Le 25 mai prochain, entre en application le Règlement Européen sur la protection des données personnelles, le déjà fameux RGPD. Ce règlement, qui date du 27 avril 2016, a pour but de donner à l’ensemble des citoyens de l’Union européenne le contrôle de leurs données personnelles et de responsabiliser l’ensemble des acteurs traitant ces données. Cela concerne donc à peu près tout le monde. D’où l’effervescence récente qui entoure l’application prochaine du RGPD, dont on estime qu’il va impacter de façon importante l’ensemble des professionnels. Et plus particulièrement tous ceux qui traitent des données sensibles dont font partie les données de santé.
Une effervescence que d’aucuns jugent tardive, les entreprises ont eu deux ans pour se préparer car le RGPD promulgué en avril 2016 n’a pas bougé dans sa substance depuis. Et plus encore, pour les entreprises françaises soumises à la loi informatique et Libertés, vieille d’une quarantaine d’années, dont le RGPD s’inspire très largement. C’est en tout cas la position de Denis Jacopini, expert informatique assermenté spécialisé RGPD. « Il n’y a pas de changements fondamentaux par rapport à cette loi », estime-t-il. Et pourtant, le RGPD risque fort de bouleverser les pratiques en matière d’exploitation de données, un paradoxe que Denis Jacopini explique par une forme de réactualisation de la loi informatique et libertés qu’entraîne, de facto, le RGPD. Les articles 50 à 52 de cette loi prévoient des sanctions pénales en cas d’infraction, mais en réalité, ces sanctions n’étaient pas utilisées. « Les entreprises se sont dit que de toute façon la CNIL n’avait pas les moyens de contrôler les contrôler toutes », explique Denis Jacopini. C’est là que le RGPD entre en scène et va modifier ce statu quo.
Des sanctions très lourdes
« Ce n’est pas la CNIL qui va contrôler comment les données sont exploitées, mais les consommateurs eux-mêmes », précise l’expert. Ils vont pouvoir saisir l'instance dès lors qu’ils voient leurs données sur Internet. Et toutes les plaintes seront traitées par la Commission. Avec un risque financier pour le moins important désormais puisque l’un des changements apportés par le RGPD est le montant des sanctions qui pourra atteindre jusqu'à 4 % du chiffre d’affaires de l’entreprise par qui les données se sont retrouvées sur Internet. Or, compte tenu des risques croissants liés aux données de santé, de plus en plus convoitées par les cybercriminels, la probabilité pour que cela se produise est loin d’être infime. Tout est fait actuellement pour porter à la connaissance de tout un chacun ses droits sur cette question des données personnelles. Et plus encore dans le domaine des données de santé, où la question de l’exploitation non désirée de telles données peut revenir au premier plan.
Ces données peuvent par exemple arriver chez un assureur, lequel peut les utiliser dans le sens contraire de l’intérêt d’un assuré, ou tout simplement se retrouver sur le Net par simple acte de malveillance. « Plusieurs mutuelles dans le sud de la France ont été victimes de cybercriminels qui ont récupéré leurs données et demandé une rançon, ce qu’elles ont refusé, les données en question ont été mises sur Internet », raconte Denis Jacopini. Ce risque n’est pas qu’une hypothèse, c’est la réalité d’aujourd’hui.
La coresponsabilité du pharmacien et de ses sous-traitants
Non seulement les sanctions seront plus lourdes, mais les patients lésés pourront se retourner contre l’ensemble des acteurs qui ont failli à la sécurité de leurs données de santé. Le RGPD introduit en effet la notion de coresponsabilité. Le pharmacien, en tant que professionnel de santé, a le droit de recueillir et d’abriter des données de santé, un aménagement prévu aussi bien par la loi informatique et libertés que par le nouveau règlement européen. Mais de ce fait, il est responsable de ces données et doit en assurer la sécurité. Si elles se trouvent par mégarde ou par malveillance là où elles ne devraient pas être, la responsabilité du professionnel de santé est engagée, tout comme celle de ses sous-traitants. Pour le pharmacien, il s’agit bien évidemment des éditeurs de LGO, des hébergeurs et des acteurs du Web dans leur globalité, parfois même des groupements qui peuvent exploiter des données.
Certes, le monde de la santé est très réglementé et le législateur français a veillé à ce que tous les organismes et les entreprises qui hébergent des données soient habilités à le faire, c’est l’objet de l’agrément hébergeur de données de santé émis par l’ASIP Santé. Les éditeurs de LGO, tout en notant l’évolution réglementaire, estiment être déjà dans les clous du fait de cette législation très stricte. « Le RGPD n’est pas une révolution et s’inscrit dans la continuité de la réglementation existante, explique Virginie Molle Boissier, directrice marketing et communication de Smart Rx, les LGO étant déjà tenus, avant le règlement, de se conformer à des référentiels et cahiers des charges très rigoureux en matière de sécurité des données. Les applicatifs contenant des données de santé sont, en outre, d’ores et déjà hébergés dans un environnement agréé HDS. » Pour Denis Jacopini, l’enjeu n’est pas que technique, il est juridique et commercial. « Cela va remuer le monde professionnel dans sa totalité, les relations contractuelles entre les entreprises, quelles qu’elles soient, et leurs sous-traitants, vont être impactées, c’est un chantier énorme. »
Un traitement commercial des données de santé à l’insu des pharmaciens ?
On peut ainsi imaginer que le sujet du traitement commercial des données de santé à l’insu des pharmaciens, qui avait été dénoncé par certains d’entre eux, sera remis à l’ordre du jour. « Les pharmaciens seront dans le devoir de réclamer aux éditeurs de logiciels la preuve de leur bonne conformité avec le RGPD, notamment l'usage fait de leurs données de santé », estime ainsi Hélène Decourteix, consultante et fondatrice de La Pharmacie Digitale.
Dans l’immédiat, les pharmaciens auront à améliorer la sécurité de leur informatique, avec notamment des systèmes d’authentification précis, et des outils professionnels, antivirus et pare-feu, voire des procédures pour par exemple empêcher la prise de contrôle à distance d’un ordinateur. Beaucoup de travail reste à faire, il n’est pas certain que les pharmaciens puissent être prêts en l’état d’autant qu’ils n’ont pas beaucoup d’aide pour l’instant. La CNIL fait cependant un effort important d’information, elle a notamment mis en ligne sur son site Internet le logiciel Pia, un outil pour simuler les études d’impact sur la vie privée concernant les risques liés à la sécurité des données. Pour sa part, le Conseil national de l’Ordre des pharmaciens n’a pour l’instant pas communiqué sur le sujet, mais il affirme travailler dessus. L'instance attend notamment les modifications de la loi française qui vont résulter de l’application du RGPD.
Article précédent
Les bonnes questions pour trouver sa place sur la Toile
L’aventure du DP continue
La pharmacie sur les ondes
Comment soigner votre image sur le Web
La boîte à outils de la télémédecine
Quelques applis à conseiller à vos clients
Les « chatbot » arrivent à l’officine
L’omnicanalité ou l’effet de résonance entre physique et virtuel
Les bonnes questions pour trouver sa place sur la Toile
Le RGPD, une révolution dans la protection des données ?
Dispensation du médicament
Tramadol et codéine sur ordonnance sécurisée : mesure reportée !
Formation continue
Transmission automatique des actions de DPC : les démarches à faire avant le 30 novembre
Relocalisation industrielle
Gel des prix sur le paracétamol pendant 2 ans : pourquoi, pour qui ?
Salon des maires
Trois axes d’action pour lutter contre les violences à l’officine