« Bonjour monsieur le pharmacien, je viens vous voir car j’ai une ordonnance me permettant d’accéder aux données de santé que vous collectez à mon égard. » Voici une phrase que l’on risque de plus en plus d’entendre dans nos officines de pharmacie, qui se voient soumises à des obligations relatives à leur conformité RGPD.

Il y a trois mois, la CNIL a adopté un référentiel concernant la gestion des officines de pharmacie, élaboré en étroite collaboration avec les instances représentatives de la profession. Ce référentiel vise à faciliter la mise en conformité de ces structures. Comme son nom l’indique, ce référentiel est uniquement là pour instaurer un cadre de référence permettant aux titulaires d’officines de pharmacie de se mettre en conformité à l’égard du RGPD.

Il est à noter que même si ce référentiel se veut non contraignant, il n’en demeure pas moins qu’il est fortement recommandé de désigner un DPO et de réaliser les EIVP nécessaires. En effet, nombreux sont les traitements de données effectués par les officines susceptibles d’engendrer un risque élevé pour les droits et libertés  de la patientèle/

La CNIL recommande donc de désigner un DPO et de réaliser une AIPD dès lors que l’activité globale dépasse les 2.6 millions €HT annuels. L’évaluation du montant de l’activité s’effectue en application de l’article L. 5125-5 du CSP et selon les modalités de l’article R. 5125-37-1 du même code.

On le voit, les données de santé représentent aujourd’hui une mine d’or pour les hackers. Récemment, plusieurs établissements de santé se sont vus attaqués. Il est donc important d’agir en amont et d’anticiper afin que ces événements ne se produisent pas en mettant en place une réelle gouvernance de la protection des données.

En résumé :

• À qui s’adresse ce référentiel ?
  • Titulaire d’officines de pharmacies libérales
  • Aux prestataires des titulaires d’officines
• Quelle est la portée du référentiel ? Ce référentiel n’a pas de réelle valeur contraignante, il est toutefois important de respecter les préconisations qu’il contient. En les respectant, l’officine s’assurera un bon niveau de conformité des traitements de données mis en œuvre.
• Quelles sont les mesures de sécurité à mettre en place ? Outre les obligations générales issues de l’article 32 du RGPD, les traitements de données de santé dans le cadre de la prise en charge sanitaire sont soumis à des obligations de sécurité spécifiques. Les articles L. 1470-1 et s. du CSP prévoient que le responsable de traitement doit s’assurer que les systèmes d’information, services ou outils numériques qu’il utilise sont conformes aux référentiels élaborés par l’ANS.
• Pourquoi réaliser une EIVP ? La CNIL estime que la réalisation d’une telle étude est nécessaire du fait de la criticité des données traitées à grande échelle.

Comme on dit « Mieux vaut prévenir que guérir ». « Alors monsieur le pharmacien ? Vous prendriez bien 10mg de RGPDoliprane ? »

Découvrez notamment nos références dans le secteur de la santé.

Coralie CHENAIL – Consultante en protection des données