Pharmacies : référentiel de mise en conformité par la CNIL ?

Cet article a été co-écrit avec Maître Luiza Gabour
Pharmacies la CNIL adopte un référentiel de mise en conformité des traitements de données à caractère personnelLe 18 juillet 2022, la CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie ainsi qu’à leurs sous-traitants.

Ce référentiel a pour objet de faciliter la mise en conformité des traitements de données à caractère personnel mis en œuvre par les officines de pharmacie dans le cadre de la prise en charge sanitaire et de la gestion administrative de leur patientèle.

Outre les prescriptions détaillées visant à mettre en place un tel système, la CNIL, dans une onzième section, indique un élément de taille venant compléter certaines dispositions du RGPD, intégrées au sein de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » prise dans sa nouvelle rédaction.

En effet, la CNIL incite explicitement les officines de pharmacies, déclarant un revenu d’activité annuelle excédant 2. 600 000 € hors taxe (au sens des dispositions des articles L.5121-15 et R.5125- 37-1 du Code de la santé publique) à d’une part, réaliser une analyse d’impact relative à la protection des données (AIPD) et d’autre part, désigner un délégué à la protection des données (DPO). Pour rappel, le RGPD ne fixe ni seuil de chiffre d’affaires ni seuil d’effectif ayant pour effet la désignation d’un DPO ou la réalisation d’une AIPD.

En précisant un seuil de chiffre d’affaires, la CNIL semble poser un seuil de tolérance à l’égard de certaines officines les exonérants de  ne procéder à  la réalisation d’une  AIPD, du moins temporairement, vraisemblablement. En effet, force est de constater, qu’en principe, au regard de la délibération n°2018-326 du 11 octobre 2018 toute officine devrait en réalité réaliser une AIPD dans la mesure où, les officines ont vocation à traiter des données sensibles ou à caractère hautement personnel et que ces données concernent, pour la plupart, des personnes vulnérables au sens de la CNIL.

Dans l’hypothèse où les officines de pharmacies s’écarteraient des prescriptions posées par le référentiel, celles-ci devront impérativement être en mesure de justifier un tel choix et être en mesure de démontrer les raisons pour lesquelles elles s’en sont écartées.

En effet, si pour l’heure la CNIL n’a encore pris de sanction à l’encontre de pharmaciens ou d’officines, en vertu de l’article 20 de la Loi informatique et libertés, elle peut prononcer, en fonction de la gravité du non-respect de la réglementation, des amendes administratives allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Quant aux peines pénales maximales, elles sont, pour une personne physique, de 5 ans d’emprisonnement et de 300 000 d’euros d’amende et, pour une personne morale, de 1,5 millions d’euros d’amende.

Au niveau ordinal, sous l’empire de la loi informatique et libertés, prise dans une version antérieure au RGPD, la Chambre disciplinaire de l’Ordre des pharmaciens n’a pas hésité à suspendre un pharmacien pendant une durée de six mois en raison d’un certain nombre de manquements professionnels dont le non-respect des obligations mentionnées dans la loi informatique et libertés (décision du 12 octobre 2011 de la chambre de discipline du Conseil central de la section G, affaire n° 387).

Quelles sont les étapes à suivre pour assurer la mise en conformité des traitements, telles que décrites au sein de ce nouveau référentiel ?

1 – Déterminer les objectifs poursuivis par le traitement

Les traitements de données doivent  être précis, déterminés et justifiés au regard des activités conduites par l’officine, afin de permettre la prise en charge et la gestion administrative de la clientèle telle la dispensation des médicaments (le DP étant exclu du champs de ce référentiel), la coopération entre professionnels de santé, la gestion rendez-vous, la participation à l’éducation thérapeutique et aux actions d’accompagnement des patients…

Pour rappel, les traitements doivent être inscrits au sein du registre des activités de traitement, qui recense et analyse les traitements de données effectués et ce, conformément à l’article 30 du RGPD.

2 – Déterminer les bases légales du traitement

La base légale d’un traitement est celle qui autorise légalement sa mise en œuvre, ayant pour effet de conférer à l’officine, le droit de collecter et d’utiliser ces dites données. Le référentiel dresse une liste indicative des bases légales envisageables.

Cette liste synthétise les dispositions prévues par le RGPD et propose ainsi une approche pragmatique pour les professionnels de santé, dont l’organisation de leur registre des activités de traitement n’en sera que davantage facilitée.

3 – Déterminer les données nécessaires au traitement

Seules les données pertinentes et nécessaires à la prise en charge et la gestion administrative de la clientèle peuvent être collectées et traitées. Le référentiel dresse une liste des données jugées pertinentes qui sont les suivantes : identité et coordonnées du client, identité et coordonnées du professionnel de santé participant à la prise en charge du patient, INS, NIR, données relatives à la santé (dont notamment, le poids, la taille, les antécédents médicaux, les traitements antérieurs…), les informations relatives au mode de vie, les traces fonctionnelles et techniques.

Si le principe de minimisation des données est un point central pour assurer la conformité des traitements des données, l’officine, doit par ailleurs veiller à l’exactitude de ces données et ce, tout au long du traitement, conformément à la réglementation.

4 – terminer la durée de conservation

Dans la continuité des dispositions prévues par le RGPD, le référentiel rappelle que les officines doivent veiller à déterminer la durée de conservation des données collectées et traitées. Le référentiel rappelle que certaines durées de conservation sont inscrites au sein du CSP.

Les officines devront veiller à documenter correctement leur choix de durée de conservation et à les inscrire correctement dans leur registre des activités de traitement.

A l’expiration des délais de conservation, les données doivent être supprimées ou archivées. Afin de pallier tout manquement, les officines doivent veiller à ce que leurs prestataires fournisseurs de solutions logicielles intègrent une fonctionnalité d’archivage automatique à l’issue de la durée de conservation.

5 – Information et droits de la clientèle

Si les traitements de données personnelles sont nécessaires à l’officine pour la prise en charge et la gestion administrative de la clientèle, ceux-ci ne sont pas exclusifs d’un droit à l’information de la clientèle. La CNIL, dans son référentiel, préconise une information à tout le moins classique par voie d’affichage ou par la remise d’un document spécifique. Pour toute administration ou gestion dématérialisée, l’officine devra veiller à insérer un message similaire.

Enfin, l’officine doit s’assurer de disposer d’un mécanisme qui permette à sa clientèle, dont les données ont été collectées et traitées, d’exercer ses droits tels un droit d’opposition à certains traitements, un droit d’accès, de rectification, d’effacement et de limitation du traitement.