Quelles obligations pour les laboratoires de biologie médicale ?

Quels sont les traitements concernés par la protection des données personnelles ?

Le RGPD s’applique à tous les traitements de données personnelles, quel que soit le support papier ou informatique (logiciel, fichier Excel…) et qu’ils concernent les patients du laboratoire de biologie médicale, les salariés, les professionnels de santé avec qui le laboratoire de biologie médicale est en contact…

Le RGPD impacte-t-il les relations avec les sous-traitants ?

Tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation, sont considérés comme des sous-traitants au sens du RGPD. Par exemple : lorsqu’il est fait appel à une société tierce pour gérer la comptabilité et la paie du personnel du laboratoire de biologie médicale, si des données patients sont hébergées chez un hébergeur, ou s’il est fait appel à un éditeur de logiciel pour la gestion de l’application métier dont le rôle ne se limite pas à la conception, au développement et à la commercialisation du logiciel et que celle-ci accède à certaines données, les héberge et/ou les intègre dans le système informatique du laboratoire.

A cet égard, le RGPD impose aux sous-traitants de nouvelles obligations et responsabilités vis-à-vis des responsables de traitement (obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité, obligation de conseil dans la mise en œuvre par exemple des études d’impact sur la vie privée, la notification de violation de données, la contribution aux audits …).

Attention : S’il est fait appel à un organisme extérieur pour l’hébergement des données de santé que le laboratoire de biologie médicale traite, celui-ci doit être certifié hébergeur de données de santé au titre de l’article L1111-8 du code de la santé publique. Le champ d’application de l’hébergement couvre toutes les données de santé gérées par le laboratoire de biologie médicale, qu’il s’agisse des phases pré-analytique, analytique ou post-analytique.

Un DPO doit-il être désigné ?

Au regard des critères posés par le RGPD (voir la page "les apports du RGPD " de cette lettre d’information), seules les entités qui exercent leurs activités à grande échelle, tels que par exemple des laboratoires de biologie médicale de taille importante qui gèrent un fichier de plusieurs milliers de patients, doivent désigner un DPO.

Attention :

Le DPO doit posséder des connaissances spécialisées en matière de protection des données.
Le DPO, qui doit être indépendant, ne peut pas être le responsable du laboratoire de biologie médicale.

Un laboratoire de biologie médicale doit-il tenir un registre ?

Oui, un registre des activités de traitement doit être mis en place car les applications gérées par les laboratoires de biologie médicale ne sont pas occasionnelles et comprennent des catégories particulières de données (par exemple des données de santé). Pour plus de précisions, se référer à la page "les apports du RGPD " de cette lettre d’information.

Que devient la norme simplifiée n°53 relative à la gestion informatisée d’un laboratoire de biologie médicale ?

Depuis le 25 mai 2018, date d’entrée en application du RGPD, les formalités auprès de la CNIL sont supprimées pour la plupart des traitements de données personnelles. Il n’y a donc plus d’engagement de conformité à effectuer auprès de la CNIL à la norme 53.

Toutefois, un laboratoire de biologie médicale doit être à tout moment en mesure de démontrer la conformité de ses applications aux principes de protection des données. Pour ce faire, il doit continuer à se référer aux conditions de la norme simplifiée 53 qui devrait être transformée en référentiel par la CNIL.

Une étude d’impact doit-elle être réalisée ?

L’étude d’impact consiste en un examen plus approfondi du contexte juridique et de sécurité du traitement et doit donner lieu à une analyse de risques au regard des principes de protection des données. Pour plus de précisions, voir la page "les apports du RGPD " de cette lettre d’information. Les traitements qui relevaient de normes simplifiées de la CNIL étaient considérés comme ne portant manifestement pas atteinte aux droits et libertés individuels dès lors qu’on en respectait les exigences. Il n’y a donc aujourd’hui a priori pas d’étude d’impact à réaliser pour un laboratoire de biologie médicale traitant de données qui relevaient de la norme simplifiée 53, à l’exception des laboratoires exerçant leurs activités à grande échelle et gérant ainsi un volume très important de données de santé pour lesquels une étude d’impact sera nécessaire.

Quelles sont les mesures de sécurité qu’un laboratoire de biologie médicale doit mettre en place pour protéger les données personnelles qu’il traite ?

Les laboratoires de biologie médicale, du fait de leurs activités et de leurs structures, sont amenés à traiter et à transférer un flux important de données à caractère personnel, en ce compris des données sensibles de santé des patients.

