1. Accueil
  2. Prévenir
  3. Prévention

L’entrée en vigueur de la directive européenne sur les RGPD pose la question de la collecte et de la gestion des données de santé

Les pharmaciens au cœur de la protection des données personnelles

Par Stéphane de Vendeuvre -  Co-fondateur de Théragora

Théragora - www.theragora.fr - Théragora le 30 avril 2018 N° 08 - Page 0 - crédits iconographique Phovoir

Le Règlement Général sur la Protection des Données (RGPD), qui entrera en application le 25 mai prochain, vise à réglementer la protection des données personnelles. Toute entreprise dans et hors de l'Union Européenne, dès lors qu’elle propose des produits ou services aux résidents européens, devra donc respecter les règles posées par ce texte, à partir du moment où elle gère des données personnelles. En particulier les pharmacies d’officines.

 

 

RGPD. Quatre lettres sources d’inquiétudes pour les sociétés. Un acronyme pourtant rassurant puisque l’entrée en vigueur de la directive européenne dite RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018, sur le territoire de l’Union Européenne est perçue par nombre de personnes comme une source d’inquiétudes. « Il s’agit pourtant d’un évènement, somme toute, mineur » estime Frantz Lecarpentier expert en système d’information ; avant d’ajouter : « à condition d’avoir su anticiper ».

Une anticipation d’autant plus logique que ce texte prolonge la directive européenne de 1995, dont l’ambition était de généraliser au niveau européen la loi française de 1978, dite « loi informatique et liberté ». Destiné à protéger les citoyens, et en particulier ceux en ligne, ce texte de 99 articles vise à sécuriser et défendre les droits des citoyens européens et donc l’ensemble des consommateurs du vieux continent.

 

Droit à l’oubli

Rien d’étonnant dès lors à ce qu’« il porte sur l'application du principe de "privacy by design", sur l'établissement de relations responsabilisées entre les entreprises responsables de traitement et ses sous-traitants et sur l'instauration de nouvelles régulations », ajoute encore Frantz Lecarpentier.

Avec l’entrée en vigueur de la directive RGPD, sont en effet réaffirmés les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits (droit d’accès, droit de rectification, droit d’effacement, droit d’opposition…). En clair, toute personne qui viendrait à communiquer à une pharmacie une adresse géographique, des coordonnées téléphoniques ou courriels devra désormais pouvoir « à tout moment demander, par simple lettre ou mail, à être rayée de ses fichiers au nom du droit à l’oubli ».

 

Consentement express

Une règle qui concerne toute activité commerciale mais revêt une importance particulière dans le domaine de la santé. Dès lors, « toutes les données qui seraient recueillies sur des sites gérés par une pharmacie ou un groupement de pharmaciens ne pourront être stockées et archivées qu'avec le consentement exprès et éclairé du client/patient », précise Laëtitia Hible pharmacienne d’officine en Corrèze et présidente de Pharma Système Qualité, association en charge de la démarche qualité et de la certification des officines pharmaceutiques.

En outre les données recueillies pourront concerner des informations utiles à la dispensation médicamenteuse, à la livraison d’un produit ou encore à son paiement. Aucune donnée supplémentaire ne pourra être demandée sur les sites sans le consentement express du patient. Pas question donc de collecter à l’insu du client/patient des informations sur l’âge, le sexe, le numéro de Sécurité Sociale ou encore sur la Carte Vitale.

Et, bien évidemment, ces données ne pourront en aucun cas être croisées avec celles contenues dans le dossier pharmaceutique (DP) existant ou dans le futur dossier médical partagé (DMP) dont la mise en place devrait être généralisée à la fin de l’année 2018, selon le directeur de l’Assurance maladie, Nicolas Revel.

 

Data Professionnel Officer

Il appartiendra enfin aux sociétés concernées de démontrer de manière documentée leur mise en conformité avec les exigences légales. Dans la même logique chaque adhérent d’un groupement de pharmaciens pourra aussi faire jouer son droit à la portabilité des données en possession de la société dont il est membre ou adhérent.

Les mails envoyés par les groupements de pharmaciens devront donc respecter les recommandations de la directive du 25 mai 2018 en matière de respect des données. Une obligation qui prend tout son sens en matière de cookies et notamment au regard de la durée d’existence légale de ces derniers.

A charge alors à chacune de ces structures d’instaurer un Data Professionnel Officer (DPO), auquel toute demande de retrait de données pourra être adressée. Créée par la directive, cette fonction n’est toutefois pas encore clairement définie. « La question qui se pose aujourd’hui est en effet de savoir si chaque officine pharmaceutique devra disposer d’un DPO, ou bien si ce rôle de DPO pourrait être assumé par une tierce personne au sein du groupement dont le pharmacien est membre ou bien au sein du conseil de l’Ordre », s’interroge Me Tangi Noël docteur en droit et avocat au barreau de Rennes. Seule certitude : le DPO ne pourra être le pharmacien titulaire.

