Introduction Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, a profondément modifié le cadre juridique applicable à la protection des données à caractère personnel. Les pharmaciens d’officine, en leur qualité de professionnels de santé, sont particulièrement concernés par cette réglementation dans la mesure où ils manipulent quotidiennement des données personnelles sensibles relatives à leurs patients.
Le présent guide a pour objet de les accompagner dans leur mise en conformité au RGPD, en leur proposant une approche pratique et concrète. Après un rappel du cadre juridique et des grands principes du RGPD, nous aborderons les différentes obligations s’appliquant aux pharmaciens d’officine. Des fiches pratiques sont ensuite proposées pour traiter des thématiques clés : obligations à l’égard des patients et du personnel, gestion de la sous-traitance, mise en place d’un dispositif de vidéosurveillance, gestion des violations de données, préparation à un contrôle de la CNIL.
Ce guide se veut un outil pratique destiné aux pharmaciens titulaires pour les aider à mettre en œuvre une démarche RGPD dans leur officine. Des modèles et exemples concrets sont proposés pour faciliter cette mise en conformité.
I. Rappel du cadre juridique et des grands principes du RGPD
Le RGPD est le texte de référence en matière de protection des données personnelles au niveau européen. Il est directement applicable dans l’ensemble des États membres de l’Union européenne depuis le 25 mai 2018. En France, il est complété par la loi Informatique et Libertés modifiée. Le RGPD repose sur les grands principes suivants :
Licéité et loyauté du traitement : les données doivent être collectées et traitées de manière licite, loyale et transparente.
Limitation des finalités : les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.
Minimisation des données : seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être traitées.
Exactitude des données : les données doivent être exactes et mises à jour.
Limitation de la conservation : les données ne doivent pas être conservées au-delà de la durée nécessaire pour les finalités du traitement.
Intégrité et confidentialité : les données doivent être traitées de façon à garantir leur sécurité et leur confidentialité.
Responsabilité : le responsable du traitement est responsable du respect des principes énoncés ci-dessus et doit être en mesure de le démontrer.
Le RGPD introduit également de nouvelles obligations pour les responsables de traitement et leurs sous-traitants, telles que :
- Tenir un registre des activités de traitement ;
- Respecter les droits des personnes ;
- Notifier les violations de données ;
- Réaliser des analyses d’impact dans certains cas ;
- Conclure des contrats de sous-traitance conformes au RGPD.
II. Les obligations du pharmacien d’officine au titre du RGPD
- Désignation d’un Délégué à la Protection des Données (DPO)
Le RGPD impose la désignation obligatoire d’un DPO dans certaines situations. Pour une officine, la CNIL recommande de désigner un DPO si le chiffre d’affaires annuel est supérieur à 2,6 millions d’euros HT. Le pharmacien reste néanmoins libre de désigner un DPO, même en l’absence d’obligation. Le DPO joue un rôle central d’information, de conseil et de contrôle en interne.
- Tenue d’un registre des activités de traitement
Chaque officine doit tenir un registre recensant l’ensemble des traitements de données personnelles mis en œuvre (finalité, données traitées, durées de conservation, destinataires…). Ce registre sert d’outil de pilotage et de preuve de la conformité.
- Information des personnes concernées
Les patients, le personnel et toute personne dont les données sont collectées doivent être informés des traitements de leurs données et de leurs droits. Cette information doit être concise, transparente, compréhensible et facilement accessible.
- Respect des droits des personnes
Les personnes disposent de différents droits sur leurs données qu’elles peuvent exercer auprès de l’officine (accès, rectification, effacement…). Une procédure interne doit être mise en place pour répondre à ces demandes.
- Sécurisation des données
Des mesures de sécuritéproportionnées aux risques doivent être mises en œuvre pour assurer la confidentialité des données de santé (mesures techniques et organisationnelles).
- Gestion des violations de données
Toute violation de données personnelles doit être documentée et notifiée à la CNIL dans certains cas. Les personnes concernées doivent également être informées si le risque est élevé.
- Relations avec les sous-traitants
Les contrats avec les prestataires traitant des données pour le compte de l’officine (sous-traitants) doivent comporter des clauses assurant leur conformité au RGPD.
