Définition et grands principes

Qui est concerné par la protection des données personnelles ?
Qu'est-ce qu'une donnée personnelle ?
Qu'est ce qu'une donnée personnelle de santé ?
Qu'est-ce qu'un traitement de données personnelles ?
Qui est responsable de traitement ?
Qui est sous-traitant ?
Qui est destinataire ?
Quels sont les grands principes ?
Quelle est l'autorité en charge de ces questions ?
Quelles sont les principales missions de la CNIL ?

Qui est concerné par la protection des données personnelles ?

Tout organisme, public ou privé, quelles que soient sa taille et son activité, peut être concerné dès lors qu’il traite des données personnelles.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Exemple : nom, prénom, date de naissance, numéro de téléphone, numéro de sécurité sociale, numéro RPPS. En revanche, un numéro de téléphone standard et un email de contact générique ne sont pas des données personnelles.

Qu’est-ce qu’une donnée personnelle de santé ?

C’est une donnée se rapportant à l'état de santé d'une personne concernée qui révèle des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple).

Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin, le dispositif ou logiciel utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et des données génomiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique).

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement désigne toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé ou support utilisé, et notamment la collecte, l’enregistrement, l’utilisation de toute donnée personnelle.

Exemple : le dossier pharmaceutique, la gestion des salariés, les fichiers ou logiciels patients, une base de contacts de professionnels de santé, une installation de vidéosurveillance.

Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Qui est responsable de traitement ?

Le responsable de traitement désigne la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement.

Exemple : le pharmacien titulaire d’officine est responsable des traitements qu’il met en œuvre et gère. Le dirigeant d’un laboratoire ou d’un établissement de santé est responsable des applications nécessaires à la gestion de son activité.

Qui est sous-traitant ?

Le sous-traitant désigne toute personne traitant des données à caractère personnel pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur ses instructions. Exemple : le prestataire de paie agissant pour le compte d’une officine ou la société qui héberge les données des patients pour le compte d’une officine ou d’un laboratoire.

Qui est destinataire ?

Est destinataire de données personnelles toute personne, physique ou morale, privée ou publique, qui reçoit communication des données personnelles, qu’il s’agisse ou non d’un tiers. Les destinataires peuvent donc être des personnes internes à l’organisation, comme par exemple le personnel de l’officine ou du laboratoire, ou extérieures à l’organisation, tels que les organismes d’assurance maladie complémentaires.

Quand vous traitez des données personnelles, vous devez respecter les principes de protection des données.

Quels sont les grands principes ?

RGPD

Une finalité déterminée et légitime : les données personnelles recueillies et conservées doivent être traitées pour la réalisation d’un objectif précis qui correspond en général aux missions de l’organisme.

Exemple : un pharmacien qui met en place un traitement portant sur la gestion de son officine poursuit un intérêt légitime.

Des données adéquates, pertinentes, non excessives et mises à jour à ce qui est strictement nécessaire à l’objectif poursuivi.

Exemple : pour la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins, la collecte d’informations sur la vie familiale d’un patient n’est pas nécessairement appropriée.

Une durée de conservation limitée : les données des patients doivent être conservées pour une durée déterminée.

Exemple : conformément à la délibération n°2006-161 du 08/06/2006 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les pharmaciens à des fins de gestion de la pharmacie (norme simplifiée n°52), les pharmaciens conservent le dossier du patient pendant 3 ans à compter de leur dernière intervention sur ledit dossier.

Une obligation de sécurité : des mesures techniques et organisationnelles appropriées doivent être mises en place pour préserver la confidentialité et l’intégrité des données à caractère personnel.

Exemple : accès aux locaux sécurisés, utilisation de mot de passe personnel d’une complexité suffisante, utilisation de la carte de professionnel de santé, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.

Le respect des droits de la personne : les pharmaciens, en tant que responsables de traitement, doivent communiquer aux personnes concernées par le traitement de leurs données, plusieurs informations au moment de la collecte de leurs données, notamment l’identité du responsable de traitement, les finalités du traitement, la durée de conservation, les modalités d’exercice de leurs droits (droit d’accès, de rectification, d’opposition, de portabilité, d’effacement de leurs données ou une limitation du traitement), etc.

Quelle est l’autorité en charge de ces questions ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur français des données personnelles. La CNIL accompagne les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et les aide à exercer leurs droits. Elle dispose également de pouvoirs de contrôles sur place ou en ligne.

Quelles sont les principales missions de la CNIL ?

RGPD visuel

Informer / protéger : la CNIL informe les particuliers et les professionnels et répond à leurs demandes. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits.

