La Cnil a adopté un nouveau référentiel pour accompagner les pharmacies d’officine dans leurs démarches de mise en conformité RGPD.
Le contexte du référentiel
Avant l’entrée en vigueur du RGPD en 2018, la norme simplifiée (NS) 52 « Pharmacies » (1) adoptée par la Cnil en juin 2006 avait vocation à encadrer les traitements automatisés de données à caractère personnel mis en œuvre par les pharmaciens pour gérer leur officine.
Depuis l’entrée en vigueur du RGPD (2018), les NS ne sont plus en vigueur même si, dans l’attente de la production d’un référentiel, la Cnil les maintient accessibles pour permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.
Dans ce contexte, la Cnil a organisé une consultation publique sur un projet de référentiel pour la gestion des pharmacies. Les représentants de la profession ont élaboré ce projet en commun afin :
- d’accompagner les pharmaciens titulaires d’officine dans leurs démarches de conformité au RGPD et à
- de leur proposer un cadre actualisé permettant d’encadrer les traitements de données qu’ils mettent en œuvre.
Ce référentiel finalisé le 18 juillet 2022 décline les principes du RGPD aux traitements mis en œuvre par les officines de pharmacie :
- tant dans le cadre tant de la prise en charge sanitaire,
- que de la gestion administrative de leur patientèle/clientèle.
Pour respecter ces principes, la démarche que nous proposons est la suivante.
Déterminer qui est responsable de traitement
La première chose à faire est de déterminer qui est responsable de traitement.
La NS-52 visait le pharmacien en qualité de responsable de traitement mis en œuvre dans le cadre des pharmacies d’officine.
Le référentiel vise de manière plus précise :
- le pharmacien titulaire de l’officine lorsqu’il exerce en tant qu’entrepreneur individuel ou
- la société personne morale à travers laquelle il exerce son activité.
Déterminer les traitements concernés
Ensuite, il convient de déterminer les traitements concernés.
La NS-52 visait seulement « la gestion informatisée de la pharmacie et l’analyse statistique de ses ventes ». Elle prévoyait 9 finalités poursuivies par les traitements, sans attribuer à ces finalités de base légale.
Il convient de rappeler à cet égard que les traitements de données de santé à caractère personnel ne sont licites que :
- s’ils se fondent cumulativement sur au moins une des bases légales énumérées à l’article 6 du RGPD et
- une des exceptions prévues à l’article 9.2 du RGPD (puisque par principe ces traitements sont interdits).
Le référentiel adapte alors les finalités des traitements aux dernières attributions du pharmacien (CSP, art. L.5125-1-1 A). Il associe, pour chaque finalité une base légale :
Exclure les traitements non concernés
Ensuite, il convient d’exclure les traitements qui ne sont pas dans le champ d’application du référentiel.
Le référentiel précise en effet qu’il n’a pas vocation à concerner les traitements de données spécifiques mis en œuvre par les pharmacies (2) :
- dans le cadre de l’alimentation du dossier pharmaceutique (DP) ;
- au cours du déploiement du télésoin ;
- dans le cadre de la vente en ligne de médicaments ;
- dans le cadre de la lutte contre l’épidémie de Covid-19 (SI-DEP) ; et
- au sein des pharmacies à usage intérieur (PUI).
Organiser la mise en conformité
Le référentiel énonce plusieurs obligations incombant à la pharmacie d’officine, agissant en qualité de responsable de traitement, autour des lesquelles devront notamment s’organiser la mise en conformité :
- Informer les patients/clients dont elle traite les données (par voie d’affichage dans l’officine ou remise d’un document spécifique) ;
- Mettre en place un registre des traitements de données mis en œuvre (RGPD, art. 30), qui permettra notamment de déterminer :
- les données pouvant être collectées, qui sont listées par le référentiel (non exhaustif sur ce point, il reprend principalement les données listées par la NS-52) ;
- les destinataires des données, qui sont très similaires à ceux prévus par la NS-52 mais sous-divisés en groupes correspondant aux nouvelles dénominations du RGPD :
- personnes accédant aux données sous l’autorité du responsable de traitement, comme le personnel de l’officine ;
- destinataires (organismes qui reçoivent communication de ces données), comme les professionnels de santé, personnels d’assurances maladie obligatoire ou les organismes menant des études en santé) ;
- sous-traitants : par exemple, prestataires de services informatiques (ex : maintenance du logiciel et des postes de travail utilisés dans l’officine de pharmacie) ou tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme (ex. : l’organisme concentrateur technique (OCT) chargé de transmettre les données à l’assurance maladie).
- les durées de conservation applicables : il importe de souligner à cet égard que la CNIL, dans son référentiel, insiste sur le respect des durées de conservation et sur le rôle que le prestataire fournissant une solution logicielle (exemple : logiciel de gestion de l’officine (LGO)) doit jouer, en mettant en place par exemple un système d’archivage automatique ;
- Réaliser une analyse d’impact et désigner un délégué à la protection des données (« DPO ») pour les officines de pharmacie déclarant une activité globale annuelle de plus de 2,6 millions d’euros hors taxe ;
- Mettre en œuvre des mesures techniques et organisationnelle en matière de sécurité, qui sont extrêmement détaillées dans le référentiel (là où la NS-52 ne visait au titre de ces mesures que l’utilisation de la carte CPS et l’utilisation d’un mot de passe pour le personnel de la pharmacie).
Point important
Il importe de souligner à cet égard que la Cnil, dans son référentiel, insiste désormais sur la nécessité de conclure avec le sous-traitant de données un contrat écrit et signé conforme à l’article 28 du RGPD.
En outre, si les données sont hébergées par ce sous-traitant (ou par un sous-traitant ultérieur de celui-ci), l’hébergement des données devra se faire conformément à la réglementation sur l’hébergement des données de santé (CSP, art. L.1111-8 notamment).
Conclusion
Traitant des données de santé à caractère personnel de patients (personnes vulnérables), potentiellement à grande échelle. Les pharmacies d’officine doivent s’organiser pour se conformer au nouveau référentiel qui permet de s’assurer de la conformité des traitements de données personnelles au RGPD.
Isabelle Chivoret
Lexing Santé Numérique
Notes
(1) Norme simplifiée n° NS-052 sur la gestion informatisée de la pharmacie et l’analyse statistique de ses ventes
(2) Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie