Le Règlement européen n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) organise l’encadrement de la protection des données personnelles et s’inscrit dans la continuité des principes déjà existants énoncés dans la loi Informatique et Libertés du 6 janvier 1978.

Le RGPD est entré en application dans tous les Etats membres de l’Union européenne le 25 mai 2018.

Depuis, de nombreuses formalités auprès de la Commission nationale de l’Informatique et des Libertés (CNIL) ont été supprimées, mais les acteurs ont vu leur responsabilité renforcée. Ils doivent s’assurer de la protection et de la sécurité des données qu’ils traitent et être en mesure de démontrer que les conditions de mise en œuvre de leurs traitements respectent strictement la réglementation applicable.

Qu’est-ce que la protection des données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

Le RGPD définit une donnée personnelle, comme toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom…) ou indirectement notamment par référence à un numéro d'identification (n° ordinal, n° de téléphone, n° RPPS…), ou à un ou plusieurs éléments qui lui sont propres (date de naissance, image…).

Qu’est-ce qu’un traitement de données personnelles ?

On définit un traitement comme toute opération ou tout ensemble d'opérations portant sur des données personnelles quel que soit le procédé utilisé. Il peut s’agir de la collecte, de l'enregistrement, de l'organisation, de la conservation, de la modification, de l'extraction, de la consultation, de l'utilisation, de la communication, la diffusion ou toute autre forme de mise à disposition, de l'interconnexion, de la suppression de ces données…

Quels sont les traitements concernés par la protection des données personnelles ?

Le RGPD s’applique à tous les traitements de données personnelles, quel que soit le support papier ou informatique (logiciel, fichier Excel …) et qu’ils concernent les conseillers ordinaux, les collaborateurs de l’Ordre, les pharmaciens inscrits au tableau, les prestataires …

Qu’est-ce qu’un responsable de traitement ?

Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement, c'est-à-dire l’objectif et la façon de le réaliser. Il est donc responsable de tout manquement aux principes de protection des données personnelles.

Exemple : la loi prévoit que le Conseil national de l’Ordre des pharmaciens (CNOP) organise la mise en œuvre du Dossier Pharmaceutique. A ce titre, il est donc le responsable de traitement.

Qu’est-ce qu’un sous-traitant ?

Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Il agit donc sous l’autorité du responsable de traitement et sur ses instructions. Il doit présenter des garanties suffisantes en matière de sécurité et de confidentialité.

Exemple : Docaposte héberge les données contenues dans le Dossier Pharmaceutique et agit pour le compte du CNOP : il est donc sous-traitant.

Qui est destinataire ?

Est destinataire de données personnelles toute personne, physique ou morale, privée ou publique, qui reçoit communication des données personnelles, qu’il s’agisse ou non d’un tiers. Les destinataires peuvent donc être des personnes internes à l’organisation, comme par exemple les conseillers ou les collaborateurs de l’Ordre, ou extérieures à l’organisation, tels que l’ANS (Agence du Numérique en Santé) qui gère le RPPS (Répertoire Partagé des Professionnels intervenant dans le système de Santé).

Qu’est-ce qu’un DPO ?

Le DPO (Délégué à la Protection des Données ou Data Protection Officer) est investi de plusieurs missions. En effet, il :

  • Informe et conseille les organismes qui le désignent sur les obligations qui leur incombent au titre du RGPD.
  • Contrôle le respect de ces obligations mais également des autres législations et des règles internes de l’organisme en matière de protection des données personnelles. Il participe également à la sensibilisation et la formation des membres de l’organisme.
  • Coopère avec l’autorité de contrôle. En France, il s’agit de la CNIL.
  • Est le point de contact pour les demandes d’exercice de droits des personnes concernées.

Quelle est l’autorité en France en charge de ces questions ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur français des données personnelles. La CNIL accompagne les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et les aide à exercer leurs droits. Elle dispose également de pouvoirs de contrôles sur place ou en ligne.

Quelles sont les principales missions de la CNIL ?

Schéma présentant les missions de la CNIL : informer et protéger, accompagner et conseiller, contrôler et sanctionner, anticiper
  • Informer et protéger : la CNIL informe les particuliers et les professionnels et répond à leurs demandes. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits.
  •  Accompagner et conseiller : la CNIL accompagne tous les organismes dans leur mise en conformité avec le RGPD et leur propose plusieurs outils à ce titre.
  • Contrôler et sanctionner : le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la réglementation applicable en matière de protection des données personnelles. A l'issue des contrôles, le Président de la CNIL peut décider de mettre en demeure le responsable de traitement de se mettre en conformité au terme d’un délai déterminé. La formation restreinte de la CNIL peut prononcer diverses sanctions à l'issue d'une procédure contradictoire notamment des sanctions pécuniaires dont le montant varie en fonction de la nature du manquement.
  • Anticiper et innover : la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée, et contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les organismes le plus en amont possible.

Les 5 règles d’or de la protection des données personnelles

Pour chaque traitement de données personnelles, le responsable doit respecter les 5 règles d’or de la protection des données personnelles.

Schéma montrant les règles, le respect des droits des personnes, la confidentialité et la sécurité, la finalité déterminée et légitime, la proportionnalité et la pertinence, la durée de conservation définie

Les mesures mises en place en pratique à l’Ordre

L’Ordre des pharmaciens met en œuvre un certain nombre de traitements de données personnelles qui peuvent concerner tant les conseillers de l’Ordre que les collaborateurs, les pharmaciens ou les patients, les prestataires ou les utilisateurs de ses sites et applications. De fait, l’Ordre doit respecter la réglementation relative à la protection des données personnelles.

A ce titre, le CNOP, en sa qualité de responsable de traitement, a mis en œuvre l’ensemble des mesures nécessaires à la conformité au RGPD.

Les mesures mises en place par l’Ordre des pharmaciens

L’Ordre, afin de se conformer à la réglementation sur la protection des données personnelles :

  • Tient à jour un registre qui recense pour chaque traitement les conditions de sa conformité aux principes de protection des données ;
  • Revoit les contrats avec ses sous-traitants ;
  • Organise des formations pour les conseillers et collaborateurs de l’Ordre ;
  • Répond aux demandes d’exercice de droits des personnes concernées ;
  • Évalue et gère les risques de sécurité et mène les analyses de risque et d’impact nécessaires ;
  • Réalise, en cas de violation de données, les notifications obligatoires auprès des organismes compétents (CNIL …) et, le cas échéant, l’information des personnes concernées ;
  • Recense la documentation attestant de la conformité des traitements mis en œuvre (registres, mentions d’information, contrats, analyses de risque et d’impact…).

La désignation d’un DPO par l’Ordre des pharmaciens

Le CNOP a désigné un DPO afin de l’assister dans la mise en conformité de l’ensemble des traitements qu’il met en œuvre au regard des principes de protection des données personnelles. Ce dernier est soumis au secret professionnel en ce qui concerne l'exercice de ses missions.

Vous pouvez ainsi saisir directement le DPO de l’Ordre pour toute question portant sur vos données détenues par l’Ordre, que vous soyez conseiller ou collaborateur de l’Ordre, pharmacien inscrit à l’Ordre, prestataire de l’Ordre, etc., en adressant un email à l’adresse suivante : dpo@ordre.pharmacien.fr.