 

Informations sensibles

Mis à part ce point de détail, les règles fixées par la directive RGPD n’ont rien d’extraordinaire pour les pharmaciens car le monde de la santé est de longue date sensibilisé à cette problématique. La directive de 1995 reconnaissait en effet le statut d’informations sensibles aux données de santé comme à celles portant sur les domaines religieux et politiques dès lors qu’elles sont personnelles.

Et pour cause ! Les données personnelles de santé pourraient faire l’objet de bien des convoitises, en particulier de la part de sociétés d’assurance et autres banques désireuses de mesurer les risques qu’elles pourraient être amenées à couvrir voire à garantir.
Pour autant les données de santé peuvent se révéler très utiles en particulier dans le domaine de la recherche. D’où l’intérêt de pouvoir les « anonymiser ». Un procédé qui vise à collecter des données personnelles et à faire disparaître l’identité des personnes qu’elles concernent via un tiers de confiance. « Un process dont la légalité a été reconnu par la directive européenne de 1995 », précise encore Me Tangi Noël.

 

Six objectifs

La directive RGPD ne va donc pas révolutionner le secteur de la santé. Et en particulier les officines pharmaceutiques ; A fortiori lorsqu’elles sont engagées dans une certification, puisque « la démarche qualité implique de par sa nature même "une maitrise du risque informatique" et le respect des bonnes pratiques informatiques », explique encore la présidente de Pharma Système Qualité.
D'autant que « 80% des enjeux de sécurité dans les TPE/PME relèvent tantôt de process, tantôt d’une politique de communication interne ou encore du contrôle des pratiques. En clair, pour les petites entreprises, il s’agit moins de solutions techniques que de management ».

Afin de faciliter leur quotidien, les pharmaciens doivent s'employer à répondre aux exigences de la directive RGPD qui vise six objectifs : renforcer la confiance ; améliorer l’efficacité commerciale ; mieux gérer l’entreprise ; améliorer la sécurité des données de l’entreprise ; rassurer les clients et donneurs d’ordre ; créer de nouveaux services.

 

Registre de la Cnil

« D'où l'intérêt de sensibiliser les pharmaciens à la nécessité de respecter les bonnes pratiques informatiques et en particulier les conditions d’accès », ajoute encore Laëtitia Hible. Et donc de les informer de l’existence du kit TPE/PME mis au point par la banque public d’investissement (BPI) en attendant qu’à l’instar de l’Ordre des avocats le CNOP (Conseil national de l’Ordre des pharmaciens) ne diffusent d’éventuelles lignes directrices.

En attendant, il conviendra d’éclairer les pharmaciens sur la nécessité de recenser les fichiers en s’appuyant sur le modèle de registre de la Cnil (Commission nationale informatique et libertés), de faire le tri dans leurs données en ne conservant que celles réellement nécessaires et en écartant toutes données dites sensibles comme le poids ou la date de naissance, de respecter le droit des personnes en se conformant au formalisme imposé par la directive RGPD et enfin de sécuriser les données à partir d’antivirus et de logiciels mis à jour avec des mots de passe complexes et régulièrement changés. Rien de bien sorcier, somme toute…

Pour en savoir plus :

http://www.theragora.fr/pdfs/RGPD guide BPI-cnil.pdf

http://www.theragora.fr/pdfs/RGPD fiche-1 BPI-cnil-Que-faire-quand-votre-entreprise-communique-vend-en-ligne.pdf

 

Le B.A.BA du RGPD

Afin d’être bien en phase avec les obligations fixées par la directive RGPD, les pharmaciens doivent systématiquement s’astreindre à :
•obtenir le consentement du client en cas de collecte de données ;
•être à même de documenter sa conformité en tenant à jour, par exemple, un registre au sein de la pharmacie ;
•désigner un DPO (Data Professionnel Officer) qui ne pourra être le titulaire en exercice et ne devra pas systématiquement être la personne en charge de la qualité.
Les entretiens de Théragora
Les robots s'imposent dans le bloc opératoire
Les robots assistants chirurgiens sont désormais très présents dans les salles d'opération des hôpitaux. Associés à l'intelligences artificielle et à la réalité virtuelle, ils ouvrent la voie à la chirurgie cognitive de quatrième génération.
Archives vidéos Carnet Le Kiosque Théragora Mots de la semaine Derniers articles en ligne
Références
Contactez-nous

Théragora est le premier site d'information sur la santé au sens large, qui donne la parole à tout ceux qui sont concernés par l'environnement, la prévention, le soin et l'accompagnement des personnes âgées et autres patients chroniques.

contact@theragora.fr

www.theragora.fr

Suivez-nous et abonnez-vous sur nos 5 pages Facebook

Facebook Théragora
Facebook Théragora Prévenir
Facebook Théragora Soigner
Facebook Théragora Acteurs de ma santé
Facebook Théragora Soutenir

Linkedin Théragora