RGPD : Êtes-vous en règle ?

PAS de panique.

La CNIL s’étant engagée à ne pas sanctionner les entreprises qui ne respecteraient pas le RGPD avant le 1^er janvier 1019, il vous reste encore quelque mois pour vous mettre en conformité. Mais l’enjeu est de taille puisque les sanctions pour mauvaise application ou non-respect du RGPD peuvent aller jusqu’à 4 % du CA de l’entreprise. Et comme le rappelle l’Ordre, « le ou les titulaires de l’officine sont responsables de l’ensemble des traitements mis en œuvre au sein de la pharmacie. » Le RGPD s’applique en effet à tous les traitements de données personnelles récoltées sous forme numérique ou papier. Sont concernées : les données des patients, des professionnels de santé, des salariés, des fournisseurs…

Voici les questions à vous poser pour savoir si vous êtes en règle ou pas.

• DOIS-JE toujours déclarer les traitements de données personnelles auprès de la CNIL ? « Non, avec le RGPD, le titulaire n’a plus besoin d’établir une déclaration à la norme simplifiée 52, précise Hélène Decourteix, fondatrice de la société de conseil La Pharmacie Digitale. En revanche, il doit être en capacité de prouver qu’il respecte le RGPD. »

• DOIS-JE tenir un registre des traitements ? Oui, car la constitution et le maintien d’un registre est imposé par le RGPD à toutes les entreprises qui traitent des données personnelles de manière régulière. Pour vous aider à constituer ce registre, la CNIL a mis en ligne une fiche pratique à l’adresse suivante : www.cnil.fr/fr/RGDP-le-registredes- activites-de-traitement. Inutile de transmettre ce registre à la CNIL. Il doit être conservé à l’officine.

• DOIS-JE réaliser une étude d’impact ? « Tout dépend de la taille de votre officine, précise Hélène Decourteix. Les pharmacies importantes, exerçant leurs activités à grande échelle et gérant un volume très important de données de santé, sont soumises à l’obligation de réaliser une étude d’impact. Toutes les autres n’ont pas à le faire. »

• DOIS-JE désigner un Data Protection Officer (DPO) ? La réponse est la même qu’à la question précédente. Oui, pour les pharmacies de taille importantes qui gèrent les données de plusieurs milliers de patients. Non pour les autres.

• SUIS-JE responsable de la mise en place de mesures de sécurité pour garantir la confidentialité des données des patients ? Si vous avez confié le traitement et l’hébergement de vos données à des prestataires, ces derniers doivent vous garantir un niveau de sécurité adapté au risque. Et comme le RGPD impose aux sous-traitants de nouvelles obligations et responsabilités vis-à-vis des responsables de traitement, vos prestataires ont normalement dû vous soumettre un nouveau contrat adapté aux contraintes du RGPD. Si ce n’est pas le cas, rapprochez-vous d’eux pour savoir où ils en sont en matière de conformité avec le RGPD.

BON À SAVOIR

L’Ordre national des pharmaciens s’est doté d’un DPO. Vous pouvez le joindre à l’adresse suivante : dpo@ordre.pharmacien.fr ou par téléphone au numéro suivant 01 81 69 47 43

Le RGPD s’applique à tous les traitements de données réalisés sous forme numérique ou papier. Sont concernées : les données des patients, des professionnels de santé, des salariés, des fournisseurs…

→ Avec le RGPD, plus besoin d’établir une déclaration à la norme simplifiée 52 auprès de la CNIL.

→ Vous devez en revanche constituer et maintenir un registre des traitements, qui doit être conservé à l’officine.

→ Si votre officine gère les données de plusieurs milliers de patients, vous devez réaliser une étude d’impact et nommer un DPO. Dans le cas contraire, vous en êtes dispensés.

POUR ALLER + LOIN

Besoin d’informations complémentaires sur les nouvelles obligations imposées par le RGPD ?

Consultez le dossier complet mis en ligne sur le site Internet de l’Ordre national des pharmaciens, rubrique Qui sommes-nous/Protection des données personnelles (www.ordre.pharmacien.fr).