Un référentiel sans valeur contraignante
Les pharmaciens pourront écarter certaines préconisations en justifiant leurs choix.
À qui s'adresse ce référentiel ?
Il s’adresse aux titulaires d’officine de pharmacie libérales et à leurs prestataires (sous-traitants).
Les traitements suivants sont exclus de ce référentiel :
- dans le cadre de l'alimentation du dossier pharmaceutique (DP),
- au cours du déploiement du télésoin dans les officines,
- dans le cadre de la vente en ligne de médicaments,
- dans le cadre de la lutte contre l’épidémie de Covid-19 (Sidep),
- au sein des pharmacies à usage intérieur (PUI).
Un traitement des données personnelles très encadré
Il doit répondre aux obligations de sécurité imposées par le règlement général sur la protection des données (RGPD) et la loi « informatique et libertés » mais également aux dispositions du Code de la santé publique, aux référentiels de sécurité et d’interopérabilité de l’Agence du numérique en santé (ANS) et enfin être cohérent avec les missions de la pharmacie.
Concernant cette dernière exigence, le référentiel propose une base légale de traitement :
Finalités | Bases légales envisageables |
---|---|
La dispensation de médicaments, produits ou objets | Contrat ou, le cas échéant, obligation légale |
La coopération entre professionnels de santé | Intérêts légitimes |
La contribution aux actions de veille et de protection sanitaires organisées par les autorités | Mission d'intérêt public |
Les traitements mis en œuvre dans le cadre de la participation à l'éducation thérapeutique et aux actions d'accompagnement des patients/clients définies aux articles L. 1161-1 à L. 1161-5 du CSP | Intérêts légitimes |
L'exercice du rôle de pharmacien correspondant | Intérêts légitimes |
La proposition de conseils et prestations destinés à favoriser l'amélioration ou le maintien de l'état de santé des personnes, conformément à l'article R. 512563366 du CSP | Intérêts légitimes |
La vaccination | Obligation légale |
La gestion des rendez-vous | Intérêts légitimes |
La tenue de l'ordonnancier et des registres de délivrance | Obligation légale |
L'établissement et la télétransmission des documents à destination de l'assurance maladie obligatoire | Obligation légale |
Seules les données pertinentes et nécessaires aux besoins du traitement doivent être collectées et utilisées et leur accès doit être limité aux personnes habilitées.
En cas d’externalisation de l’hébergement des données de santé
Les prestataires informatiques doivent être agréés ou certifiés pour l’hébergement, le stockage, la conservation de données de santé (certification dite « HDS », hébergement de données de santé).
Qui peut être le responsable de traitement ?
Sont habilités pour occuper ce poste :
- le pharmacien titulaire de l’office (s’il exerce son activité en tant qu’entrepreneur individuel) ;
- la société personne morale à travers laquelle il exerce son activité.
Sa mission est de veiller à la qualité des données traitées, à leurs exactitudes et mises à jour. Il doit déterminer également la durée de conservation des données préalablement au traitement.
Quelles sont les données collectées par le pharmacien ?
Le référentiel liste des exemples de données personnelles pertinentes :
- l’identité et coordonnées du patient/client (telles que nom, prénom, date de naissance, l’adresse postale, adresse électronique et numéro de téléphone) ;
- l’identité et les coordonnées des professionnels de santé participant à la prise en charge du patient ;
- l’identifiant national de santé (INS) pour la prise en charge sanitaire d’un patient/client dans le cadre de la délivrance de produits remboursés ;
- le numéro de sécurité sociale (NIR) à des fins de facturation et de prise en charge financière des dépenses de santé dans le cadre de la délivrance de produits remboursés ;
- les données relatives à la santé (telles que le poids, la taille, les antécédents médicaux, les diagnostics médicaux, les traitements prescrits, les traitements délivrés, les produits vendus, des renseignements propres à influencer la réaction du patient/client à sa prise en charge médicale et tout élément de nature à caractériser la santé du patient/client à la délivrance de conseils, médicaments, produits ou dispositifs médicaux) ;
- les informations relatives aux habitudes de vie en fonction du contexte, dès lors qu’elles sont collectées avec l’accord du patient et qu’elles sont nécessaires à la prise en charge sanitaire du patient ;
- les traces fonctionnelles (celles qui rendent compte des actions « métier » des utilisateurs ou des machines au sein du système d’information) et techniques (celles qui rendent compte de « l’activité » des composants).
Accès aux données sous l'autorité du responsable de traitement
Les personnes habilitées peuvent accéder aux données collectées dans le seul cadre de leurs activités, pour le compte et sous l’autorité du responsable de traitement (ex : personnels de l’officine, destinataires des données tels que les professionnels de santé et les médecins des organismes d’assurance maladie obligatoire).
Les accès aux différents traitements doivent être tracés.
Information du public
Les personnes doivent être informées des modalités de traitement de leurs données.
Cela se fait par affichage dans l’officine ou par la remise d’un document spécifique.
Elles disposent d’un droit d’opposition, d’accès, de rectification, d’effacement et de limitation du traitement.