A ce titre, les laboratoires de biologie médicale doivent mettre en place l’ensemble des mesures de sécurité nécessaires à la protection de leurs flux de données, et notamment :

En plus des mesures énoncées à la norme 53 et auxquelles le laboratoire de biologie médicale doit toujours se référer (utilisation de la carte CPS, mot de passe personnel, système de chiffrement fort des transmissions, messagerie sécurisée, traçabilité des accès…), le RGPD est venu renforcer les obligations de sécurité. Pour plus de précisions, voir le guide de la CNIL sur la sécurité des données personnelles.
L’activité de biologiste, dans sa diversité d’exercice, doit également prendre en compte des référentiels de sécurité et d’interopérabilité dont le respect est dorénavant rendu obligatoire par le code de la santé publique (L1110-4-1 du code de la santé publique ) : le recours à des procédés d’identification et d’authentification forts, le recours à des hébergeurs certifiés par exemple.

Qui contacter pour toutes questions ?

Pour toute question concernant l’exercice de vos droits sur les données vous concernant détenues par l’Ordre, vous pouvez contacter le DPO du CNOP à l’adresse suivante : dpo@ordre.pharmacien.fr ou par téléphone au numéro suivant 01.81.69.47.43. Pour toute autre question, vous pouvez également contacter la CNIL par téléphone au 01. 53. 73. 22. 22 (du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h).

Date de mise à jour : 24/01/2019

Origine de l'Ordre

Présidents du Conseil national

The French Chamber of Pharmacists

Biographie - Carine Wolf-Thal

DPI - Carine Wolf-Thal

Les Conseils

Les Commissions

Les directions des services communs

Index de l'égalité professionnelle entre les femmes et les hommes

Union européenne

Pays francophones

Reste du monde

2022-2027 avec les pharmaciens : 12 propositions

Définition et grands principes

Les apports du RGPD

Les mesures mises en place par le CNOP pour se conformer au RGPD

Quelles obligations pour les titulaires d’officine ?

Quelles obligations pour les laboratoires de biologie médicale ?

Ce qu’il faut retenir pour se mettre en conformité avec le RGPD

Mentions légales Informatique et Libertés

Pour contacter l'Ordre

Contacter le service Presse

Contacter le Conseil national

Contacter la Section A (officine)

Contacter la Section B (industrie)

Contacter la Section C (distribution)

Contacter la Section D (adjoint)

Contacter la Section E (Outre-Mer)

Contacter la Section G (biologie)

Contacter la Section H (hôpital)

Contacter le CR Auvergne Rhône-Alpes

Contacter le CR Bourgogne Franche-Comté

Contacter le CR Bretagne

Contacter le CR Centre - Val de Loire

Contacter le CR Grand Est

Contacter le CR Hauts-de-France

Contacter le CR Ile-de-France

Contacter le CR Normandie

Contacter le CR Nouvelle Aquitaine

Contacter le CR Occitanie

Contacter le CR Pays de la Loire

Contacter le CR PACA Corse

Contacter la Délégation Martinique

Contacter la Délégation Guadeloupe

Contacter la Délégation Réunion

Contacter la Délégation Guyane

Contacter le HCFPC

Contacter le Service cotisations

L'inscription au tableau

Procédure de suspension du droit d'exercer

Libre prestation de services

L'arrangement France-Québec

Le développement professionnel continu (DPC)

Certificats de remplacement pour les étudiants et internes

L'organisation des soins

Le DP

L'éducation sanitaire

Les maîtres de stage

La lutte contre les médicaments falsifiés

Démarche qualité à l'officine

Code de déontologie

Information, communication, publicité des officines

Les chambres de discipline

Les sections des assurances sociales

Jurisprudence

La défense de la profession devant les tribunaux

La protection de la croix verte et du caducée

Dispositif anti-cadeaux

DP-Ruptures - entretiens

Vincent Theodoly-Lannes, lauréat du prix de l'Ordre 2021

Emilie Petit-Jean, lauréate du Prix de l’Ordre 2018

Vivien Veyrat, lauréat du Prix de l’Ordre 2017

Nicolas Martelli, lauréat du Prix de l’Ordre 2015

Interview de Sébastien Faure, lauréat du Prix de l'Ordre 2014

Interview de Camille Marsolier, lauréate du Prix de l'Ordre 2013

Interview d'Anne-Catherine Maillols-Perroy, lauréate du Prix de l’Ordre 2012

Les fiches professionnelles

Campagne - Faire connaître les missions de santé publique des pharmaciens

Campagne - Biologiste médical

Les préalables pour exercer l’art pharmaceutique