Avant la période estivale, la CNIL a publié un nouveau référentiel destiné aux pharmaciens. Bien que celle-ci indique que ce référentiel n’a pas de valeur contraignante, elle précise que « le respect des préconisations qu’il contient permet en principe d’assurer la conformité des traitements de données mis en œuvre au sein des officines de pharmacie ». La notion de principe est très importante ici ! Cela veut dire qu’il est possible pour une officine de ne pas être en conformité malgré l’application de ces recommandations. Dès lors, il apparaît clairement que le non-respect de ces dernières amènera à une non-conformité condamnable.
Nos équipes synthétisent dans cet article les enjeux importants auxquels les titulaires devront se confronter. Vous trouverez des recommandations quant aux actions à prioriser parmi les nombreuses énoncées dans ce référentiel.
La réalisation d’une analyse d’impact sur la protection des données et la désignation d’un délégué à la protection des données
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, la désignation d’un délégué à la protection des données (DPO) et la réalisation une analyse d’impact (AIPD) étaient des obligations qui n’allaient pas systématiquement de pair. En effet, seules les structures traitant des données à caractère personnel sensibles et à grande échelle étaient concernées. Concrètement, cela concernait essentiellement les groupements et non les officines indépendantes.
Or, la CNIL adopte une position nouvelle concernant l’activité puisqu’elle intègre désormais une notion de chiffre d’affaires. Notion qui rebat totalement les cartes et qui pourrait s’étendre à tout type d’activité.
Désormais, constitue un risque pour une officine de ne pas nommer un DPO et de ne pas réaliser d’AIPD dès lors que celle-ci réalise un CA supérieur à 2 600 000 euros.
Obligations pesant sur les pharmaciens
Ce référentiel présente diverses obligations qui nécessiteront un investissement important pour les officines. Parmi ces obligations, certaines ne nécessitent que des procédures dont la mise en œuvre ne présentera pas de difficultés majeures. Il s’agit des obligations suivantes :
- L’information des personnes. Cette obligation ne nécessitera qu’un temps de rédaction initial des mentions d’information et de la politique de confidentialité. Une fois la documentation mise en place, une veille juridique et une analyse des évolutions métiers permettra de tenir à jour cette documentation.
- Le respect des droits des personnes. Il s’agit là de mettre à disposition des personnes des moyens simples pour exercer leurs droits. Cela implique également de former une personne au traitement de ces demandes.
- La sensibilisation des personnels. Cette sensibilisation devra être assurée pour les personnels en poste mais également pour les nouveaux arrivants.
- L’hébergement des données. Une pharmacie traitant des données de santé, il faudra vous assurer que vous hébergez les données dans des conditions permettant d’en assurer la confidentialité, l’intégrité et la disponibilité. Le recours à un prestataire d'hébergement certifié HDS est une des solutions les plus simples à déployer.
D’autres obligations amèneront, quant à elles, des difficultés organisationnelles et techniques plus importantes. L’Agence du Numérique en Santé (ANS) a publié le 6 septembre 2022 une fiche synthétisant les référentiels et guides devant être respectés par tous les acteurs de la santé, du social et du médico-social. Leur mise en œuvre nécessitera davantage d’investissement ainsi qu’un accompagnement. En effet, bien que l’ANS ait souhaité proposer des guides vulgarisés, il nous paraît impossible pour un non initié de les respecter. A cela s’ajoute également :
- L’ensemble des mesures de sécurité non visées par la Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) mais dont l’application est essentielle pour la mise en conformité de toute structure.
- La tenue des différents registres nécessaire au respect du principe d’Accountability. Ainsi, vous devrez également solliciter des compétences juridiques et rédactionnelles.
- Le respect des durées de conservation dont la définition nécessite une analyse juridique des différents textes de loi applicables ainsi qu’une analyse contextuelle des besoins métiers.
- L’analyse du respect de la PGSSI-S par les sous-traitants et plus particulièrement par :
- les éditeurs de solutions métiers ;
- les prestataires informatiques.
C’est pour ces différentes raisons que la CNIL ne considère pas le recours à un prestataire informatique comme suffisant. En revanche, elle met en avant la désignation d’un délégué à la protection des données indépendant.
Les enjeux et risques liés à ce référentiel
En prenant en compte le chiffre d’affaires, la CNIL élargit les obligations des officines de pharmacie. Par conséquent, les risques de sanctions sont de plus en plus élevés et notamment concernant les exigences en matière de sécurité des données. Pour rappel, un défaut de sécurité peut entraîner une sanction allant jusqu’à 2% du chiffre d’affaires ou 10 millions d’euros.
Concernant les AIPD, cette obligation entre dans un périmètre de sanctions pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros.
Enfin, depuis le début de l’année 2022, la CNIL détient désormais un pouvoir de sanction simplifié puisque des sanctions peuvent être prises directement par les agents. Celles-ci peuvent aller jusqu’à 20 000 euros avec une astreinte de 100 euros par jour.