Qu’est-ce qu’une donnée à caractère personnel ?
Le RGPD [1], entré en application le 25 mai 2018, définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » [2].
Cela inclut un large éventail d’éléments, tels que le nom, l’adresse, le numéro de téléphone, l’adresse électronique, le numéro de sécurité sociale, mais s’étend également à des aspects plus spécifiques tels que les données de santé.
Quant à elles, les données concernant la santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Il s’agit par exemple des informations concernant la maladie d’un patient.
Du fait de leur nature, les données de santé sont des données à caractère personnel considérées comme sensibles.
Qu’est-ce que le traitement des données à caractère personnel ?
Le traitement des données à caractère personnel correspond à toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données.
Rentre notamment dans cette définition, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, l’effacement ou encore la destruction.
Ce traitement peut intervenir de manière informatique, mais également sur papier.
Dans les faits, il y a un traitement de données à caractère personnel dans de nombreuses situations : lors de la constitution de fichiers relatifs à la patientèle, de la tenue d’un registre du personnel ou encore par la mise en place d’une installation de vidéosurveillance.
Est-ce qu’une pharmacie réalise des traitements de données à caractère personnel ?
Les pharmacies effectuent des traitements de données à caractère personnel à plusieurs égards :
- En leur qualité de professionnel de santé : les pharmacies effectuent un traitement des données personnelles de leurs patients. Un tel traitement intervient dans des situations variées : pour assurer le suivi pharmaceutique des patients, pour la tenue de l’ordonnancier, encore pour compléter les registres pour les produits dont la délivrance est soumise à un enregistrement obligatoire ou encore dans le cadre d’échanges avec les autres professionnels de santé,
- En leur qualité de partenaire : les pharmacies peuvent effectuer un traitement des données personnelles de leurs cocontractants et fournisseurs,
- En leur qualité d’employeur : les pharmaciens reçoivent des informations concernant leur personnel, pour accomplir les formalités légales, pour organiser le travail et gérer les paies ou encore pour tenir le registre unique du personnel.
Dans toutes ces situations où les pharmacies traitent des données personnelles, elles sont considérées comme « responsable de traitement » et sont concernées par le RGPD.
À ce titre, les pharmaciens titulaires sont responsables de la conformité au sein de leur officine.
Quelles sont les obligations des pharmacies ?
Chaque pharmacie doit s’assurer que les traitements mis en œuvre dans son officine sont conformes au RGPD.
1. Il appartient tout d’abord à la pharmacie de déterminer et d’expliciter les finalités des traitements de données, qui sont les objectifs de ces opérations.
Les finalités doivent être légitimes, notamment au regard des missions et des activités réalisées au sein de la pharmacie.
Seules les données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre ces finalités doivent être traitées. Il appartiendra alors à la pharmacie d’identifier les données à caractère personnel qui font l’objet d’un traitement dans le cadre de son activité et s’assurer de leur pertinence et nécessité par rapport à la finalité.
Le traitement doit être licite et doit reposer sur l’une des bases légales fixées par la réglementation [3]. Il appartient au responsable de traitement de déterminer ces bases légales avant toute opération de traitement.
Il sera enfin indispensable de déterminer la durée de conservation des données, cette durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées tout en respectant l’éventuelle réglementation sectorielle.
2. La pharmacie devra tenir un registre des activités de traitement effectuées sous sa responsabilité.
Ce registre est un outil de pilotage et de démonstration de la bonne conformité au RGPD. Il doit contenir divers éléments tels que les finalités du traitement, la description des catégories de personnes concernées ainsi que les catégories de données à caractère personnel traitées.
3. La pharmacie devra informer les personnes concernées par les traitements de leurs données personnelles. Les personnes dont les données sont collectées (particulièrement les patients et les salariés) doivent être informées, tant de l’existence de traitements que de leurs droits en la matière. Cette information doit être claire, simple, concise et facilement accessible.
4. La pharmacie devra protéger les données collectées. Le responsable du traitement doit mettre en œuvre les mesures pour empêcher que les fichiers soient perdus, détruits, altérés, divulgués ou que des tiers non autorisés y aient accès de manière accidentelle ou illicite. Cette protection passe d’abord par une sensibilisation du personnel de l’officine accédant aux données, mais surtout par la sécurisation des locaux et des systèmes informatiques.
5. La pharmacie devra identifier et encadrer les relations avec ses sous-traitants au sens du RGPD, c’est-à-dire tout prestataire qui traite des données personnelles au nom et pour le compte de l’officine (tels que les prestataires informatiques ou comptables).
6. La pharmacie devra mettre en place une procédure de traitement des demandes d’exercice de droits. Les personnes concernées par les traitements de leurs données personnelles ont, en effet, différents droits : droit d’accès, droit de rectification, droit d’opposition, droit à l’effacement, droit à la portabilité, droit à la limitation de traitement, droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé ou encore droit d’introduire une réclamation.
Le responsable du traitement des données est tenu de répondre à l’utilisateur dans un délai de 30 jours maximum.
7. La désignation d’un délégué à la protection des données (DPO) pourra s’imposer. La CNIL estime que la désignation d’un DPO, qui est la personne en charge de la protection des données à caractère personnel de l’entreprise [4], doit en principe être nécessaire pour les officines de pharmacie déclarant une activité globale annuelle de plus de 2 600 000 euros HT. Les autres, en tant que responsables de traitement, restent néanmoins libres de leur choix sous réserve de pouvoir le justifier.
8. Enfin, la pharmacie devra réaliser une analyse de l’impact des opérations de traitement sur la protection des données à caractère personnel.
La CNIL estime que la réalisation d’une telle analyse devrait être nécessaire pour les officines de pharmacie déclarant une activité globale annuelle de plus de 2 600 000 euros HT.