Nouveau référentiel de la CNIL pour le traitement des données à l'officine
Le nouveau référentiel de la Commission Nationale de l'Informatique et des Libertés (CNIL) relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie a été publié le 12 juillet 2022 au Journal Officiel . Quel impact pour les pharmaciens ?
Rappel du contexte
Avant 2018, les pharmaciens d'officines utilisaient la norme simplifiée n°52, élaborée en 2006, afin d'effectuer des formalités simplifiées auprès de la CNIL pour les traitements de données à caractère personnel mis en œuvre au sein de leur officine. Ces normes n'ont plus de valeur juridique depuis l'entrée en application du RGPD le 25 mai 2018, du fait de la suppression des nombreuses formalités obligatoires auprès de la CNIL.
En conséquence, la CNIL a revu ses normes simplifiées pour les remplacer par des "référentiels". Ils constituent ainsi des cadres de référence et présentent des bonnes pratiques pour les professionnels dans leurs démarches de conformité.
Ce nouveau référentiel a été adopté à la suite d’une consultation publique et la CNIL a également sollicité l’Ordre des pharmaciens pour avis.
Qui est concerné par ce référentiel ?
Le responsable de ces traitements de données à caractère personnel est soit le pharmacien titulaire, lorsqu’il a opté pour un statut d'entrepreneur individuel, soit la société personne morale à travers laquelle il exerce son activité. Le référentiel s’adresse également à leurs prestataires.
En pratique
- Ce référentiel concerne les traitements de données à caractère personnel mis en œuvre au sein des officines de pharmacie dans le cadre de la prise en charge sanitaire et de la gestion administrative de leur patientèle/clientèle (traitements relatifs notamment à la dispensation des médicaments, à la coopération entre professionnels de santé, à la contribution aux actions de veille et de protection sanitaire pilotées par les autorités, à la participation à l'éducation thérapeutique et aux actions d'accompagnement des patients).
- Il exclut expressément de son périmètre les traitements mis en œuvre :
- dans le cadre de l'alimentation du dossier pharmaceutique (DP)
- au cours du déploiement du télésoin dans les officines,
- dans le cadre de la vente en ligne de médicaments,
- dans le cadre de la lutte contre l'épidémie de Covid-19 (SI-DEP),
- et au sein des pharmacies à usage intérieur (PUI).
- Il énonce les données à caractère personnel considérées comme pertinentes à traiter : en particulier l’identité et les coordonnées du patient/client et des professionnels de santé participant à sa prise en charge, l’identifiant national de santé (INS), le numéro de sécurité sociale (NIR), les données relatives à la santé telles que le poids, la taille, les antécédents médicaux, les traitements délivrés…; les informations relatives aux habitudes de vie dès lors qu'elles sont collectées avec l'accord du patient et quelles sont indispensables à sa prise en charge sanitaire.
- Le référentiel indique que la réalisation d'une analyse d’impact (AIPD) et la désignation d'un délégué à la protection des données à caractère personnel (DPO/DPD) devraient en principe être nécessaires lorsque les officines de pharmacie déclarent une activité globale annuelle de plus de 2,6 millions d'euros hors taxes.
Même si ce nouveau référentiel n'a pas de valeur contraignante, la CNIL rappelle que le respect de ces préconisations permet d’assurer la conformité des traitements de données mis en œuvre au sein des officines. Les responsables de traitement peuvent décider de s’écarter de certaines de ces préconisations, à condition de pouvoir justifier leurs choix.
Pour en savoir plus :