Exemple : la CNIL met à la disposition des professionnels de santé des outils pratiques et pédagogiques sur son site .

Accompagner / conseiller : la CNIL accompagne tous les organismes dans leur mise en conformité avec le RGPD et leur propose plusieurs outils à ce titre.

Exemple : la norme simplifiée n°52 (citée plus haut), constituera toujours des « bonnes pratiques » et sera prochainement transformée par la CNIL en « référentiels » pour guider les pharmaciens dans leurs démarches de conformité. Il en est de même pour la norme simplifiée n°53 du 8 juin 2006 relative aux traitements mis en œuvre par les biologistes à des fins de gestion du laboratoire d’analyses de biologie médicale.

Contrôler et sanctionner : le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la règlementation applicable en matière de protection des données personnelles.

A l'issue des contrôles, le Président de la CNIL peut décider de mettre en demeure le responsable de traitement de se mettre en conformité au terme d’un délai déterminé. La formation restreinte de la CNIL peut prononcer diverses sanctions à l'issue d'une procédure contradictoire notamment des sanctions pécuniaires dont le montant varie en fonction de la nature du manquement (pour plus de précisions, se référer à la page "les apports du RGPD ").

Anticiper : la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée, et contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les organismes le plus en amont possible.

Date de mise à jour : 25/06/2018

Origine de l'Ordre

Présidents du Conseil national

The French Chamber of Pharmacists

Biographie - Carine Wolf-Thal

DPI - Carine Wolf-Thal

Les Conseils

Les Commissions

Les directions des services communs

Index de l'égalité professionnelle entre les femmes et les hommes

Union européenne

Pays francophones

Reste du monde

2022-2027 avec les pharmaciens : 12 propositions

Définition et grands principes

Les apports du RGPD

Les mesures mises en place par le CNOP pour se conformer au RGPD

Quelles obligations pour les titulaires d’officine ?

Quelles obligations pour les laboratoires de biologie médicale ?

Ce qu’il faut retenir pour se mettre en conformité avec le RGPD

Mentions légales Informatique et Libertés

Pour contacter l'Ordre

Contacter le service Presse

Contacter le Conseil national

Contacter la Section A (officine)

Contacter la Section B (industrie)

Contacter la Section C (distribution)

Contacter la Section D (adjoint)

Contacter la Section E (Outre-Mer)

Contacter la Section G (biologie)

Contacter la Section H (hôpital)

Contacter le CR Auvergne Rhône-Alpes

Contacter le CR Bourgogne Franche-Comté

Contacter le CR Bretagne

Contacter le CR Centre - Val de Loire

Contacter le CR Grand Est

Contacter le CR Hauts-de-France

Contacter le CR Ile-de-France

Contacter le CR Normandie

Contacter le CR Nouvelle Aquitaine

Contacter le CR Occitanie

Contacter le CR Pays de la Loire

Contacter le CR PACA Corse

Contacter la Délégation Martinique

Contacter la Délégation Guadeloupe

Contacter la Délégation Réunion

Contacter la Délégation Guyane

Contacter le HCFPC

Contacter le Service cotisations

L'inscription au tableau

Procédure de suspension du droit d'exercer

Libre prestation de services

L'arrangement France-Québec

Le développement professionnel continu (DPC)

Certificats de remplacement pour les étudiants et internes

L'organisation des soins

Le DP

L'éducation sanitaire

Les maîtres de stage

La lutte contre les médicaments falsifiés

Démarche qualité à l'officine

Code de déontologie

Information, communication, publicité des officines

Les chambres de discipline

Les sections des assurances sociales

Jurisprudence

La défense de la profession devant les tribunaux

La protection de la croix verte et du caducée

Dispositif anti-cadeaux

DP-Ruptures - entretiens

Vincent Theodoly-Lannes, lauréat du prix de l'Ordre 2021

Emilie Petit-Jean, lauréate du Prix de l’Ordre 2018

Vivien Veyrat, lauréat du Prix de l’Ordre 2017

Nicolas Martelli, lauréat du Prix de l’Ordre 2015

Interview de Sébastien Faure, lauréat du Prix de l'Ordre 2014

Interview de Camille Marsolier, lauréate du Prix de l'Ordre 2013

Interview d'Anne-Catherine Maillols-Perroy, lauréate du Prix de l’Ordre 2012

Les fiches professionnelles

Campagne - Faire connaître les missions de santé publique des pharmaciens

Campagne - Biologiste médical

Les préalables pour exercer l’art pharmaceutique