Caducée Performance

Du nouveau concernant les formalités en lien avec la CNIL
Depuis le 25 mai 2018, la RGPD est entrée en vigueur. Ce règlement européen a provoqué la suppression de certaines obligations qu’avaient jusqu’ici les officines et leur titulaire vis-à-vis de la CNIL. 
En effet, jusqu’ici, les officines répondaient à une norme concernant le traitement de ses données : la norme simplifiée n°NS-052. Représentant toujours ce qu’il est mieux de faire concernant les données que traitent les pharmacies, celle-ci est aujourd’hui à considérer comme un guide de bonnes pratiques. 

Pour rappel:
cette norme porte sur les deux aspects des données traitées en officine : la gestion de la pharmacie en interne et en externe, vis-à-vis des statistiques de vente. 
Pour être en conformité avec celle-ci, il est possible de collecter et transmettre des données personnelles aux professionnels de santé en charge d’un patient, aux membres de l’officine, à la CNAM et aux organismes chargés d’étude statistiques. Ces données doivent concerner : la délivrance et la traçabilité des produits pharmaceutiques, la télétransmission des feuilles de soins et la facturation. La collecte de ces mêmes données doit respecter les critères suivants : 

• Interdiction d’exploitation à des fins commerciales
• Conservation 3 ans (possibilité de les archiver 15 ans si l’officine est en mesure selon des dispositions spécifiques)
• Mettre en place des mesures de sécurité
• Informer la clientèle du traitement de ses données (de nombreux droits renforcés pour celle-ci : consentement, effacement, portabilité, etc.)

Le titulaire, responsable du traitement des données, devait jusqu’ici déclarer le traitement de ses données auprès de la CNIL afin de s’engager dans cette conformité. Pour l’heure, ces formalités ne sont plus à renseigner auprès de la commission. Pour autant, la RGPD précise qu’il est obligatoire de pouvoir démontrer que les officines respectent la protection de ses données. Ainsi, les procédures réalisées en amont par les pharmacies concernant la protection des données restent inchangées, elles ne sont simplement plus à renseigner auprès de la CNIL. 

La désignation d’un DPO (délégué à la protection des données personnelles)
Elle n’est pas obligatoire pour la pharmacie sauf si l’officine réalise des traitements à grande échelle (plusieurs dizaines de milliers de patients) [1]. La grande majorité des officines n’est pas concernée par cette exigence.

[1] Sont considérés comme des traitements à grande échelle, la géolocalisation en temps réel de clients d’un fast food mondialement implanté à des fins statistiques réalisées par un sous-traitant spécialisé dans ce domaine, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès Internet, le traitement de données de patients par un hôpital ;
En revanche, le traitement des données de la clientèle d’un médecin individuel ou encore le traitement des données de clients par un cabinet d’avocat ne seront pas considérés comme un traitement à grande échelle.

Ce qui est obligatoire : 
Avoir initié sa mise en conformité avec la RGPD.
Ainsi, les officines doivent respecter les principes de protection des données.
Les officines doivent également réaliser un registre des activités de traitement des données.
Enfin, en cas de violations des données personnelles, il faudra obligatoirement réaliser une notification des
incidents.

Ce qui est conseillé : 
Rester en parfaite conformité avec la norme simplifiée n°NS-052, même si elle n’a plus de valeur juridique et qu’il n’y a plus à effectuer des déclarations auprès de la CNIL. Il est également conseillé d’être vigilant vis-à-vis des publications de la CNIL. En effet, un référentiel sera effectué pour le secteur d’activité des officines : celui-ci actualisera les normes établies avant 2018 avec les principes actuels de la RGPD. 

POUR TELECHARGER LE REGISTRE DES TRAITEMENTS & DES INCIDENTS (RGPD) CLIQUEZ ICI

Publié le jeudi 12 mars 2020