Pourquoi le RGPD s applique aux pharmacies
Les pharmacies d officine traitent quotidiennement des donnees de sante sensibles : ordonnances, historique de dispensation, dossier pharmaceutique (DP), carte Vitale, informations sur les pathologies et les traitements en cours. Ces donnees beneficient d une protection renforcee au titre de l article 9 du RGPD. Le pharmacien titulaire, en tant que responsable de traitement, a l obligation de garantir la conformite de son officine avec la reglementation sur la protection des donnees personnelles.
L evolution numerique des officines renforce ces enjeux : logiciels de gestion d officine connectes, teletransmission, entretiens pharmaceutiques, vaccination, depistage, telemedecine. Chaque nouveau service propose par la pharmacie genere de nouveaux traitements de donnees qui doivent etre encadres. La CNIL a d ailleurs publie un referentiel specifique pour les pharmacies afin de les guider dans leur mise en conformite.
Les traitements de donnees courants en officine
Le logiciel de gestion d officine (LGO) constitue le traitement principal. Il gere les dossiers patients, l historique de dispensation, les interactions medicamenteuses, la facturation et la teletransmission. Le dossier pharmaceutique (DP), gere par le Conseil National de l Ordre des Pharmaciens, recense les medicaments delivres au patient au cours des quatre derniers mois. La carte de fidelite, les programmes de sante, les entretiens pharmaceutiques et les campagnes de vaccination generent egalement des traitements de donnees personnelles.
Chacun de ces traitements doit figurer dans le registre des activites de traitement de la pharmacie, avec la precision des finalites, des categories de donnees, des destinataires, des durees de conservation et des mesures de securite. Le pharmacien doit egalement identifier les bases legales de chaque traitement : obligation legale pour la teletransmission, interet legitime pour la gestion commerciale, consentement pour les programmes de fidelite.
Les obligations specifiques du pharmacien
La securite du logiciel de gestion d officine
Le LGO doit etre configure pour garantir la confidentialite des donnees : acces par identifiant individuel et mot de passe robuste, verrouillage automatique des sessions, gestion des droits d acces differencies entre le titulaire, les adjoints et les preparateurs. Les ecrans de dispensation doivent etre positionnes de maniere a ne pas etre visibles par les autres clients. Les sauvegardes doivent etre realisees quotidiennement et stockees de maniere securisee, idealement chez un hebergeur certifie HDS.
La confidentialite au comptoir
Le respect de la confidentialite au comptoir est une obligation deontologique et reglementaire. Le pharmacien doit veiller a ce que les conversations avec les patients ne soient pas audibles par les autres clients, en particulier lors des entretiens pharmaceutiques ou de la delivrance de traitements sensibles. L amenagement de l officine doit permettre cette confidentialite : espace de confidentialite dedie, ecrans de separation, gestion des files d attente.
La gestion des sous-traitants
Le pharmacien fait appel a de nombreux sous-traitants : editeur du LGO, prestataire de sauvegarde, societe de maintenance informatique, grossiste-repartiteur pour la teletransmission. Chacun de ces prestataires qui accede aux donnees de sante doit etre lie par un contrat de sous-traitance conforme a l article 28 du RGPD. Le pharmacien doit s assurer que ses sous-traitants presentent des garanties suffisantes en matiere de protection des donnees.
Les durees de conservation des donnees en pharmacie
Les durees de conservation varient selon le type de donnees. Les ordonnances doivent etre conservees pendant 3 ans a compter de la date de dispensation. Le dossier pharmaceutique est conserve pendant 4 mois pour les medicaments et 21 ans pour les vaccins. Les donnees de facturation et de teletransmission sont conservees pendant 5 ans au titre des obligations comptables et fiscales. Les donnees des programmes de fidelite ne doivent pas etre conservees au-dela de 3 ans apres le dernier contact avec le client.
Le DPO en pharmacie
La designation d un DPO n est pas obligatoire pour une pharmacie d officine isolee, car le critere de traitement a grande echelle n est generalement pas rempli. Cependant, les groupements de pharmacies, les pharmacies mutualistes et les chaines de parapharmacies qui traitent des volumes importants de donnees de sante peuvent y etre soumis. Dans tous les cas, la designation d un referent RGPD est vivement recommandee par la CNIL et par l Ordre des Pharmaciens.
Le DPO externe est une solution particulierement adaptee aux pharmacies : il apporte une expertise specialisee sans necessiter un poste a temps plein, il peut etre mutualise entre plusieurs officines d un meme groupement, et il garantit l independance requise par le RGPD. Le DPO accompagne le pharmacien dans la tenue du registre, la realisation des analyses d impact, la gestion des violations de donnees et la formation de l equipe officinale.
Les sanctions et les controles de la CNIL
La CNIL peut controler les pharmacies, soit sur plainte d un patient, soit dans le cadre de campagnes thematiques. Les manquements les plus frequemment constates concernent l absence de registre des traitements, le defaut d information des patients, l insuffisance des mesures de securite et le non-respect des durees de conservation. Les sanctions peuvent aller de la mise en demeure a l amende administrative, pouvant atteindre 20 millions d euros ou 4 % du chiffre d affaires pour les infractions les plus graves.
Article redige par Laurent de Cavel, DPO certifie. Pour toute question sur la conformite RGPD de votre pharmacie, contactez notre equipe sur dpo-france.com.
