La protection des données personnelles à l’officine
Le Règlement européen n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) organise l’encadrement de la protection des données personnelles et s’inscrit dans la continuité des principes déjà existants énoncés dans la loi Informatique et Libertés du 6 janvier 1978.
Le RGPD est entré en application dans tous les Etats membres de l’Union européenne le 25 mai 2018.
Depuis, de nombreuses formalités auprès de la Commission nationale de l’Informatique et des Libertés (CNIL) ont été supprimées, mais les acteurs ont vu leur responsabilité renforcée. Ils doivent s’assurer de la protection et de la sécurité des données qu’ils traitent et être en mesure de démontrer que les conditions de mise en œuvre de leurs traitements respectent strictement la réglementation applicable.
Les traitements de données personnelles mis en œuvre au sein des officines sont donc également concernés.
Qu’est-ce que la protection des données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
Le RGPD définit une donnée personnelle, comme toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom…) ou indirectement notamment par référence à un numéro d'identification (n° ordinal, n° de téléphone, n° RPPS…), ou à un ou plusieurs éléments qui lui sont propres (date de naissance, image…).
Qu’est-ce qu’une donnée personnelle de santé ?
C’est une donnée se rapportant à l'état de santé d'une personne concernée qui révèle des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple).
Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin, le dispositif ou logiciel utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et des données génomiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique).
Qu’est-ce qu’un traitement de données personnelles ?
On définit un traitement comme toute opération ou tout ensemble d'opérations portant sur des données personnelles quel que soit le procédé utilisé. Il peut s’agir de la collecte, de l'enregistrement, de l'organisation, de la conservation, de la modification, de l'extraction, de la consultation, de l'utilisation, de la communication, la diffusion ou toute autre forme de mise à disposition, de l'interconnexion, de la suppression de ces données…
Quels sont les traitements de données personnelles concernés au sein d’une officine ?
Le RGPD s’applique à tous les traitements de données personnelles, quel que soit le support papier ou informatique (logiciel, fichier Excel…) et qu’ils concernent les patients de l’officine, les salariés, les fournisseurs, les professionnels de santé avec lesquels l’officine est en contact…
Qu’est-ce qu’un responsable de traitement ?
Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement, c'est-à-dire l’objectif et la façon de le réaliser. Le responsable de traitement est donc responsable de tout manquement aux principes de protection des données personnelles.
Qui est responsable de traitement au sein d’une officine ?
Le ou les titulaires de l’officine sont responsables de l’ensemble des traitements mis en œuvre au sein de l’officine. Cette qualité ne peut être assumée par un salarié de l’officine.
Qu’est-ce qu’un sous-traitant ?
Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Il agit donc sous l’autorité du responsable de traitement et sur ses instructions. Il doit présenter des garanties suffisantes en matière de sécurité et de confidentialité.[5]
Qui peut être sous-traitant d’une officine ?
Tous les organismes qui traitent des données personnelles pour le compte d’une officine, dans le cadre d’un service ou d’une prestation, sont considérés comme des sous-traitants au sens du RGPD. Sont notamment concernés :
- les prestataires de services informatiques (hébergement, maintenance, …),
- les intégrateurs de logiciels,
- les sociétés de sécurité informatique,
- les sociétés qui gèrent la comptabilité et la paie du personnel de l’officine.
En principe, les éditeurs de logiciels d’aide à la dispensation n’ont pas accès et ne traitent pas de données personnelles. Dans ce cas, ils ne sont pas considérés comme sous-traitants. Toutefois, leur rôle ne se limite pas simplement à la conception, au développement et à la commercialisation du logiciel mais qu’ils accèdent à certaines données, les hébergent et/ou les intègrent dans le système informatique des officinaux, dans ce cas, ils peuvent être considérés comme des sous-traitants.
Attention : s’il est fait appel à un organisme extérieur pour l’hébergement des données de santé que l’officine traite, celui-ci doit être agréé ou certifié pour l’hébergement, le stockage ou la conservation de données de santé au titre de l’article L.1111-8 du code de la santé publique.
Qui est destinataire ?
Est destinataire de données personnelles toute personne, physique ou morale, privée ou publique, qui reçoit communication des données personnelles, qu’il s’agisse ou non d’un tiers. Les destinataires peuvent donc être des personnes internes à l’organisation, comme par exemple le personnel habilité de l’officine, ou extérieures à l’organisation, tels que les organismes d’assurance maladie obligatoire.
Qu’est-ce qu’un DPO ?
Le DPO (Délégué à la Protection des Données ou Data Protection Officer) est investi de plusieurs missions. En effet, il :
- Informe et conseille les organismes qui le désignent sur les obligations qui leur incombent au titre du RGPD.
- Contrôle le respect de ces obligations mais également des autres législations et des règles internes de l’organisme en matière de protection des données personnelles. Il participe également à la sensibilisation et la formation des membres de l’organisme.
- Coopère avec l’autorité de contrôle. En France, il s’agit de la CNIL.
- Est le point de contact pour les demandes d’exercice de droits des personnes concernées.
