Pharmacies et données de santé, le récent reportage de Cash Investigation sur la société IQVIA et sa collecte de données auprès des pharmacies, vient de jeter un pavé dans la mare du règlement général de la protection des données personnelles. Bon nombre de pharmacies ne semblent pas être correctement informées de leurs devoirs en matière de données personnelles, alors même qu’elles peuvent être jugées responsables des manquements et encourir de lourdes sanctions.
pharmacie et données de santé, des données sensibles strictement encadrées
L’article L 1460-1 du code de la santé publique encadrait déjà strictement la collecte et
l’utilisation des données de santé. La protection de ces données hautement sensibles a été
renforcée par le RGPD, rentré en vigueur en mai 2018.
Les données de santé ne peuvent être traitées que sous des conditions très particulières, à
savoir des projets d’intérêt public. Elles doivent être anonymisées et, enfin, les personnes
concernées par la collecte et le traitement de leurs données doivent être informées de leurs
droits d’accès, de rectification et d’opposition.
La CNIL propose un référentiel. Pharmacies et données de santé
Cash Investigation : un reportage éloquent
Or, le reportage de Cash Investigation sur la société américaine IQVIA, laquelle a pourtant
reçu une autorisation de la CNIL pour la création d’entrepôts des données collectées auprès
des pharmacies, est éloquent. Aucune des pharmacies investiguées n’informe ses clients de la
collecte et du traitement de leurs données personnelles de santé.
Si Cash Investigation a axé son reportage sur les manquements de l’entreprise IQVIA, selon
la loi, c’est bien aux pharmaciens de se plier à cette obligation d’information. En toute
logique, ce sont donc eux qui pourront être sanctionnés pour ce manquement. La société
américaine et sa filiale française, quant à elles, auront maille à partir avec d’autres points
sensibles non respectés.
RGPD : Quelles obligations pour ma pharmacie ?
Si vous êtes pharmacien, vous devez donc vous mettre en conformité avec le RGPD, et ce, le
plus rapidement possible.
Vous êtes responsables de l’information de vos clients. Cette information doit être complète et
comprend les points suivants :
- Vos clients doivent être informés individuellement de la collecte et du traitement de
leurs données de santé ; - Vos clients doivent être informés de leurs droits, à savoir : droit d’opposition, droit
d’accès et droit de rectification de leurs données ;
Pour ce faire, une notice d’information doit être remise à vos clients. De plus, un affichage
clair et précis dans l’officine doit être mis en place. Si votre pharmacie est dotée d’un site
internet, ce dernier doit également comporter une rubrique informant vos internautes de la
même manière.
Si l’un de vos clients souhaite s’opposer à la collecte et au traitement de ses données
personnelles, c’est vers vous qu’il exercera son droit d’opposition. Dès lors, vous ne pourrez
plus utiliser ses données pour alimenter la base et devrez faire supprimer toutes celles déjà
présentes.
Un DPO pour se mettre en conformité : Pharmacie et données de santé
Si l’on se réfère au reportage précité, la mise en conformité au RGPD peut paraître
inapplicable à certains pharmaciens. Faire appel à un Délégué à la Protection des Données (ou
DPO) peut alors être un appui précieux.
Formé au RGPD, pédagogue et disponible, ce dernier vous épaulera à la fois pour sensibiliser
vos équipes et pour mettre en place avec vous les étapes nécessaires à votre mise en
conformité.
En résumé – Conformité RGPD Pharmacie
Pour se mettre en conformité avec le RGPD (Règlement général sur la protection des données), voici quelques éléments à prendre en compte pour une pharmacie :
- Identifier les données personnelles que vous collectez et traitez : il s’agit de déterminer quelles données sont collectées et utilisées dans l’exercice de votre activité (par exemple, les coordonnées des clients, leur historique de commandes, etc.).
- S’assurer de la légitimité du traitement des données : il faut s’assurer que vous disposez d’un fondement légal pour collecter et traiter ces données, comme le consentement des personnes concernées ou le respect d’une obligation légale.
- Mettre en place des mesures de sécurité adéquates : il est important de protéger les données personnelles contre toute divulgation, modification, destruction ou accès non autorisé. Cela peut inclure des mesures de sécurité physiques (verrous, alarmes) et/ou logicielles (chiffrement, mot de passe).
- Informer les personnes concernées : vous devez informer les personnes dont vous collectez et traitez les données de leurs droits en matière de protection des données (droit d’accès, de rectification, de suppression, etc.).
- Nommer un délégué à la protection des données (DPO) si nécessaire : si vous effectuez des traitements de données à caractère sensible ou si vous traitez des données à grande échelle, il est recommandé de nommer un DPO chargé de veiller au respect du RGPD dans votre pharmacie.
Il est recommandé de mettre en place un plan de conformité RGPD afin de définir les mesures à prendre pour garantir la protection des données personnelles au sein de votre pharmacie. Vous pouvez également faire appel à DPO PARTAGE pour vous aider dans cette démarche.
