GUIDE PRATIQUE : MISE EN CONFORMITE DE VOTRE OFFICINE AU RGPD

La réglementation en matière de collecte et de traitements des données à caractère personnel a été renforcée avec la mise en
application en France et dans toute l’Union Européenne, le 25 mai 2018, du Règlement général sur la protection des données à
caractère personnel (RGPD).

Le RGPD est applicable à tous les traitements de données à caractère personnel réalisés
par vos soins, vos collaborateurs ou auxquels vous prenez part.

Pour les professionnels de santé, les données à caractère personnel traitées sont en premier lieu celles fournies par les patients : données
administratives et assurance maladie, ordonnances…
Elles portent sur des données à caractère personnel qui, pour certaines, peuvent être sensibles.
Mais d’autres traitements sont également fréquents : surveillance vidéo du magasin et/ou des réserves, site internet, etc.
Il convient de ne pas négliger les données à caractère personnel relatives aux salariés et collaborateurs, lesquelles font, elles aussi, l’objet de
traitements (registre du personnel, déclarations auprès de l’administration, fiches de paie, vidéosurveillance, etc.).
COMPRENDRE
3 questions sur le RGPD…

Suis-je concerné ?

Oui. Le RGPD s’applique à tous les opérateurs du privé et du public établis dans l’Union Européenne qui traitent des données à caractère personnel,
qu’ils soient responsables du traitement ou sous-traitants.

Les professionnels de la santé sont concernés, quand bien même ils sont par ailleurs soumis à des règles déontologiques et à un secret professionnel très strict.
Le pharmacien d’officine titulaire est responsable des traitements de données réalisés par son officine.

De quoi s’agit-il ?

La protection des données à caractère personnel des personnes physiques est renforcée. La collecte et le traitement de telles données ne sont désormais plus
soumis à des obligations déclaratives auprès de la CNIL, mais il appartient au pharmacien d’organiser leurs pratiques internes et d’être capables de démontrer
leur conformité aux principes du RGPD en cas de contrôle de la CNIL.

Quelles sont les sanctions ?

Les sanctions prévues par le Règlement sont significatives : avertissement, mise en demeure, limitation temporaire ou définitive du traitement, suspension
des flux de données, obligation de rectifier, limiter ou effacer, …ainsi que des amendes administratives pouvant s’élever, selon la catégorie de l’infraction, à
10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Les mots-clés :

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ; par exemple : le nom, le numéro de sécurité sociale, le numéro de téléphone
ou l’email d’un client ; les données relatives à la santé d’une personne ; l’image d’une personne ; l’adresse IP d’un ordinateur. Les informations relatives à une personne morale (société,
association…) ne sont pas concernées, mais les informations identifiant une personne physique au sein d’une personne morale le sont (par exemple email professionnel du type
sophie.martin@lelabo.fr)

Traitement de données à caractère personnel : toute opération réalisée sur des données à caractère personnel en utilisant des outils informatiques ou non (fichiers papier) Par exemple : la
collecte, l’enregistrement, la conservation, la consultation, l’utilisation, la communication ou la diffusion de données à caractère personnel.
ADAPTER VOS PRATIQUES
VOS CLIENTS VOS SALARIES VOS FOURNISSEURS

Dans le cadre de vos activités, vous êtes amenés à En votre qualité d’employeur, vous collectez, Vos activités nécessitent de faire appel à différents
recueillir, enregistrer et transmettre des données à conservez et transmettez des données à caractère fournisseurs, prestataires et partenaires. Eux-aussi sont tenus
caractère personnel relatives à vos clients ; certaines de personnel relatives à vos salariés et de respecter le RGPD et de vous garantir la conformité de
ces données sont des données de santé, considérées collaborateurs. leurs pratiques.
comme sensibles, et nécessitent une protection
renforcée.