Quelle est l’autorité en France en charge de ces questions ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur français des données personnelles. La CNIL accompagne les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et les aide à exercer leurs droits. Elle dispose également de pouvoirs de contrôles sur place ou en ligne.
Quelles sont les principales missions de la CNIL ?
- Informer et protéger : la CNIL informe les particuliers et les professionnels et répond à leurs demandes. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits.
- Accompagner et conseiller : la CNIL accompagne tous les organismes dans leur mise en conformité avec le RGPD et leur propose plusieurs outils à ce titre.
- Contrôler et sanctionner : le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la réglementation applicable en matière de protection des données personnelles. A l'issue des contrôles, le Président de la CNIL peut décider de mettre en demeure le responsable de traitement de se mettre en conformité au terme d’un délai déterminé. La formation restreinte de la CNIL peut prononcer diverses sanctions à l'issue d'une procédure contradictoire notamment des sanctions pécuniaires dont le montant varie en fonction de la nature du manquement.
- Anticiper et innover : la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée, et contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les organismes le plus en amont possible.
Les 5 règles d’or de la protection des données personnelles
Pour chaque traitement de données personnelles, le responsable doit respecter les 5 règles d’or de la protection des données personnelles
Quelles obligations en pratique pour les titulaires d’officine ?
Les titulaires d’officine, en leur qualité de responsables de traitement, doivent respecter l’ensemble de la réglementation applicable en matière de protection des données personnelles (RGPD, loi Informatique et Libertés modifiée, code de la santé publique, code de déontologie…). Des poursuites disciplinaires peuvent être engagées à l’encontre des pharmaciens en cas de manquement aux règles professionnelles et déontologiques.
Pour accompagner les pharmaciens titulaires d’officine dans leurs démarches de conformité à la protection des données personnelles, la CNIL a adopté un référentiel qui décline les principes du RGPD aux traitements couramment mis en œuvre dans le cadre de la gestion sanitaire et administrative de la patientèle/clientèle. Ce référentiel a été adopté à la suite d’une consultation publique et la CNIL avait également sollicité l’Ordre des pharmaciens pour avis.
Même si ce nouveau référentiel n'a pas de valeur contraignante, la CNIL rappelle que le respect de ces préconisations permet d’assurer la conformité des traitements de données mis en œuvre au sein des officines. Les responsables de traitement peuvent décider de s’écarter de certaines de ces préconisations, à condition de pouvoir justifier leurs choix.
Désigner un DPO
Au regard des critères posés par le RGPD, les pharmacies qui exercent leurs activités à grande échelle ont l’obligation de désigner un DPO.
Dans son référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie, la CNIL indique que la désignation d'un DPO devrait en principe être nécessaire lorsque les officines de pharmacie déclarent une activité globale annuelle de plus de 2,6 millions d'euros hors taxes.
Attention :
- Le DPO doit posséder des connaissances spécialisées en matière de protection des données.
- Le DPO ne doit pas avoir de conflit d'intérêt avec ses autres missions. Par exemple, le titulaire de l'officine ne peut pas être désigné DPO de son officine.
Tenir et mettre à jour un registre
Le titulaire d’officine doit tenir et mettre à jour un registre dans lequel il recense et décrit l’ensemble des traitements de données personnelles mis en œuvre au sein de son officine. Le registre doit notamment préciser les données collectées, la finalité de cette collecte, les personnes concernées, la durée de conservation des données, les destinataires des données, les mesures de sécurité mises en œuvre pour protéger ce traitement, les modalités d’exercice des droits des personnes…
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des modèles vierges de fiches de registre.
Mettre en place des mesures de sécurité
En tant que responsable de traitement, le titulaire d’officine doit mettre en place toutes les mesures pour préserver la sécurité des données personnelles qu’il traite au sein de son officine et prendre toutes les précautions pour empêcher que les données soient modifiées, endommagées ou que des tiers non autorisés y aient accès.
Afin d’accompagner les titulaires d’officine dans cette démarche, la CNIL a adopté une liste de mesures de sécurité figurant dans le référentiel (point 10) relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie.
Informer les personnes du traitement de leurs données et de leurs droits
Le titulaire d’officine doit informer les personnes dont il traite les données de l’existence de ces traitements et des droits dont elles disposent à l’égard de leurs données (selon les cas, droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition…).
Il est conseillé de :
- Utiliser un vocabulaire simple, des phrases courtes et un style direct
- Ne pas noyer l’information dans un document de 20 pages ou en bas de page dans une taille de police illisible
- Faciliter l’accès aux mentions pour que les personnes puissent voir immédiatement comment et où accéder à l’information
- Penser toujours à mettre à jour ces mentions en cas de changement
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide à la rédaction des mentions, ainsi que sur les modalités d’exercice des droits des personnes.
Déterminer des durées de conservation
Les données personnelles ne peuvent être conservées que pendant le temps nécessaire à leur traitement. Le titulaire d’officine doit donc définir des durées de conservation et d’archivage des données traitées au sein de son officine.
Pour ce faire, quelques questions à se poser :
- Ai-je des obligations légales de conserver les données pendant un certain temps ?
- A défaut de textes, jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ?
- Quelles sont les règles de suppression des données ? Quelles sont les règles d’archivage des données ?
La CNIL donne des précisions quant à ces durées de conservation dans un référentiel relatif aux durées de conservation dans le domaine de la santé hors recherche, ainsi que dans le référentiel (point 7) relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie.
Encadrer ses relations avec ses sous-traitants
En tant que responsable de traitement, le titulaire d’officine doit déterminer parmi ses prestataires ceux répondant à la définition de sous-traitants au sens du RGPD (voir plus haut) et s’assurer avoir signé un contrat avec chacun de ses sous-traitants. Le titulaire d’officine devra également vérifier que les contrats conclus avec ses sous-traitants comportent l’ensemble des mentions obligatoires au titre du RGPD.
Afin d’accompagner les titulaires d’officine dans cette démarche, la CNIL a publié sur son site des clauses contractuelles types entre responsable de traitement et sous-traitant et a également apporté quelques précisions spécifiques à l’officine dans son référentiel (point 6.3) relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie.
Encadrer les éventuels transferts de données en dehors de l’Union européenne
Le titulaire d’officine doit identifier parmi ses prestataires ceux situés en dehors de l’Union européenne (UE) ou ceux transférant des données hors UE et s’assurer dans les contrats avec ces prestataires que les transferts de données sont encadrés conformément au RGPD (décision de la Commission européenne, clauses contractuelles types, règles internes d’entreprises, codes de conduite…).
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide en matière de transferts de données hors UE.
Réaliser une analyse d'impact relative à la protection des données
Le RGPD impose au responsable de traitement de réaliser, dans certains cas, une analyse d’impact relative à la protection des données (AIPD) dès lors que le traitement mis en œuvre est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.
L’AIPD est une analyse détaillée permettant d’évaluer la nécessité et la proportionnalité d’un traitement de données au regard du RGPD, ainsi que ses éventuels risques sur la sécurité des données.
En principe, la CNIL a expressément listé parmi les traitements pour lesquels il n’est pas nécessaire de réaliser une analyse d’impact, les « Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’une officine de pharmacie ».
Toutefois, dans son référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie, la CNIL estime que la réalisation d’une AIPD devrait en principe être nécessaire pour les activités à grande échelle, à savoir les officines de pharmacie déclarant une activité globale annuelle de plus de 2,6 millions d'euros hors taxes, à l’instar de la désignation du DPO.
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide à la réalisation d’AIPD.
A consulter : L'analyse d’impact relative à la protection des données (AIPD) - CNIL
Une vigilance accrue en période de crise sanitaire
Si les pharmaciens doivent toujours être vigilants, il convient de redoubler d’attention en période de crise sanitaire, propice à de nombreuses attaques de systèmes informatiques d’organismes traitant des données de santé.
L’Ordre publie à cet égard régulièrement des actualités sur ce sujet :
- Tentative d'usurpation de cartes e-CPS : restez vigilant
- Notifications indésirables sur la e-CPS : appel à la vigilance
- e-CPS et logiciels intermédiaires : respecter les bonnes pratiques pour éviter la fraude et sécuriser les données
- Rappel des règles de collecte dans SI-DEP des résultats des tests antigéniques Covid-19
- Portail SI-DEP : informer les personnes testées et assurer la confidentialité de leurs données
Ce qu’il faut retenir
Les questions à se poser
- Avez-vous désigné un DPO ?
- Tenez-vous à jour un registre de vos activités ?
- Protégez-vous les données personnelles traitées au sein de votre officine ?
- Informez-vous les personnes concernées par ces traitements et comment leur permettez-vous d’exercer leurs droits ?
- Avez-vous défini des durées de conservation ?
- Avez-vous encadré vos relations avec vos sous-traitants ?
- Avez-vous des traitements de données hors UE et comment sont-ils encadrés ?
- Avez-vous réalisé des analyses d’impact ?
Le titulaire d’officine, en sa qualité de responsable de traitement, doit mettre en place les mesures techniques et organisationnelles nécessaires à la protection des données personnelles traitées au sein de son officine et doit être en mesure de démontrer à tout moment que les traitements de données effectués sont conformes à la réglementation applicable.
Pour ce faire, le titulaire d’officine doit pouvoir répondre à ces questions et documenter chacune de ses réponses. La conformité au RGPD reste un processus dynamique qu’il convient de réinterroger régulièrement.
Les pharmaciens peuvent s’aider des différents outils mis en ligne sur le site de la CNIL, ainsi que du référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie.
Toutefois, les pharmaciens doivent rester vigilants car si la CNIL accompagne les responsables de traitement par la mise en ligne de ces différents outils, elle ne se fera jamais payer des services de mise en conformité au RGPD.
Ainsi, en cas d'appel ou de courrier suspect se faisant passer pour la CNIL et réclamant le paiement d’importantes sommes d’argent en contrepartie d’une prétendue mise en conformité au RGPD, les pharmaciens ne doivent pas donner suite au message reçu et doivent suivre les recommandations formulées par la DGCCRF et la CNIL.