Le Quotidien du pharmacien.- Quelles sont les missions de la CNIL dans le domaine de la santé ?
La CNIL accompagne les responsables de traitements de données dans leur mise en conformité concernant le recueil et le traitement des données personnelles. C’est dans ce cadre qu’elle peut être amenée à rendre des avis sur des projets de textes, comme cela a été le cas pour les décrets encadrant la mise en œuvre de SI-DEP, de TousAntiCovid ou du système d’information Vaccin Covid. La CNIL a également une mission de contrôle et, en cas de manquements constatés, elle peut décider de mettre en demeure ou de sanctionner. L’avertissement est une nouvelle mesure correctrice prévue par le règlement général de protection des données (RGPD) : la présidente de la CNIL peut avertir un organisme que le traitement de données qu’il envisage, à un stade où celui-ci n’est pas encore opérationnel, est susceptible de méconnaître les textes applicables. La CNIL n’a jamais prononcé de mises en demeure ou de sanctions publiques à l’encontre de pharmacies d’officine.
Comment le pharmacien peut se protéger des cyberattaques ?
Il est tenu à une obligation légale d’assurer la sécurité des données personnelles qu’il détient et donc de garantir l’intégrité de son patrimoine de données en minimisant les risques de pertes ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas de d’incident. Des réflexes doivent être mis en place : mises à jour des antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, chiffrement des données. Il peut évaluer le niveau de sécurité des données personnelles à l’officine en se posant quelques questions. Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ? Les accès aux locaux sont-ils sécurisés ? Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ? Y a-t-il une procédure de sauvegarde et de récupération des données en cas d’incident ?
Que faire en cas de cyberattaque ?
La CNIL doit être informée dès lors que l’incident touche des données de personnes et engendre un risque pour ces personnes (clients, patients, employés). Un téléservice est disponible sur le site internet de la CNIL. En cas de cyberattaque, il ne faut pas paniquer et prévenir les bonnes personnes, même à la veille d’un week-end prolongé. En tant qu’utilisateur, il ne faut pas cacher l’erreur et prévenir les équipes dédiées pour qu’elles puissent gérer la situation au plus vite, par exemple ses prestataires spécialisés. Et conserver des preuves en cas d’incidents malveillants.
Quelles sont les obligations réglementaires auxquelles les officines doivent répondre ?
Le RGPD impose aux responsables de traitement trois niveaux d’obligations en termes de notification. Il faut d’abord documenter, en interne, toutes les violations de données personnelles, quel que soit le risque engendré. La Commission vérifie ce registre lors des missions de contrôle qu’elle effectue. Ensuite, il faut notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL, si possible sous 72 heures. Enfin, lorsque le risque est élevé, il convient de notifier la violation aux personnes concernées, dans les meilleurs délais, afin qu’elles puissent se protéger des conséquences de la violation.
* Commission nationale de l'informatique et des libertés.
Tensions d’approvisionnement
Anticiper le retour progressif des analogues GLP-1
A la Une
Un calendrier vaccinal 2024 plein de nouveautés
À l’Académie de pharmacie
L’avenir des services en pharmacie
A la Une
La FSPF reçue à Bercy : débrief