Quelles obligations pour les titulaires d’officine ?

 

  • Qui est responsable de traitement au sein d’une officine ?

Le ou les titulaires de l’officine sont responsables de l’ensemble des traitements mis en œuvre au sein de la pharmacie. Cette qualité ne peut être assumée par un salarié de l’officine. 

  • Quels sont les traitements concernés par la protection des données personnelles ?

Le RGPD s’applique à tous les traitements de données personnelles, quel que soit le support papier ou informatique (logiciel, fichier Excel …) et qu’ils concernent les patients de l’officine, les salariés, les fournisseurs, les professionnels de santé avec lesquels l’officine est en contact…

  • Quel est le rôle des éditeurs de logiciels dans le cadre des traitements de données mis en œuvre au sein des LAD ?

Tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation, sont considérés comme des sous-traitants au sens du RGPD. Sont notamment concernés :

  • les prestataires de services informatiques (hébergement, maintenance, …),
  • les intégrateurs de logiciels,
  • les sociétés de sécurité informatique,
  • les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII). 

Les éditeurs de logiciels d’aide à la dispensation pour lesquels le rôle ne se limite pas à la conception, au développement et à la commercialisation du logiciel mais qui accèdent à certaines données, les hébergent et/ou les intègrent dans le système informatique des officinaux peuvent donc agir selon les cas en qualité de sous-traitants des titulaires d’officine. 

A cet égard, le RGPD impose aux sous-traitants de nouvelles obligations et responsabilités vis-à-vis des responsables de traitement (obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité, obligation de conseil dans la mise en œuvre par exemple des études d’impact sur la vie privée, la notification de violation de données, la contribution aux audits…).

Attention  : Les éditeurs de logiciels ne sont peut-être pas les seuls sous-traitants des officinaux. Il en serait de même, par exemple, de la société prestataire qui gère la comptabilité et la paie du personnel de l’officine.

Tous les contrats avec vos sous-traitants doivent donc être revus afin de les adapter aux exigences du RGPD. Plus d’informations sont disponibles sur le site de la CNIL

  • Le titulaire d’officine doit-il désigner un DPO ?

Au regard des critères posés par le RGPD (voir la page "les apports du RGPD " de cette lettre d’information), le titulaire d’officine n’a pas à désigner de DPO, sauf pour les pharmacies qui exercent leurs activités à grande échelle, telles que les pharmacies de taille importante gérant par exemple un fichier de plusieurs milliers de personnes.

Attention :

  • Le DPO doit posséder des connaissances spécialisées en matière de protection des données.
  • Le DPO ne doit pas avoir de conflit d'intérêts avec ses autres missions. Par exemple, le titulaire de l'officine ne peut pas être désigné DPO de son officine.

Voir la réponse apportée par la CNIL sur cette question

  • Le titulaire d’officine doit-il tenir un registre ? 

Oui, car la gestion des données de ses patients n’est pas occasionnelle et qu’il gère des données de santé (pour plus de précisions, se référer à la page "les apports du RGPD " de cette lettre d’information).

  • Le titulaire d’officine doit-il réaliser une étude d'impact pour les traitements des données personnelles mis en œuvre au sein de son officine ?

Jusqu’à présent, le titulaire d’officine pouvait effectuer auprès de la CNIL un engagement de conformité à la norme simplifiée 52 s’agissant de la gestion des données de son officine incluant les données de ses patients. Il s’engageait ainsi à respecter les conditions du respect des principes de protection des données précisées dans ce texte, en particulier s’agissant de l’information des personnes et des mesures de sécurité du traitement.

Depuis le 25 mai 2018, ces formalités ont été supprimées. Le titulaire d’officine n’a plus de déclaration à effectuer sur le site de la CNIL, mais il doit toujours être en mesure de démontrer qu’il respecte les principes de protection des données. Il doit continuer à se référer aux conditions de la norme simplifiée 52 qui devrait être transformée en référentiel par la CNIL.

Concernant plus précisément la question des études d’impact, les traitements qui relevaient de normes simplifiées de la CNIL étaient considérés comme ne portant manifestement pas atteinte aux droits et libertés individuels dès lors qu’on en respectait les exigences. Il n’y a donc aujourd’hui a priori pas d’étude d’impact à réaliser pour le pharmacien d’officine traitant des données qui relevaient de cette norme simplifiée, à l’exception des officines exerçant leurs activités à grande échelle et gérant ainsi un volume très important de données de santé pour lesquelles une étude d’impact sera nécessaire.

  • Qui contacter pour toutes questions ?

Pour toute question concernant l’exercice de vos droits sur les données vous concernant détenues par l’Ordre, vous pouvez contacter le DPO du CNOP à l’adresse suivante : dpo@ordre.pharmacien.fr ou par téléphone au numéro suivant 01.81.69.47.43. 

Pour toute autre question, vous pouvez également contacter la CNIL par téléphone au 01. 53. 73. 22. 22 (du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h).

Date de mise à jour : 24/01/2019