Avec le RGDP, il convient de : Avec le RGPD, il convient de : Avec le RGPD, il convient de :

 Faire le tri dans vos fichiers clients : supprimer les  Informer vos salariés et collaborateurs sur  Obtenir et conserver des garanties contractuelles sur
fichiers inutiles et définir une durée de conservation leurs droits et leurs obligations : notice la sécurité des services fournis par vos prestataires
; d’information sur les nouvelles procédures informatiques et sur leur conformité au RGPD ;
informatiques, vidéosurveillance…
 Sécuriser les données et leur accès : mots de passe,  S’assurer de la conformité des pratiques de vos
mise en veille automatique des postes  Les former sur les bonnes pratiques : fournisseurs et partenaires : légitimité et finalités des
informatiques, serveur sécurisé…) information des clients, collecte du traitements proposés ; engagements contractuels en
consentement, sécurité des données… matière de protection des données ; éventuels transferts
 Sécuriser les transmissions de données : hors UE…
messagerie sécurisée  Sécuriser et limiter les accès aux postes et
aux fichiers
 Installer une affiche informant les clients de
l’usage d’une vidéosurveillance dans votre officine

 Obtenir le consentement de vos clients et les

informer de leurs droits si vous leur demandez des
données personnelles à des fins promotionnelles
(questionnaires, sites web, newsletter…).
LES OUTILS DE VOTRE CONFORMITE
 Le Registre des Activités de Traitement

Il est recommandé de constituer un registre des activités de traitement.

Ce registre liste l’ensemble des traitements de données à caractère personnel réalisés à l’officine et, pour chaque traitement, les
informations essentielles relatives aux traitements mis en œuvre : finalités du traitement, responsable, durée de conservation, etc.

C’est ce registre qui vous servira d’outil de pilotage des traitements, être régulièrement mis à jour et devra être présenté en cas de
contrôle.

La CNIL a établi un exemple de registre, décrivant les activités traitement par traitement, lequel constitue une excellente base. Vous
le trouverez en annexe.
  Le DPO (Data Protection Officer) ou Délégué à la Protection des Données

Le DPO est obligatoire pour les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un
suivi régulier et systématique des personnes à grande échelle et ceux dont les activités de base les amènent à traiter à grande échelle
des données dites « sensibles ».

Il est recommandé dans les autres cas, où la fonction peut sinon être confiée à un responsable dédié. Dans une officine, le responsable
pourra être le pharmacien titulaire.

Le DPO peut être le CIL (Correspondant Informatique et Libertés) si votre entreprise en a désigné un, un salarié de l’entreprise (à
condition qu’il dispose des qualités professionnelles et de l’expertise requise) ou un tiers (cabinet d’avocat par exemple).

Le DPO peut donc être externalisé et même mutualisé entre plusieurs responsables de traitement.

 L’information des personnes concernées (clients et salariés)

Il convient d’informer les clients et salariés des traitements réalisés et de leurs droits au titre du RGPD : droit d’accès, de rectification,
de suppression…
Une documentation ad hoc doit donc être préparée et diffusée : charte informatique pour les salariés, affiches d’information dans
l’officine, mentions sur les formulaires ou questionnaires, mentions sur le site internet, etc.
  La mise en œuvre d’une procédure en cas de violation des données personnelles

Le responsable du traitement est tenu de notifier toute violation de données à caractère personnel (c’est-à-dire de toute
violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de
données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données) dans
les cas où la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

Cette notification devra être réalisée auprès de la CNIL au plus tard dans les 72 heures après en avoir pris connaissance.

Il est également obligatoire d’en informer directement la ou les personnes concernées, sauf si des mesures techniques et
organisationnelles ont rendu les données incompréhensibles pour toute personne, ou si des mesures ont été prises pour que le risque ne
soit plus susceptible de se matérialiser.

Si le responsable de traitement a un sous-traitant, celui-ci devra lui notifier toute violation de données à caractère personnel dans les
meilleurs délais après en avoir pris connaissance ; il est recommandé de le prévoir contractuellement.
 « CHECK-LIST RGPD »

A vous de cocher les cases ci-dessous pour vérifier si vous avez

engagé les actions principales de votre mise en conformité au RGPD :

 Etablir la liste des traitements réalisés par l’officine

 Vérifier la sécurité des traitements et du réseau de l’officine

 Constituer un registre des traitements

 Désigner un responsable dédié (ou, le cas échéant, un DPO)

 Informer les clients (cf. doc joint)

 Informer les salariés (cf. doc joint)

 Etre capable de démontrer ma conformité (registre, copie des contrats et mentions d’information…)