Pharmacie : Nouvelles recommandations de la CNIL

  • à 12:29
Pharmacie
Chiffre d'affaires, sécurité et documentation, les derniers enjeux des pharmacies.

Avant la période estivale, la CNIL a publié un nouveau référentiel destiné aux pharmaciens. Bien que celle-ci indique que ce référentiel n’a pas de valeur contraignante, elle précise que « le respect des préconisations qu’il contient permet en principe d’assurer la conformité des traitements de données mis en œuvre au sein des officines de pharmacie ». La notion de principe est très importante ici ! Cela veut dire qu’il est possible pour une officine de ne pas être en conformité malgré l’application de ces recommandations. Dès lors, il apparaît clairement que le non-respect de ces dernières amènera à une non-conformité condamnable.

Nos équipes synthétisent dans cet article les enjeux importants auxquels les titulaires devront se confronter. Vous trouverez des recommandations quant aux actions à prioriser parmi les nombreuses énoncées dans ce référentiel.

La réalisation d’une analyse d’impact sur la protection des données et la désignation d’un délégué à la protection des données

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, la désignation d’un délégué à la protection des données (DPO) et la réalisation une analyse d’impact (AIPD) étaient des obligations qui n’allaient pas systématiquement de pair. En effet, seules les structures traitant des données à caractère personnel sensibles et à grande échelle étaient concernées. Concrètement, cela concernait essentiellement les groupements et non les officines indépendantes.

Or, la CNIL adopte une position nouvelle concernant l’activité puisqu’elle intègre désormais une notion de chiffre d’affaires. Notion qui rebat totalement les cartes et qui pourrait s’étendre à tout type d’activité.

Désormais, constitue un risque pour une officine de ne pas nommer un DPO et de ne pas réaliser d’AIPD dès lors que celle-ci réalise un CA supérieur à 2 600 000 euros.

Obligations pesant sur les pharmaciens

Ce référentiel présente diverses obligations qui nécessiteront un investissement important pour les officines. Parmi ces obligations, certaines ne nécessitent que des procédures dont la mise en œuvre ne présentera pas de difficultés majeures. Il s’agit des obligations suivantes :

  • L’information des personnes. Cette obligation ne nécessitera qu’un temps de rédaction initial des mentions d’information et de la politique de confidentialité. Une fois la documentation mise en place, une veille juridique et une analyse des évolutions métiers permettra de tenir à jour cette documentation.
  • Le respect des droits des personnes. Il s’agit là de mettre à disposition des personnes des moyens simples pour exercer leurs droits. Cela implique également de former une personne au traitement de ces demandes.
  • La sensibilisation des personnels. Cette sensibilisation devra être assurée pour les personnels en poste mais également pour les nouveaux arrivants.
  • L’hébergement des données. Une pharmacie traitant des données de santé, il faudra vous assurer que vous hébergez les données dans des conditions permettant d’en assurer la confidentialité, l’intégrité et la disponibilité. Le recours à un prestataire d'hébergement certifié HDS est une des solutions les plus simples à déployer.

D’autres obligations amèneront, quant à elles, des difficultés organisationnelles et techniques plus importantes. L’Agence du Numérique en Santé (ANS) a publié le 6 septembre 2022 une fiche synthétisant les référentiels et guides devant être respectés par tous les acteurs de la santé, du social et du médico-social. Leur mise en œuvre nécessitera davantage d’investissement ainsi qu’un accompagnement. En effet, bien que l’ANS ait souhaité proposer des guides vulgarisés, il nous paraît impossible pour un non initié de les respecter. A cela s’ajoute également :

  • L’ensemble des mesures de sécurité non visées par la Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) mais dont l’application est essentielle pour la mise en conformité de toute structure.
  • La tenue des différents registres nécessaire au respect du principe d’Accountability. Ainsi, vous devrez également solliciter des compétences juridiques et rédactionnelles.
  • Le respect des durées de conservation dont la définition nécessite une analyse juridique des différents textes de loi applicables ainsi qu’une analyse contextuelle des besoins métiers.
  • L’analyse du respect de la PGSSI-S par les sous-traitants et plus particulièrement par :
    • les éditeurs de solutions métiers ;
    • les prestataires informatiques.

C’est pour ces différentes raisons que la CNIL ne considère pas le recours à un prestataire informatique comme suffisant. En revanche, elle met en avant la désignation d’un délégué à la protection des données indépendant.

Les enjeux et risques liés à ce référentiel

En prenant en compte le chiffre d’affaires, la CNIL élargit les obligations des officines de pharmacie. Par conséquent, les risques de sanctions sont de plus en plus élevés et notamment concernant les exigences en matière de sécurité des données. Pour rappel, un défaut de sécurité peut entraîner une sanction allant jusqu’à 2% du chiffre d’affaires ou 10 millions d’euros.

Concernant les AIPD, cette obligation entre dans un périmètre de sanctions pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros.

Enfin, depuis le début de l’année 2022, la CNIL détient désormais un pouvoir de sanction simplifié puisque des sanctions peuvent être prises directement par les agents. Celles-ci peuvent aller jusqu’à 20 000 euros avec une astreinte de 100 euros par jour.

Référentiel CNIL relatif aux traitements de données a caractère personnel destinés a la gestion des officines de pharmacie.

myDigitplace

Informations légales

Nos engagements

Recrutement

Rejoignez l’équipe dès maintenant en envoyant votre candidature ici.

Newsletter

Champs obligatoires *

Tester son établissement : Les consentement légaux

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à l’évaluation de la conformité de votre entreprise ainsi qu’à l’envoi des résultats obtenus à ce test. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue lla fourniture d’un service gratuit d’évaluation de votre niveau de conformité

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à l’envoi des résultats à ce test.

Elles sont ensuite conservées pendant 3 ans afin de vous proposer des solutions de mise en conformité adaptées aux besoins identifiés. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.


Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.

 En cochant cette case j’affirme avoir lu et accepté votre politique de confidentialité.

Inscription à la newsletters : les mentions d’informations RGPD

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à la fourniture d’un service de Newsletter. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue la fourniture d’un service gratuit d’envoi d’informations spécialisées sur le RGPD et la cybersécurité.

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à votre désabonnement de notre Newsletter.

Elles sont également conservées pendant 3 ans afin que nous puissions vous communiquer nos offres commerciales. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Notre prestataire d’e-mailing nous communique des statistiques d’ouverture des courriers électroniques. Ces informations peuvent être traitées par nos services afin d’améliorer la sécurité de nos services.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.

Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.