Chaque jour, votre pharmacie manipule des centaines de données parmi les plus sensibles qui existent au regard du RGPD : des données de santé. Ordonnances numérisées ou papier, numéros de sécurité sociale, historiques de délivrance, données de la carte Vitale, fichiers patients dans le logiciel de gestion d’officine… Toutes ces informations sont protégées par le Règlement Général sur la Protection des Données (RGPD), et leur mauvaise gestion peut coûter très cher.
La CNIL le rappelle régulièrement : le secteur de la santé est une priorité de contrôle, et les pharmacies n’échappent pas à cette vigilance. Les sanctions pleuvent, les mises en demeure se multiplient, et aucune structure n’est trop petite pour être contrôlée.
Pharmacie : un concentré de données sensibles
Une officine de pharmacie traite au quotidien un volume considérable de données personnelles, bien au-delà de ce qu’imaginent la plupart des titulaires. Voici les principales catégories concernées.
Les ordonnances
Chaque ordonnance contient l’identité du patient, l’identité du prescripteur, le diagnostic implicite (via les médicaments prescrits), ainsi que des informations sur la posologie et le traitement. Qu’elle soit numérisée ou conservée en format papier, elle constitue un traitement de données de santé au sens de l’article 9 du RGPD. Le référentiel de la CNIL relatif aux officines de pharmacie, adopté en juin 2022, précise les durées de conservation applicables et les mesures de sécurité à mettre en place.
La carte Vitale et le numéro de sécurité sociale (NIR)
La lecture de la carte Vitale permet la télétransmission des feuilles de soins électroniques et l’identification du patient pour le tiers payant. Le NIR (Numéro d’Inscription au Répertoire) est une donnée particulièrement encadrée par la loi Informatique et Libertés : son utilisation est strictement limitée aux finalités prévues par les textes. L’accès au téléservice HRi de l’Assurance Maladie, par exemple, doit être réalisé dans le seul cadre de la prise en charge du patient.
Les fichiers patients et le logiciel de gestion d’officine (LGO)
Le logiciel de gestion d’officine centralise l’historique de délivrance, les dossiers pharmaceutiques, les allergies signalées, les interactions médicamenteuses, les informations de facturation et les coordonnées des patients. Ces fichiers constituent le cœur du traitement de données de la pharmacie. Leur sécurisation, leur durée de conservation et l’encadrement de la relation avec l’éditeur du logiciel (sous-traitant au sens du RGPD) sont des obligations fondamentales.
Autres traitements souvent oubliés
La pharmacie traite également les données RH de ses salariés, les données de vidéosurveillance, les données de son site internet le cas échéant (cookies, formulaires de contact), et les données relatives aux programmes de fidélité ou aux opérations promotionnelles. Tous ces traitements doivent figurer dans le registre des activités de traitement.
Quand la CNIL frappe : les sanctions qui doivent alerter les pharmaciens
Le secteur de la santé est dans le viseur de la CNIL. En 2024, la Commission a prononcé 84 sanctions pour un montant cumulé de plus de 55 millions d’euros. Si aucune pharmacie d’officine n’a encore reçu une amende publique à titre individuel, les cas qui touchent directement l’écosystème officinal sont nombreux et doivent servir d’avertissement.
L’affaire Francetest : 350 pharmacies concernées
En octobre 2021, la CNIL a mis en demeure publiquement la société Francetest, un sous-traitant informatique utilisé par environ 350 officines de pharmacie pour simplifier la collecte des données des patients réalisant des tests antigéniques Covid-19. La faille était spectaculaire : les noms, prénoms, dates de naissance, numéros de sécurité sociale, adresses e-mail, numéros de téléphone et résultats de tests de près de 387 000 personnes étaient librement accessibles sur internet. Les manquements identifiés par la CNIL étaient multiples : hébergement chez un prestataire non certifié HDS (Hébergeur de Données de Santé), authentification fragile, chiffrement défaillant, et surveillance des logs lacunaire.
Point essentiel : la CNIL a rappelé que les pharmacies demeurent seules responsables de traitement. La réalisation des tests s’effectuait sous leur responsabilité, y compris le choix du sous-traitant et l’encadrement contractuel de la relation. La CNIL a d’ailleurs adressé un courrier individuel à plus de 300 officines pour leur rappeler leurs obligations.
Cegedim Santé : 800 000 € d’amende pour des données de santé non autorisées
Le 5 septembre 2024, la CNIL a sanctionné la société Cegedim Santé, éditrice de logiciels de gestion utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, d’une amende de 800 000 euros. La société avait constitué un entrepôt de données de santé sans l’autorisation préalable de la CNIL, et avait exploité le téléservice HRi de l’Assurance Maladie de manière illicite. Ce cas est d’autant plus pertinent pour les pharmaciens qu’il concerne un éditeur de logiciel de gestion de santé, un acteur qui joue exactement le même rôle que l’éditeur de votre LGO.
Deux médecins sanctionnés pour défaut de sécurité
En décembre 2020, la CNIL a sanctionné deux médecins libéraux dont les images médicales (des milliers de clichés) étaient librement accessibles en ligne en raison d’un mauvais paramétrage de leur box internet et de leur logiciel d’imagerie. Les amendes (3 000 € et 6 000 €) peuvent paraître modestes, mais c’est le principe qui compte : un professionnel de santé libéral, même seul, peut être sanctionné par la CNIL.
Professionnels de santé et dossier médical : les sanctions se multiplient
En 2023 et 2024, la CNIL a également sanctionné plusieurs professionnels de santé dans le cadre de sa procédure simplifiée, notamment pour non-communication de dossiers médicaux aux patients qui en faisaient la demande (violation du droit d’accès prévu à l’article 64 de la loi Informatique et Libertés). Une clinique a écopé de 15 000 € d’amende pour défaut de coopération avec la CNIL. Ces décisions confirment que la CNIL n’hésite plus à viser les acteurs de santé de toute taille, y compris les petites structures.
| ⚠️ RAPPEL : les plafonds du RGPD
L’amende administrative peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Pour une pharmacie réalisant 2,5 M€ de CA, cela représente un risque potentiel de 100 000 €. Sans compter l’atteinte à la réputation et les éventuelles poursuites disciplinaires de l’Ordre des pharmaciens. |
Les obligations RGPD de la pharmacie en pratique
La mise en conformité RGPD d’une pharmacie d’officine repose sur plusieurs piliers que le référentiel CNIL de juin 2022 détaille précisément.
Le registre des activités de traitement
Obligatoire pour toute officine, il recense l’ensemble des traitements de données personnelles : gestion de la patientèle, télétransmission, vidéosurveillance, gestion RH, etc. Chaque traitement doit préciser sa finalité, sa base légale, les catégories de données collectées, les durées de conservation et les mesures de sécurité.
L’information des patients
Les patients doivent être informés du traitement de leurs données, conformément aux articles 12, 13 et 14 du RGPD. En pratique, cela se traduit par un affichage en officine, une mention sur le site internet le cas échéant, et la capacité à répondre aux demandes d’exercice des droits (accès, rectification, effacement, opposition).
L’encadrement des sous-traitants
Le contrat avec l’éditeur de votre LGO, avec votre prestataire de maintenance informatique, ou avec tout autre sous-traitant traitant des données pour votre compte, doit comporter les clauses obligatoires prévues à l’article 28 du RGPD. L’affaire Francetest montre que le pharmacien est responsable du choix de ses prestataires et de la vérification de leur conformité.
La sécurité des données
Mots de passe robustes, chiffrement, sauvegardes, gestion des droits d’accès au logiciel, verrouillage des postes, hébergement HDS pour les données de santé externalisées… Les mesures de sécurité doivent être documentées et proportionnées au risque. Les données de santé exigent un niveau de protection renforcé.
La désignation d’un DPO
Le référentiel CNIL estime que les officines déclarant une activité globale annuelle supérieure à 2,6 millions d’euros HT devraient désigner un Délégué à la Protection des Données (DPO) et réaliser une Analyse d’Impact (AIPD). Mais même en dessous de ce seuil, la désignation d’un DPO externe constitue une garantie de conformité et une protection concrète en cas de contrôle.
La notification des violations de données
En cas de violation de données (perte, vol, accès non autorisé, cyberattaque), le pharmacien doit notifier la CNIL dans les 72 heures et, si le risque est élevé pour les personnes concernées, les informer directement. Le défaut de notification constitue un manquement supplémentaire sanctionnable.
DPO Partage et DPO France : votre conformité RGPD clé en main
DPO Partage : l’information RGPD accessible à tous
DPO Partage (dpo-partage.fr) est le blog de référence en matière de conformité RGPD en France. Créé et animé par des experts du RGPD ayant rédigé quatre ouvrages de référence sur le sujet, il publie régulièrement des articles pratiques, des guides sectoriels et des analyses des dernières décisions de la CNIL. Pour les pharmaciens, DPO Partage propose des contenus spécifiquement adaptés aux enjeux de l’officine : registre des traitements type, durées de conservation applicables, modèles de mentions d’information, etc.
DPO France : le réseau national de DPO externes
DPO France (dpo-france.com) est un réseau national de Délégués à la Protection des Données indépendants et qualifiés. Son modèle est simple : chaque pharmacie ou groupement de pharmacies bénéficie d’un DPO externe dédié ou mutualisé, qui assure l’ensemble des missions prévues à l’article 39 du RGPD.
Concrètement, le DPO externe désigné par DPO France prend en charge la réalisation du registre des traitements, la rédaction des mentions d’information, l’audit des contrats sous-traitants (dont l’éditeur LGO), la mise en place des procédures de gestion des droits et de notification de violations, la formation de l’équipe officinale, et la veille réglementaire continue. Il est l’interlocuteur de la CNIL en cas de contrôle.
