Un nouveau guide pratique du RGPD pour les pharmaciens
Article rédigé le 14 novembre 2023 par Marie Courtois, Laurence Huin et Raphaël Cavan
La CNIL et le Conseil national de l’ordre des pharmaciens ont élaboré un guide pratique du RGPD afin d’accompagner les pharmaciens d’officine dans leur mise en conformité au RGPD. Ce nouveau guide pratique vient s’ajouter à ceux élaborés par la CNIL en collaboration avec l’UNAF pour les professionnels du secteur social et médico-social et avec la CNOM pour les médecins. Sous la forme de cases à cocher, ce nouveau guide s’emploie à rappeler les principales notions à connaitre et les règles à respecter en matière de gestion et de protection des données à caractère personnel, puis à les illustrer à travers des exemples concrets.
Quelles informations doivent être protégées par les pharmaciens ?
Les pharmaciens, en leur qualité de responsable de traitement au sens de l’article 4 du RGPD, doivent veiller à assurer la protection des données à caractère personnel qu’ils collectent et traitent dans le cadre de la gestion de leur officine concernant leurs patients et leur personnel.
Concernant les patients, les pharmaciens sont amenés à recevoir des informations les concernant notamment pour assurer le suivi pharmaceutique, tenir l’ordonnancier ou encore les registres pour les produits dont la délivrance est soumise à un enregistrement. Ils sont également amenés à transmettre des informations à leurs sujets dans le cadre d’échanges avec d’autres professionnels de santé qui interviennent dans leur prise en charge ou dans le cadre de la transmission des feuilles de soins et des factures subrogatoires (pour le remboursement des prestations par les caisses d’assurance maladie).
Concernant les membres de leur personnel, les pharmaciens sont amenés, en tant qu’employeurs et pour la gestion de leur officine, à recevoir des informations les concernant pour accomplir par exemple, les formalités administratives afférentes à leur embauche ou tenir le registre du personnel.
Parmi l’ensemble des informations détenues par les pharmaciens, certaines constituent des données de santé en ce qu’elles se rapportent à la santé physique ou mentale, passée, présente ou future, d’une personne physique. Ces données sont sensibles au sens de l’article 9 du RGPD et doivent faire l’objet d’une vigilance particulière.
Que contient ce guide ?
Ce nouveau guide à destination des pharmaciens d’officine intervient en complément du référentiel CNIL sur la gestion des officines adopté en juillet 2022 et présente les principales notions et règles à respecter en matière de RGPD.
Les pharmaciens peuvent s’appuyer sur ce guide pour faire un état des lieux de leur conformité au RGPD et sur les fiches thématiques proposées par la CNIL délivrant des conseils, bonnes pratiques et exemples illustrés pour déterminer les actions à mener pour renforcer leur conformité.
Reprenons ici, une à une les fiches thématiques.
Quelles sont les obligations à l’égard des patients ?
Le pharmacien doit informer ses patients du traitement de leurs données personnelles.
Cette information peut être délivrée par voie d’affichage : un écriteau exposé sur les comptoirs de la pharmacie, ou par le biais d’une notice d’information remise au patient dont un modèle est proposé dans le guide. L’information délivrée doit être facilement accessible, la plus claire, simple et concise possible.
Par ailleurs, le pharmacien doit être en mesure de traiter les demandes d’exercice des droits des personnes, en prenant en compte dans la gestion des délais, la présence ou non des données de santé, raccourcissant le délai usuel de 1 mois pour traiter la demande à 8 jours.
Le guide réalise un focus sur les modalités d’ouverture d’un dossier pharmaceutique (ci-après « DP ») prévues par le décret du 3 avril 2023 et envisage les différentes hypothèses pouvant se présenter au pharmacien dans le cadre de l’ouverture de ce dossier lorsque le patient dispose déjà ou non d’un DP.
Le pharmacien doit tenir et mettre à jour le registre des activités de traitement dit « Registre RGPD ».
À ce titre, le guide propose un modèle de fiche de registre pré-rempli à compléter et à adapter en fonction des traitements de données personnes mis en œuvre dans l’officine du pharmacien.
Par ailleurs, le pharmacien doit également mettre en œuvre toutes les mesures nécessaires afin de garantir la confidentialité des données. Sur ce point, le guide de la CNIL propose une check list des différentes mesures de sécurité organisationnelles et techniques mises en œuvre permettant d’accompagner les pharmaciens dans l’évaluation de leur niveau de conformité.
En outre, le pharmacien doit être en mesure d’évaluer la nécessité et la proportionnalité d’un traitement des données et les risques sur leur sécurité à travers la réalisation d’une analyse d’impact sur la vie privée. Celle-ci devrait être, en principe, systématiquement réalisée par le pharmacien déclarant une activité globale annuelle de plus de 2 600 000 € HT. L’occasion ici de rappeler que l’évaluation du montant de l’activité s’effectue en application de l’article L.5125-15 du CSP et selon les modalités de l’article R.5125-37-1 du même code.
Enfin, le pharmacien doit déterminer les catégories de destinataires des données recevant communication des données collectées. Il doit notamment s’assurer que les informations ne sont transmises qu’entre professionnels de santé habilités, et ce dans le respect des conditions posées par les dispositions de l’article L.1110-4 du code de la santé publique.
Quelles sont les obligations des pharmaciens à l’égard de leur personnel ?
Le pharmacien doit informer ses salariés du traitement de leurs données personnelles. Cette information peut se faire via une notice dont le guide propose un modèle ou par le biais d’une mention dans le contrat de travail. Lorsque le salarié est un nouvel arrivant, il est possible d’insérer cette notice dans le contrat de travail et en annexe de celui-ci.
Le personnel doit être tenu à une obligation de confidentialité prévue par une clause dans le contrat de travail. Un modèle est également proposé par le guide.
Enfin, le pharmacien doit tenir et mettre à jour le registre RGPD pour les traitements des données à caractère personnel visant les salariés de son officine.
Comment gérer les relations avec les sous-traitants ?
Si le pharmacien décide de confier le traitement des données personnelles à un sous-traitant, le contrat de sous-traitance devra répondre aux exigences posées par l’article 28 du RGPD.
En pratique, le pharmacien doit insérer dans tout nouveau contrat une annexe portant sur la protection des données personnelles (modèle proposé dans le guide).
Pour les contrats déjà en cours, s’ils ne remplissent pas les conditions de l’article 28 du RGPD, il faudra signer un avenant au contrat pour insérer cette clause.
Quelles sont les obligations des pharmaciens en cas d’installation d’un dispositif vidéo ?
Le pharmacien peut installer un dispositif vidéo au sein de son officine pour en assurer sa sécurité, pour autant, ce dispositif ne devra pas être utilisé de sorte à placer ses collaborateurs sous une surveillance constante et permanente ou encore filmer leurs zones de repos ou les toilettes. En outre, les salariés doivent obligatoirement avoir été informés de la mise en place du dispositif.
Sur ce point, on peut relever la récente communication de la CNIL du 7 novembre 2023 sur son site internet dans laquelle elle précise avoir sanctionné, dans le cadre de sa procédure de sanction simplifiée, des acteurs publics et privés pour des manquements à la minimisation des données collectées (Article 5 du RGPD) tenant au fait pour un responsable de traitement d’avoir détourné un système de vidéosurveillance afin de placer en surveillance continue et permanente ses salariés. Pour rappel, le montant des amendes prononcées dans le cadre de cette procédure simplifiée peut aller jusqu’à 20 000 €.
Enfin, le guide précise que lorsque le dispositif est installé sur un lieu ouvert au public, son installation doit être autorisé par le préfet du département.
Comment réagir en cas de violation des données ?
Conformément aux dispositions de l’article 4 du RGPD, il y a violation de données à caractère personnel lorsqu’un incident de sécurité compromet l’intégrité des données (altération), leur confidentialité (divulgation) ou leur disponibilité (destruction). Il n’importe peu que l’incident soit d’origine accidentelle. Le pharmacien doit alors répertorier ces violations en précisant :
- Leur nature (intégrité, confidentialité, disponibilité)
- Les catégories et le nombre de personnes concernées.
- Les conséquences probables de la violation (ex. risque d’usurpation d’identité, risques d’interactions médicamenteuses, redondances de traitements, etc.).
- Les mesures prises pour remédier à la violation et limiter les conséquences négatives de celle-ci (ex. modifications des droits d’accès).
- Le nom et les coordonnées de la personne à contacter.
Lorsque la violation fait peser un risque sur les droits et libertés des personnes dont les données ont été impactées, le pharmacien est également tenu de notifier la violation à la CNIL dans les 72h. (ex. perte définitive des données des patients à la suite d’un incendie, publication sur internet des données de santé d’un patient, piratage du système informatique de l’officine contre une rançon).
Enfin le pharmacien doit tenir informer, dans les meilleurs délais, les personnes concernées lorsqu’il y a un risque élevé sur leurs droits et libertés.
Comment réagir en cas de contrôle de la CNIL ?
Afin de prévenir tout contrôle de la CNIL, le guide rappelle l’importance de tenir et de mettre à jour l’ensemble des documents que la CNIL peut demander dans le cadre de ses opérations de contrôle et notamment :
- La documentation portant sur le traitement des données parmi laquelle on retrouve le registre des traitements de données à caractère personnel et les éventuelles analyses d’impact réalisées.
- La documentation relative à l’information et aux droits des personnes concernées notamment les mentions d’information mais aussi la procédure mise en place pour l’exercice des droits des personnes concernées ou un document prouvant la sensibilisation du personnel sur ce sujet. Sur cette procédure, rappelons que chaque officine doit mettre en place une procédure afin de répondre à toutes les demandes d’exercice de droits des personnes (ex. droit d’accès à toutes les données les concernant, droit de rectification, droit d’effacement).
- La documentation relative aux contrats conclus avec les sous-traitants.
- La documentation relative à la sécurité des traitements et notamment le registre des violations de données personnelles.
Ce guide constitue une base documentaire intéressante pour accompagner les pharmaciens dans leur mise en conformité avec le RGPD dans le cadre de la gestion de leur officine.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.