- Analyses d’impact
Pour certains traitements à haut risque, une analyse détaillée (AIPD) doit être menée pour évaluer les risques et définir les garanties à mettre en œuvre. La CNIL recommande une AIPD pour les officines réalisant plus de 2,6 millions d’euros de CA annuel.
III. Fiches pratiques thématiques
Afin d’aider les pharmaciens à répondre aux principales obligations du RGPD, des fiches pratiques sont proposées sur les thématiques suivantes :
Fiche 1. Obligations à l’égard des patients
Cette fiche traite des obligations du pharmacien vis-à-vis de ses patients. Elle propose des modèles de mention d’information et de fiche de registre concernant le traitement relatif à la gestion et au suivi des patients.
Fiche 2. Obligations à l’égard du personnel
Cette fiche aborde les obligations relatives au traitement des données du personnel de l’officine. Des modèles de mention d’information et de fiche de registre sont proposés concernant ce traitement.
Fiche 3. Gestion de la sous-traitance
Cette fiche explique comment encadrer les relations avec les sous-traitants via un contrat conforme au RGPD. Un modèle d’annexe au contrat de sous-traitance est proposé.
Fiche 4. Mise en place d’un dispositif de vidéosurveillance
Cette fiche présente les règles à respecter en cas d’installation d’un dispositif de vidéosurveillance dans l’officine ainsi que les mentions d’information obligatoires.
Fiche 5. Gestion des violations de données
Cette fiche décrit la marche à suivre en cas de violation de données personnelles : documentation interne, notification à la CNIL, information des personnes si nécessaire.
Fiche 6. Préparation à un contrôle de la CNIL
Cette dernière fiche explique le déroulement d’un contrôle de la CNIL et propose une check-list de la documentation RGPD à préparer en prévision d’un éventuel contrôle.
FAQ
Non, vous ne devez en aucun cas demander à vos patients de vous transmettre leur ordonnance par email, surtout si celui-ci n’est pas sécurisé. Les ordonnances contiennent des données de santé qui nécessitent d’être protégées de manière adéquate.
Vous vous exposez à des fuites de données de santé en cas d’interception des emails par des tiers non autorisés. Cela constituerait une violation du secret professionnel et du RGPD. Votre officine s’expose à des sanctions de la CNIL.
Oui, vous ne devez pas traiter d’ordonnances reçues sur votre email personnel. Vous devez demander à vos patients d’utiliser les canaux sécurisés que vous avez mis à leur disposition.
Vous devez mettre en place un canal adapté au niveau de sécurité requis comme une messagerie sécurisée de santé, un espace patient sur votre site web ou encore via le dossier médical partagé du patient.
Oui, vous vous exposez à des sanctions de la CNIL si vous ne protégez pas suffisamment les données de santé qui vous sont confiées. Vous devez pouvoir démontrer que vous avez mis en place les canaux adaptés.
Non, il n’est pas recommandé pour une pharmacie en France de demander à ses clients d’envoyer leurs ordonnances sur un service de messagerie grand public comme Gmail.
Plusieurs raisons à cela :
Les ordonnances contiennent des données de santé qui sont des données sensibles au regard du RGPD. Or les messageries grand public comme Gmail ne présentent pas un niveau de sécurité et de confidentialité suffisant pour ce type de données.
La CNIL recommande d’utiliser des canaux sécurisés pour les échanges de données de santé entre professionnels de santé et avec les patients. Les messageries sécurisées de santé (MSS) sont le canal recommandé.
L’article L1110-4 du code de la santé publique prévoit que la confidentialité des informations médicales nominatives est garantie sauf dérogations expressément prévues par la loi. L’envoi d’une ordonnance sur Gmail ne répond pas à ces exigences.
L’article R4127-73 du code de la santé publique prévoit que le pharmacien doit protéger contre toute indiscrétion les documents médicaux et les informations de caractère personnel qu’il détient ou qu’il recueille.
En cas de contrôle de la CNIL, l’officine pourrait se voir reprocher de ne pas avoir pris les mesures adéquates pour protéger la confidentialité des données de santé.
