En septembre 2023, la Cnil publie un guide pratique intitulé «« le pharmacien d’officine et la protection des données personnelles », qu’elle a élaboré avec le Conseil national de l’Ordre des pharmaciens (ci-après « CNOP »).
En cela elle poursuit l’accompagnement des pharmacies d’officine commencée en juillet 2022, en adoptant un « référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie » afin de les accompagner dans leurs démarches de mise en conformité RGPD.
Ce guide s’adresse aux acteurs suivants :
- au responsable du traitement au sein de la pharmacie d’officine (c’est-à-dire le pharmacien titulaire de l’officine lorsqu’il exerce en tant qu’entrepreneur individuel ou la société personne morale à travers laquelle il exerce son activité) ;
- au Délégué à la Protection des Données (ci-après « DPO ») de la pharmacie ; ou encore
- au référent RGPD de la pharmacie en cas de DPO externalisé.
Première étape : le référentiel de la Cnil sur les pharmacies d’officine
Avant l’entrée en vigueur du RGPD en 2018, la norme simplifiée (NS) 52 « Pharmacies » adoptée par la Cnil en juin 2006 avait vocation à encadrer les traitements automatisés de données à caractère personnel mis en œuvre par les pharmaciens pour gérer leur officine.
Depuis l’entrée en vigueur du RGPD (2018), les NS ne sont plus en vigueur, même si, dans l’attente de la production d’un référentiel, la Cnil les maintient accessibles pour permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.
Dans ce contexte, la Cnil avait, en effet, organisé une consultation publique sur un projet de référentiel pour la gestion des pharmacies. De ce fait, les représentants de la profession ont élaboré ce projet en commun afin :
- d’accompagner les pharmaciens titulaires d’officine dans leurs démarches de conformité au RGPD ; et
- de leur proposer un cadre actualisé permettant d’encadrer les traitements de données qu’ils mettent en œuvre.
Ce référentiel finalisé le 18 juillet 2022 décline les principes du RGPD aux traitements mis en œuvre par les officines de pharmacie tant dans le cadre tant de la prise en charge sanitaire, que de la gestion administrative de leur patientèle/clientèle.
La démarche est d’expliquer qui est responsable du traitement au sens de la règlementation sur la protection des données à caractère personnel au sein de l’officine, quels sont les traitements de données mis en œuvre au sein de l’officine, comment organiser la conformité de ces traitements à la règlementation (information des patients, mise en place d’un registre, identification des durées de conservation des données applicables, contrats avec les sous-traitants de données, réalisation d’une analyse d’impact, mise en œuvre de mesures techniques et organisationnelles, certification HDS en cas d’hébergement des données de santé par le sous-traitant, etc.).
Deuxième étape : le guide pratique élaboré par la Cnil et le CNOP en complément de ce référentiel
Contrairement au référentiel précité, le guide élaboré par la Cnil et le CNOP se veut pragmatique.
En effet, ce guide contient quatre parties. Il est structuré de la manière suivante:
Première partie – Qu’est-ce que le RGPD ? (page 4)
Le guide pratique répond ici à une série de questions :
- Qu’est-ce qu’une donnée personnelle ou donnée à caractère personnel ?
- Qu’est-ce qu’une donnée de santé ?
- Qu’est-ce qu’un traitement de données personnelles ?
- Qu’est-ce qu’un responsable de traitement ?
Deuxième partie – Suis-je concerné par le RGPD en tant que pharmacien ? (page 5)
En effet, le guide pratique explique ici très simplement quelles sont les finalités principales pour lesquelles une pharmacie d’officine va traiter des données personnelles :
- Dispensation de médicaments
- Gestion de l’officine
Troisième partie – Où en êtes-vous dans votre conformité au RGPD ? (pages 6 à 11)
Le guide pratique permet au responsable du traitement au sein de la pharmacie d’officine (c’est-à-dire le pharmacien titulaire de l’officine lorsqu’il exerce en tant qu’entrepreneur individuel ou la société personne morale à travers laquelle il exerce son activité) de se livrer à un jeu de questions / réponses sur plusieurs thématiques.
Quatrième partie – 6 fiches thématiques illustrées d’exemples et de bonnes pratiques (pages 12 à 43)
Le guide pratique fournit, enfin, au responsable du traitement au sein de la pharmacie d’officine des fiches pratiques sur les thèmes suivants :
Au sein du guide pratique, on trouve, notamment, les modèles suivants :
- Une mention d’information type des patients
- Une mention d’information type des salariés
- Une mention d’information type des personnes filmées
- Une clause de confidentialité à insérer dans les contrats de travail
- Une fiche de registre d’un traitement de données relatif à la gestion et au suivi des patients, incluant, notamment, les durées de conservation des catégories de données et une liste des types de mesures de sécurité mises en œuvre
- Une fiche de registre d’un traitement de données relatif à la gestion du personnel, incluant notamment les durées de conservation des catégories de données et une liste des types de mesures de sécurité mises en œuvre
- Une annexe au contrat de sous-traitance conclu avec un tiers portant expressément sur la « Protection des Données personnels »
- Une check list de la documentation RGPD.
Conclusion
Sur la base de ce guide, les pharmaciens d’officine vont pouvoir s’auto-évaluer et vérifier en premier lieu s’ils doivent désigner un DPO (officines de pharmacie déclarant une activité globale annuelle de plus de 2 600 000 € HT) ou s’ils ont intérêt, en dehors de ce cas, à désigner un DPO pour assurer leur conformité au RGPD (ex. : absence de personne compétente en interne à cet égard pour assurer ce rôle).
Les DPO ou référents RGPD actuels des pharmaciens d’officine vont pouvoir, quant à eux, s’assurer de l’adéquation des conseils d’ores et déjà fournis aux positions de la Cnil et du CNOP telles qu’elle résultent de ce guide.
Assurément, l’enjeu est important dans la mesure où les sanctions encourues peuvent être très élevées, tant en termes financiers que réputationnels (page 43).