Consultation de la Cnil sur la gestion des données en pharmacie

Les pharmaciens et les professionnels travaillant en officine sont soumis au RGPD, qui remplace la norme antérieure adoptée par la Commission nationale de l’informatique et des libertés, laquelle souhaite « proposer un cadre actualisé permettant d’encadrer les traitements qu’ils mettent en œuvre, tant d’un point de vue juridique que d’un point de vue technique ». Ainsi, la Cnil soumet son projet de référentiel à  jusqu’au 19 novembre.

Le référentiel

Un référentiel est un instrument de régulation « souple », essentiel pour donner davantage de sécurité juridique aux organismes. Il est destiné à actualiser les anciens cadres de référence adoptés avant l’entrée en application du RGPD (normes simplifiées, autorisations et actes réglementaires uniques). Il a pour objectif de guider les professionnels dans leurs démarches de mise en conformité et de constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans le cas où elle est nécessaire.

Sans valeur contraignante, ce  de la Cnil concerne les officines de pharmacie libérales et leurs prestataires. Il permet d’assurer la conformité des traitements de données mis en œuvre avec les principes relatifs à la protection des données et au secret professionnel, dans un contexte d’évolution des pratiques à l’ère numérique. Tous les acteurs concernés peuvent participer à la  (pharmaciens d’officine, représentants d’un groupement de pharmaciens, éditeurs de logiciels de gestion d’officines, etc.).

Les données

Le référentiel de la Cnil accompagnera la mise en conformité des traitements de données personnelles en officine (prise en charge sanitaire et gestion administrative de la patientèle). Ces données concernent :

• l’identité et les coordonnées du patient/client (nom, prénom, date de naissance, adresse postale, adresse électronique, numéro de téléphone) ;
• l’identifiant national de santé (INS) pour la prise en charge sanitaire d’un patient/client dans le cadre de la délivrance de produits remboursés ;
• le numéro de sécurité sociale (NIR) à des fins de facturation et de prise en charge financière des dépenses de santé dans le cadre de la délivrance de produits remboursés ;
• les données relatives à la santé (poids, taille, antécédents médicaux, diagnostics médicaux, traitements prescrits et délivrés, produits vendus, renseignements propres à influencer la réaction du patient/client à sa prise en charge médicale et tout élément de nature à caractériser la santé du patient/client lors de la délivrance de conseils, médicaments, produits ou dispositifs médicaux) ;
• les traces fonctionnelles (qui rendent compte des actions « métiers » des utilisateurs ou des machines au sein du système d’information) et techniques (qui rendent compte de « l’activité » des composants logiciels et matériels utilisés par le système d’information pour assurer la fonctionnalité sollicitée par un utilisateur ou une machine).

Le  détaille les potentiels destinataires de ces données, la durée de leur conservation, de même que les obligations en termes d’information et de sécurité imposées par le RGPD.