Pharmaciens : comment traiter les données de santé en conformité avec le RGPD ?

Un référentiel sans valeur contraignante

Les pharmaciens pourront écarter certaines préconisations en justifiant leurs choix.

À qui s'adresse ce référentiel ?

Il s’adresse aux titulaires d’officine de pharmacie libérales et à leurs prestataires (sous-traitants). 

Les traitements suivants sont exclus de ce référentiel : 

• dans le cadre de l'alimentation du dossier pharmaceutique (DP),
• au cours du déploiement du télésoin dans les officines,
• dans le cadre de la vente en ligne de médicaments,
• dans le cadre de la lutte contre l’épidémie de Covid-19 (Sidep),
• au sein des pharmacies à usage intérieur (PUI). 

Un traitement des données personnelles très encadré

Il doit répondre aux obligations de sécurité imposées par le règlement général sur la protection des données (RGPD) et la loi « informatique et libertés » mais également aux dispositions du Code de la santé publique, aux référentiels de sécurité et d’interopérabilité de l’Agence du numérique en santé (ANS) et enfin être cohérent avec les missions de la pharmacie.  

Concernant cette dernière exigence, le référentiel propose une base légale de traitement : 

Seules les données pertinentes et nécessaires aux besoins du traitement doivent être collectées et utilisées et leur accès doit être limité aux personnes habilitées. 

Qui peut être le responsable de traitement ?

Sont habilités pour occuper ce poste :

• le pharmacien titulaire de l’office (s’il exerce son activité en tant qu’entrepreneur individuel) ;
• la société personne morale à travers laquelle il exerce son activité.

Sa mission est de veiller à la qualité des données traitées, à leurs exactitudes et mises à jour. Il doit déterminer également la durée de conservation des données préalablement au traitement. 

Quelles sont les données collectées par le pharmacien ?

Le référentiel liste des exemples de données personnelles pertinentes : 

• l’identité et coordonnées du patient/client (telles que nom, prénom, date de naissance, l’adresse postale, adresse électronique et numéro de téléphone) ; 
• l’identité et les coordonnées des professionnels de santé participant à la prise en charge du patient ; 
• l’identifiant national de santé (INS) pour la prise en charge sanitaire d’un patient/client dans le cadre de la délivrance de produits remboursés ; 
• le numéro de sécurité sociale (NIR) à des fins de facturation et de prise en charge financière des dépenses de santé dans le cadre de la délivrance de produits remboursés ; 
• les données relatives à la santé (telles que le poids, la taille, les antécédents médicaux, les diagnostics médicaux, les traitements prescrits, les traitements délivrés, les produits vendus, des renseignements propres à influencer la réaction du patient/client à sa prise en charge médicale et tout élément de nature à caractériser la santé du patient/client à la délivrance de conseils, médicaments, produits ou dispositifs médicaux) ; 
• les informations relatives aux habitudes de vie en fonction du contexte, dès lors qu’elles sont collectées avec l’accord du patient et qu’elles sont nécessaires à la prise en charge sanitaire du patient ; 
• les traces fonctionnelles (celles qui rendent compte des actions « métier » des utilisateurs ou des machines au sein du système d’information) et techniques (celles qui rendent compte de « l’activité » des composants).

Accès aux données sous l'autorité du responsable de traitement

Les personnes habilitées peuvent accéder aux données collectées dans le seul cadre de leurs activités, pour le compte et sous l’autorité du responsable de traitement (ex : personnels de l’officine, destinataires des données tels que les professionnels de santé et les médecins des organismes d’assurance maladie obligatoire).

Information du public

Les personnes doivent être informées des modalités de traitement de leurs données.

Cela se fait par affichage dans l’officine ou par la remise d’un document spécifique.

Elles disposent d’un droit d’opposition, d’accès, de rectification, d’effacement et de limitation du traitement.