Pourquoi, avec le process DPO France, ces amendes auraient été impossibles
Reprenons les cas présentés plus haut et analysons pourquoi un accompagnement par DPO France aurait empêché chacune de ces sanctions.
Affaire Francetest : la sélection du sous-traitant
Le process DPO France inclut systématiquement un audit de conformité des sous-traitants avant toute contractualisation. Un DPO externe DPO France aurait vérifié que Francetest disposait (ou non) d’une certification HDS, que les clauses contractuelles de l’article 28 du RGPD étaient présentes, et que les mesures de sécurité étaient proportionnées à la sensibilité des données. L’absence de certification HDS aurait été un signal d’alerte immédiat : le DPO aurait recommandé de ne pas utiliser ce prestataire. La fuite de données de 387 000 personnes n’aurait tout simplement pas eu lieu pour les pharmacies accompagnées.
Affaire Cegedim : le contrôle de l’éditeur LGO
Le DPO externe DPO France audite systématiquement les relations contractuelles avec les éditeurs de logiciels. Si un éditeur aspirait automatiquement des données patients via un téléservice pour alimenter un entrepôt de données sans autorisation, cela aurait été identifié lors de l’audit. Le DPO aurait exigé la désactivation de cette fonctionnalité ou un changement de logiciel. La base légale du traitement aurait été vérifiée et documentée.
Sanctions de médecins : la sécurité technique
Le process DPO France intègre une revue de sécurité technique : configuration réseau, paramétrage des équipements, politique de mots de passe, chiffrement des données. Un DPO externe aurait détecté l’exposition des images médicales sur internet et fait corriger la configuration avant tout contrôle de la CNIL.
Défaut de coopération et droit d’accès
Le DPO externe est désigné auprès de la CNIL et constitue le point de contact officiel. En cas de contrôle ou de demande d’exercice de droits par un patient, il gère la réponse dans les délais légaux. Les sanctions pour défaut de coopération ou non-communication de dossier médical deviennent structurellement impossibles.
| En résumé : le process DPO France couvre chaque point de contrôle de la CNIL
Audit des sous-traitants, registre des traitements, politique de sécurité, gestion des droits, notification des violations, formation de l’équipe, veille réglementaire, interlocuteur CNIL. Chaque manquement sanctionné par la CNIL dans les affaires précédentes correspond à un point systématiquement couvert par l’accompagnement DPO France. Une pharmacie accompagnée n’aurait pas pu être sanctionnée sur ces fondements. |
Deux offres adaptées à chaque pharmacie
DPO France propose deux formules d’accompagnement pour répondre aux besoins de chaque officine, quelle que soit sa taille ou son niveau de maturité RGPD.
| OFFRE DÉDIÉE | OFFRE MUTUALISÉE |
| Un DPO externe entièrement dédié à votre officine ou votre groupement | Un DPO externe partagé entre plusieurs officines du même secteur géographique ou du même groupement |
| Accompagnement personnalisé, audits approfondis, disponibilité prioritaire | Mise en conformité complète avec un budget optimisé grâce à la mutualisation |
| Idéal pour les officines à forte activité (CA > 2,6 M€ HT) ou les groupements | Idéal pour les officines indépendantes souhaitant une conformité solide à coût maîtrisé |
| Désignation du DPO auprès de la CNIL, registre complet, AIPD, audits sous-traitants, formation, veille, procédures | Désignation du DPO auprès de la CNIL, registre, mentions d’information, procédures essentielles, formation, support |
| Prenez rendez-vous pour un devis personnalisé
Chaque pharmacie est différente : taille, CA, nombre de sous-traitants, niveau de maturité RGPD. C’est pourquoi DPO France propose un entretien préalable gratuit pour évaluer vos besoins et vous orienter vers l’offre la plus adaptée. 📞 Contactez-nous : dpo-france.com Blog et ressources gratuites : dpo-partage.fr |
Ne laissez pas la CNIL vous rappeler vos obligations
La conformité RGPD n’est pas une option pour les pharmacies d’officine. Les données de santé que vous traitez chaque jour font partie des catégories les plus protégées par le droit européen, et la CNIL en a fait une priorité de contrôle.
Les affaires Francetest, Cegedim Santé et les sanctions de professionnels de santé montrent que personne n’est à l’abri. Elles montrent aussi qu’un accompagnement professionnel par un DPO externe compétent aurait permis d’éviter chacun de ces manquements.
Avec DPO Partage pour vous informer et DPO France pour vous accompagner, vous disposez de toutes les ressources pour transformer cette contrainte réglementaire en avantage concurrentiel. Vos patients vous confient ce qu’ils ont de plus précieux : leurs données de santé. Protégez-les.
