Après avoir mené une consultation publique l’année dernière, la Commission nationale de l’informatique et des libertés (CNIL) vient d’adopter un nouveau référentiel pour « les traitements de données à caractère personnel destinés à la gestion des officines ». Si cet outil visant à aider les pharmaciens à respecter les obligations de sécurité RGPD* n’a pas de valeur contraignante, les confrères qui choisiront de s’en écarter devront néanmoins pouvoir justifier leurs choix.
Publiée au « Journal officiel » mardi, la délibération de la CNIL sur l’adoption de ce nouveau référentiel pour les logiciels métier utilisés par les pharmaciens a pour vocation de « guider les professionnels dans leurs démarches de mise en conformité » et de « constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans le cas où celle-ci est nécessaire ».
Ce nouveau référentiel rappelle d’abord quelles doivent être les finalités des « traitements de données à caractère personnel » à l’officine et elles sont nombreuses. Outre la dispensation de médicaments, ils doivent notamment permettre la coopération entre professionnels de santé, la contribution aux actions de veille et de protection sanitaires organisées par les autorités, la participation à l’éducation thérapeutique et aux actions d’accompagnement des patients, l’exercice du rôle de pharmacien correspondant, la vaccination, la gestion de rendez-vous… La liste n’est pas exhaustive.
Dans tous les cas, ne doivent être collectées et utilisées que les données personnelles pertinentes et nécessaires pour la prise en charge sanitaire et la gestion administrative de l’officine. Et leur accès doit être limité aux « personnes habilitées » selon les données concernées (par exemple le personnel de l’officine, d’autres professionnels de santé, le personnel de l’assurance-maladie, etc.). De plus, les pharmaciens ont l'obligation d'informer« par voie d’affichage dans l’officine ou par la remise d’un document spécifique » les personnes dont les données sont enregistrées et conservées dans les traitements de données.
Afin de satisfaire aux obligations de sécurité imposées par le RGPD, la CNIL invite les pharmaciens à adopter certaines mesures ou « à justifier de leur équivalent ou du fait que leur mise en œuvre n’est pas nécessaire ». Parmi ces mesures, le référentiel liste l’information et la sensibilisation du personnel de l’officine accédant aux données, la rédaction d’une charte informatique à valeur contraignante, la définition d’un identifiant propre à chaque utilisateur, l’authentification forte par la carte CPS, le verrouillage automatique d’une session après un délai d’inactivité, la mise à jour régulière des antivirus, l’interdiction de la connexion d’appareils non professionnels au réseau, l’utilisation d’une messagerie électronique sécurisée pour les échanges entre professionnels de santé… Enfin la CNIL prévoit une mesure complémentaire qu’elle recommande fortement aux pharmacies dont le chiffre d’affaires annuel dépasse les 2,6 millions d’euros HT. À savoir la réalisation d’une analyse d’impact relative à la protection des données (AIPD) et la désignation d’un délégué à la protection des données.
* Règlement général sur la protection des données
Dispensation du médicament
Tramadol et codéine sur ordonnance sécurisée : mesure reportée !
Formation continue
Transmission automatique des actions de DPC : les démarches à faire avant le 30 novembre
Relocalisation industrielle
Gel des prix sur le paracétamol pendant 2 ans : pourquoi, pour qui ?
Salon des maires
Trois axes d’action pour lutter contre les violences à l’officine