se concentre plus uniquement sur les fraudes des données bancaires mais également sur les données médicales. « Le prix de vente des dossiers médicaux sur le Dark Web varie entre 0,03 € et 2,2 €. A titre de comparaison, une carte de crédit s’y monnaie entre 3,60 et 4,50 €, tandis que l’accès à un compte bancaire varie entre 12,60 et 22,50 € » selon le rapport d’octobre 2016 du McAfee Labs (Accéder au rapport en anglais). Si les cliniques et hôpitaux ont été les principales cibles des piratages, la base de donnée de la pharmacie n’est pas à l’abri, et notamment les sites marchands de pharmacies.

La communauté en ligne Zataz spécialisée en cybersécurité avait alerté en 2014 sur les failles de sécurité des quelques 203 sites e-commerces de pharmacie autorisés par les ARS à cette date. La moitié des sites sites étaient la cible facile de pirate pour s’y introduire et afficher de pages malveillantes (redirection vers une page de vente illicite de médicaments) ou capter les données utilisateurs.
Le pharmacien doit s’assurer que son site est sécurisé (protocole HTTPS). S’il fait commerce d’OTC, il porte la responsabilité de vérifier que le site est bien hébergé sur des serveurs agréés pour l’hébergement de données de santé.

Les évolutions à compter de mai 2018, date d’entrée en application de la RGPD

La réforme de la protection des données poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

La RGPD va donc vers une plus grande responsabilisation des acteurs sur la protection des données.

Ainsi la lecture plus large de la sous-traitance a pour conséquence une pleine responsabilité pour le donneur d’ordre. Le pharmacien a donc la responsabilité de s’assurer de la conformité des prestataires qui traitent les données dont il est responsable (LGO, éditeur du site web, groupement qui analyse les données…).

Concernant la portabilité des données personnelles, en théorie, si le patient demande à avoir accès à son historique des entretiens pharmaceutiques par exemple, le pharmacien devrait être en mesure de le lui remettre ou de le transmettre à une autre pharmacie. Un argument supplémentaire en faveur d’un déploiement rapide du DMP comme acté dans la convention pharmaceutique pour 2018-2022 (rémunération de 1€ par ouverture par patient en pharmacie).

La nouveauté réside dans le respect de la Vie Privée dès la conception et le respect de la Vie Privée par défaut (Privacy by design et Privacy by default). Les entreprises doivent prendre en compte le risque pour la vie privée tout au long du processus d’élaboration d’un nouveau produit ou service, et adopter des mécanismes permettant de s’assurer que, par défaut, seul un minimum de données personnelles est collecté, utilisé et conservé.

La désignation d’un délégué à la protection des données devient obligatoire (le DPO – Data Privacy Officer), ce sera donc le pharmacien titulaire.

En revanche s’il n’y a pas de formalité a priori, les entreprises ont une obligation de réfléchir en amont sur des études d’Impact sur la Vie Privée concernant les risques liés à la sécurité des données (fuite de données confidentielles, perte, intrusion ou altération, non-conformité des projets antérieurs). Exemple de risque : la non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient.

La CNIL met à disposition des DPO un logiciel pour simuler ces études d’impact (Logiciel PIA)

Logiciel PIA mis à disposition par la CNIL pour les études d'impact

Logiciel PIA mis à disposition par la CNIL

A date, les instances représentatives de la pharmacie ne se sont pas encore prononcées sur l’entrée en vigueur du règlement Européen et de ses conséquences pour la pharmacie d’officine. Il semble difficile d’imaginer chaque pharmacien se charger de vérifier la conformité avec ces nouvelles obligations. Les éditeurs de logiciels métier pour la pharmacie travaillent à leur mise en conformité et aideront les pharmaciens à se mettrent en conformité. En effet, sont annoncés des contrôles renforcés à postériori par chaque autorité locale (la CNIL en France) avec des sanctions fortes pouvant aller jusqu’à 20 millions d’euros voire jusqu’à 4 % du chiffre d’affaires  annuel mondial total de l’exercice précédent pour une entreprise.

Un sujet dont les pharmaciens vont assurément entendre parler dans les 5 mois à venir.


Sources :

[1]Règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Article L. 1111-8 du code de la santé publique inséré par la loi n° 2002-303 du 4 mars 2002 , dite loi « Kouchner »

[3] Traitement de données à caractère personnel : «toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

[4] L. 1110-4 du code de la santé publique

[5] R. 6316-1 du code de la santé publique

[6] L. 161-29 du code de la sécurité sociale

[7] L.1110-4 et R. 4235-5 du code de la santé publique

[8] CNIL : Guide à destination des professionnels de santé

[9] Code de la santé publique, Article R. 1111-8 et 13

1 réponse

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *