Le RGPD entre en vigueur le 25 Mai. Ce que vous devez savoir !

Par Marie-Sophie Nourdin Le vendredi 4 mai 2018

L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) va modifier en profondeur la façon dont votre officine conserve et gère les données. La pharmacie est un lieu de production et de collecte de données et votre profession se trouve confrontée à de nouveaux enjeux dès le 25 mai 2018. Ce règlement repose sur deux objectifs principaux : d’une part, renforcer le droit des personnes dont les données sont traitées, et d’autre part, renforcer les obligations des entreprises qui traitent des données.

Obligations en matière de protection des données

En tant que titulaire (ou co-titulaire) de votre officine, vous êtes responsables du traitement des données à caractère personnel (DCP) qui sont manipulées au sein de votre officine. Cette exigence de mise en conformité impacte toutes les fonctions de votre officine, qu’elles concernent les données patients, les données de vos collaborateurs ou encore les données fournisseurs. La Pharmacie, en tant que prestataire de santé, traite des données à caractère personnel dites sensibles. En effet, une donnée de santé est reconnue comme une donnée sensible au regard du RGPD. Le règlement européen définit les données de santé comme suit :

« Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique ; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro. » (Article 4.1).

Le pharmacien est donc soumis à un ensemble d’obligations pour garantir la confidentialité des informations liées à son activité et à ses patients. Il est désigné comme le responsable du fichier informatique et doit en garantir sa sécurité : la confidentialité et la non divulgation à des tiers non autorisés. Ces nouvelles obligations imposent aux officines traitant des données personnelles de recueillir le consentement clair et explicite de la personne quant à l’utilisation de ses données personnelles (par déclaration écrite ou par voie électronique), de s’assurer que les traitements de données sont conformes au règlement,  de prouver le consentement de la personne, de sécuriser les traitements et d’adapter les outils actuels en mettant en œuvre des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté aux risques.

Dans le cadre du traitement des données, le RGPD intègre deux concepts fondamentaux :

  • Privacy by design, la protection de la vie privée dès la conception
  • Security by default, garantir par défaut le plus haut niveau possible de protection des données

En conséquence, le RGPD impose l’élaboration d’une Etude d’Impact sur la Vie Privée (EIVP). Une EIVP permet d’étudier méthodiquement les traitements des données à caractère personnel (DCP), de hiérarchiser les risques, d’établir un plan d’actions et de les traiter de manière proportionnée pour mettre en œuvre des mesures correctives. Cette étude contribue à démontrer la mise en application des principes de protection de la vie privée. Le processus de réalisation d’une EIVP peut s’assimiler à une analyse des risques qui doit prendre en compte l’ensemble de ces possibilités :

  • Décrire le contexte des données
  • Préciser les principes fondamentaux (proportionnalité des données et droit des personnes)
  • Analyser tous les risques d’accès aux données (illégitime, modification non désirée, disparition)
  • Correction des mesures et avis du DPO

La Commission Nationale de l’Informatique et des Libertés (CNIL) a déjà publié des Directives relatives au RGPD.  Pour faciliter votre démarche, vous pouvez trouver de l’aide en consultant leur site internet www.cnil.fr et lire notamment l’article : « Règlement Européen : se préparer en 6 étapes ». La CNIL met gratuitement à disposition un logiciel gratuit d’analyse d’impact sur la protection des données.

Le traitement des données personnelles

La loi informatique et libertés encadre les termes de collecte, de traitement et de conservation des données personnelles et des données de santé. Le recueil et le traitement des données est réalisé pour un usage déterminé et légitime qui doit être déclaré à la CNIL : une déclaration simplifiée de conformité à la norme NS-052 concernant la gestion informatisée de la pharmacie est à réaliser par le titulaire. (https://www.cnil.fr/fr/declaration/ns-052-pharmacies).

Si vous avez déjà fait à minima une déclaration de conformité à la Norme NS-052 – gestion informatisée de la pharmacie (https://www.cnil.fr/fr/declarer-un-fichier) ou que vous avez désigné un correspondant informatique et libertés, vous disposez de 3 ans pour rédiger l’EIVP. Dans le second cas, si vous comptez le faire après le 25 mai, vous devrez inscrire le traitement de la gestion informatisée de la pharmacie dans votre registre des activités de traitement et réaliser immédiatement l’EIVP. Le délai de validation de la CNIL pour la désignation d’un DPO est d’un mois.[1]

 

La collecte et le traitement des données englobent d’autres principes :

– Le principe de la pertinence des données : seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis par le traitement des données.

– Le droit à l’oubli : chaque personne a le droit d’obtenir dans les meilleurs délais, de la part du responsable de traitement, la suppression des données le concernant et selon le règlement en vigueur.

– La durée de conservation : elle n’est pas illimitée, les données doivent être conservées pendant une durée précise et déterminée en fonction de l’objet de chaque fichier. La norme NS-052 impose des mesures de sécurité pour assurer la confidentialité des données.

– Le principe du respect des droits des personnes. Chaque personne concernée par un enregistrement de ses données personnelles doit être informée des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des destinataires et des modalités d’accès, de rectification, d’opposition… Cette information doit être mise en avant par panneaux d’affichage sur le point de vente ou une page «  protection des données  » ou «  informatique et libertés  » du site internet de la pharmacie. Lorsque les informations sont recueillies par voie de questionnaires, papier ou informatisés, ceux-ci doivent comporter ces mentions légales.

– Lorsque l’hébergement des données est externalisé, le dépôt et la conservation des données personnelles de santé doivent être effectués sur des serveurs agréés de données de santé à caractère personnel qu’avec le consentement exprès de la personne concernée.

Sécuriser les données personnelles et prévenir les failles

Le titulaire (ou co-titulaire) doit garantir que chaque utilisateur du Logiciel de Gestion d’Officine n’accède qu’aux données dont il a besoin pour l’exercice de sa mission. Cela se traduit par la mise en œuvre d’une authentification sécurisée c’est-à-dire la remise d’un identifiant unique à chaque utilisateur associé à un moyen de s’authentifier. La gestion des habilitations s’effectue par un contrôle de l’accès aux données pour chaque catégorie d’utilisateurs.

Les utilisateurs du logiciel doivent prendre conscience des menaces en termes de sécurité, ainsi que des enjeux concernant la protection des données personnelles. Les risques d’intrusion dans les systèmes informatiques sont réels et peuvent conduire à l’implantation de virus ou de programmes «espions». La sécurité des postes de travail passe par une mise en œuvre de mesures pour prévenir les tentatives d’accès frauduleux, éviter l’exécution de virus par l’installation de «pare-feu» (firewall) logiciel et d’antivirus régulièrement mis à jour pour empêcher la prise de contrôle à distance, notamment via internet.

Dans un monde où la digitalisation prend une place de plus en plus importante et constitue un challenge pour votre officine, Pharmagest vous accompagne dans votre démarche de mise en conformité.

Traiter les données des autres comme vous souhaiteriez qu’on traite les vôtres.

[1] Pour connaître la démarche à suivre, nous vous invitons à consulter le site de la CNIL : https://www.cnil.fr/fr/designer-un-pilote et https://www.cnil.fr/fr/designation-dpo

Commenter

Laisser un commentaire

Votre adresse ne sera pas publiée.