Voté le 14 avril 2016, le nouveau Règlement Européen sur la Protection des Données Personnelles (GDPR ou RGPD) entrera en vigueur le 25 mai 2018. Il ne reste que deux mois aux entreprises pour se mettre en conformité. Mais quels sont les objectifs de cette nouvelle réglementation? Voici les 3 points forts à retenir :
1 – La transparence
Les patients devront donner systématiquement leur accord ou non sur le traitement des données personnel. Ils devront être informés de façon claire, intelligible et accessible sur l’utilisation de celles-ci.
2 – La protection de données personnelles
Les stockages de données doivent être réalisés dans un cadre déterminé et légitime. Les données ne peuvent être utilisées qu’à des fins pertinentes et au regard des objectifs prévus.
3 – La portabilité et le droit à l’oubli
Le patient peut disposer de ces données collectées par la pharmacie et demander soit leur destruction soit leur transmission à une tierce entreprise.
La conservation des données n’est pas illimitée: la durée maximale de conservation est limitée à 3 ans. Elles pourront être conservées pendant une durée précise et déterminée en fonction de l’objet de chaque fichier.
Et pour les pharmaciens ?
La pharmacie est un lieu de production et de collecte de données et à fortiori de données personnelles de santé.
La responsabilité du pharmacien face aux données
Le pharmacien est soumis à un ensemble d’obligation pour garantir la confidentialité des informations liées à son activité et à ses clients.
Le pharmacien titulaire est désigné comme le responsable des fichiers informatiques et des traitements comme plus largement de tous fichiers mêmes sous forme papier.
Il doit en garantir la sécurité : la confidentialité et non divulgation à des tiers non autorisés.
Avec le GDPR, la désignation d’un délégué à la protection des données est fortement encouragé (le DPO – Data Privacy Officer). Ce sera donc le pharmacien titulaire qui devra nommer un DPO.
Les sous-traitants du pharmacien, la responsabilité des acteurs
Le pharmacien a l’obligation de s’assurer de la conformité des prestataires qui traitent les données dont il est responsable.
Qui est un sous-traitant au sens du règlement européen sur la protection des données ?
Un sous-traitant est une entité qui traite des données à caractère personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.
Pour rappel, le responsable de traitement est celui «qui détermine les finalités et les moyens d’un traitement» (article 4 du règlement européen–définitions).
Les activités des sous-traitants peuvent concerner une tâche bien précise ou être plus générales et étendues comme par exemple la gestion de la paie des salariés si elle n’est pas réalisée directement par le pharmacien.
SABCO l’éditeur de votre LGO, les fournisseur de matériels et prestataires de services
Ne sont pas concernés, dans la mesure où ils n’ont pas accès et ne traitent pas de données à caractère personnel, les éditeurs de logiciels.
Dans le cadre du logiciel de gestion d’officine, le responsable des traitements est le pharmacien titulaire qui traite directement les données à caractères personnel dans son officine suivant les finalités et les moyens qu’il a fixé et dont il a besoin dans l’exercice de son métier.
Pour autant l’éditeur SABCO accompagnera le pharmacien responsable de ses traitements afin que ce dernier dispose de tous les éléments pour prouver la conformité des traitements qu’il met en œuvre.