Officine Pratique

Les sept clés de la protection des données

Par

Publié le 15/10/2018

Article réservé aux abonnés

Comme toute entreprise, les pharmacies doivent prouver leur conformité au règlement général sur la protection des données personnelles (RGPD). Le RGPD est un nouveau règlement qui encadre le traitement des données personnelles sur le territoire de l’Union européenne, en vigueur depuis le 25 mai 2018. Pour être en conformité, il faut constituer un dossier comportant différents éléments : un registre de traitement des données des informations concernant les patients et le personnel, les contrats avec les sous-traitants, les procédures internes en cas de violation des données personnelles, etc.

protection
Crédit photo : phanie

1-Répertorier les traitements des données

Dans un premier temps, il faudra identifier les traitements de données personnelles réalisées au sein de l’officine.

Mais quelles sont les données collectées en officine ? Et quelle sorte de traitement effectue-t-on ? D’une part, on retrouve des données classiques : données administratives (nom, prénom, date de naissance…), données économiques de l’entreprise, donnés des salariés, données collectées sur la pharmacie en ligne. D’autre part sont collectées des données de santé, qui sont à caractère sensible : données médicales des patients, bilan de santé, analyses médicales, maladie, etc.

Quant au traitement des données, il s’agit des opérations qui portent sur ces données (collecte, enregistrement, utilisation). Par exemple, le dossier pharmaceutique, la gestion des salariés, les fichiers ou logiciels patients, une base de contact de professionnels de santé, une installation de vidéosurveillance sont des traitements de données.

2- Registre obligatoire

Une fois les traitements des données identifiés, ils seront répertoriés sur un registre spécifique, obligatoire et régulièrement mis à jour. Il existe des modèles de registre sur le site de la Commission nationale informatique et libertés (CNIL).

Dans ce registre, créez une fiche pour chaque activité recensée, en précisant : l’objectif poursuivi (la finalité : par exemple la fidélisation client) ; les catégories de données utilisées (par exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ; qui a accès aux données (prestataires, partenaires, hébergeurs) ; la durée de conservation de ces données. Ce registre n’a pas vocation à être rendu public mais il doit être tenu à disposition de la CNIL.

3- Faire le tri

Maintenant que le registre est élaboré, c’est l l‘occasion d’améliorer vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires et de vos bases de données toutes les informations inutiles. Notamment, posez vous les questions : « ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? », « est il pertinent de la conserver aussi longtemps ? », etc. Redéfinissez aussi qui doit pouvoir accéder à quelles données. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

Il faudra également vérifier que les sous-traitants connaissent leurs nouvelles obligations et s’assurer de l’existence de clauses dans les contrats rappelant ces obligations de RGPD.

4- Respecter le droit des personnes

Les personnes dont vous traitez les données (clients, collaborateurs, etc.) ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d’exercer leurs droits, et prévoir des procédures internes pour traiter leurs demandes. De plus, Il est nécessaire d’informer les patients du traitement des données réalisé à l’officine en apposant une affichette (un modèle existe sur le site de la CNIL).

5- Sécuriser l'informatique

L’officine doit aussi justifier de la mise en œuvre de mesures de sécurité informatique afin d’éviter tout piratage ou divulgation non désirée de données personnelles. Pour cela, il est recommandé de sécuriser les postes de travail (verrouillage automatique des sessions, installation d’antivirus et de pare-feu logiciels…), de limiter les accès par Wifi, de faire des sauvegardes fréquentes, et d’archiver les données de manière sécurisée.

6- En cas de violation des données ?

Si l’officine subit une violation des données (divulgation accidentelle, destruction, perte, altération…) il faudra signaler à la CNIL dans les 72 heures lorsque la violation représente un risque pour les droits et les libertés des personnes concernées. De plus, si l’incident concerne des données de santé, il sera également nécessaire de prévenir l’Agence régionale de santé (ARS). Si ces risques sont élevés pour les personnes concernées, il faudra aussi les en informer.

7- Procédures internes

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

Charlotte Demarti

En complément