RGPD. Ce ne sont que quatre lettres alignées mais elles annonceront, le 25 mai, un changement de paradigme dans toutes les entreprises européennes puisqu’il s’agit d’un règlement européen, non soumis à une transposition nationale (1).
Le RGPD (Règlement général sur la protection des données), va obliger les entreprises, en l’occurrence les pharmacies d’officine, à opérer une réflexion sur l’organisation du traitement et du stockage des données des patients et des collaborateurs. Une notion qui eut semblé abstraite il y a encore quelques années. Mais la multiplication des piratages au cours des derniers mois, et plus récemment le scandale Facebook, ont rendu ce risque bien réel auprès du grand public.
Topographier les risques
Aujourd'hui, par conséquent, la nécessité d’une protection accrue n’est plus à promouvoir auprès de patients désormais sensibilisés. En revanche, de l'autre côté du comptoir, le processus s’avère plus complexe à mettre en place. Il s'agit concrètement de se prémunir des violations de données, voire des intrusions de tiers dans les fichiers, dont le titulaire peut, le cas échéant, être tenu pour responsable (2).
Sans aller jusque-là, le titulaire devra répondre de toute perte, même accidentelle, de données patients (perte de l’ordinateur, effacement malencontreux, etc.), ainsi que de toute faille dans son système de sécurité qui engendrerait la disparition des données patients. Du reste, tout incident devra être notifié à la CNIL dans les 72 heures, ainsi qu’à la personne concernée (patient ou collaborateur). Cette obligation est d’autant plus incontournable que l’officine gère des données particulièrement sensibles, liées à la santé, à la carte Vitale et, bien entendu, aux moyens de paiement (carte bleue).
C’est dire si le RGPD ne doit pas être pris à la légère. II oblige en premier lieu à analyser les risques encourus dans le traitement et le stockage des données des patients et des collaborateurs, y compris lorsque celles-ci sont détenues par des sous-traitants. Dans ce dernier cas, le titulaire devra s’assurer, en relisant les contrats avec ces prestataires, que ces derniers sont bien en conformité avec le RGPD.
Ne pas oublier la vidéoprotection
Afin de bien identifier tous ces risques et de pouvoir ensuite décider des actions correctives à mener, il est impératif, dans un premier temps, de cartographier les traitements des données personnelles. Côté patients, il s’agit de données liées aux prescriptions, à la délivrance ou encore à l’observance. Bientôt également, aux entretiens pharmaceutiques, le bilan partagé de médication, par exemple.
Côté salariés, les données concernent leur code d’accès et leur mot de passe. « Il faut revoir les pratiques simplifiées et rechercher absolument des combinaisons plus complexes », préconise Eddi Casali, Data Protection Officer chez Pharmagest. De même, une question s’impose : les systèmes de protection classiques, jusqu’alors utilisés, sont-ils capables de bloquer une intrusion extérieure ?
Autre exemple typique appelant une protection garantie : la vidéoprotection qui, selon l’angle de visionnage, concerne tant le patient que le collaborateur. Qu’en est-il des données ainsi collectées ? Dans quelle mesure la vie privée et les droits fondamentaux des personnes filmées sont-ils protégés ? L’ensemble des activités de traitements doit être recueilli au sein d’un registre, sous forme de fichier word, de tableau excel, ou encore au sein du LGO.
Nommer un DPO
Afin de gérer les risques élevés identifiés dans le traitement des données, et qui peuvent enfreindre les droits et les libertés individuelles des personnes concernées, il convient d’effectuer une analyse d’impact sur la protection des données (EIVP). Elle permettra ainsi de mener des actions de corrections par des procédures internes. L’objectif étant en effet qu’un haut niveau de protection soit assuré en permanence et quelles que soient les situations : faille dans le système informatique, demandes de rectification ou d’accès, modification des données collectées, ou encore changement de prestataires. Chacune de ces étapes doit être documentée, voire réactualisée au besoin, car la conformité au règlement doit pouvoir être prouvée à chaque instant.
Toutefois, s’il est responsable de la confidentialité des fichiers informatiques, de la protection des données et de la conformité de leurs traitements (voir encadré), le titulaire ne peut être le chef d’orchestre de la mise en œuvre du RGPD, pour des raisons évidentes de conflit d'intérêts. Il devra par conséquent nommer un Data Provider Officer (DPO), soit en interne, un pharmacien adjoint par exemple, ou tout autre salarié, soit « au sein d’une société spécialisée, voire de son groupement, puisque ceux-ci ont la possibilité de mutualiser cette fonction », comme l’indique Eddie Casali. Il précise que « si les éditeurs de LGO ont eux-mêmes un DPO, comme toute entreprise, ils ne sont pas légitimes à remplir cette fonction au sein de l'officine ». L'entrée en scène de ce nouveau personnage à l'officine, comme dans toute autre entreprise, signe de toute évidence l'avènement d'une nouvelle ère dans la protection des données individuelles.
(1) En France, le RGPD vient renforcer la loi Informatique et libertés de 1978 et la loi pour une République numérique de 2016.
(2) En cas de méconnaissance ou d'infraction au règlement, des sanctions administratives peuvent être prononcées à l'encontre du responsable du traitement des données (avertissement, mise en demeure de l'entreprise, suspension des flux de données). Les amendes peuvent atteindre entre 2 et 4 % du chiffre d'affaires.
D'après une conférence Pharmagora.
Près de 40 % du chiffre d’affaires
Médicaments chers : poids lourds de l’activité officinale
Les concentrations continuent
Hygie 31, Giropharm : grandes manœuvres au sein des groupements
Valorisation et transactions en 2023
La pharmacie, le commerce le plus dynamique de France
Gestion de l’officine
Télédéclarez votre chiffre d’affaires avant le 30 juin