RGPD et pharmacies : êtes-vous en conformité ?

Sylvain Staub, avocat expert en droit des technologies de l'information et des données / Data (Cabinet Staub & Associés*) et fondateur de la legaltech Data Legal Drive, plateforme SaaS de pilotage du règlement général sur la protection des données (RGPD), nous rappelle les moyens de se mettre en conformité avec le RGPD.

par Cécile Menu.

Le flux de données doit être identifié, analysé et sécurisé

Le RGPD s’applique à tout traitement de données personnelles sous quelque support que ce soit. Dans le cadre d’une officine, ces données peuvent concerner tant les patients, la DRH, les professionnels de santé que tous prestataires de service et s’appliquent également dans le cadre d’opérations promotionnelles… En conséquence, comme la rappelle la CNIL, « tous les contrats avec vos sous-traitants doivent donc être revus afin de les adapter aux exigences du RGPD ». Pour s’assurer de la conformité du traitement de ces données avec la réglementation européenne, pharmaciens ou groupement de pharmaciens ont tout intérêt à faire appel aux conseils d’un avocat spécialisé. Le rôle du cabinet sera, dans un premier temps, de réaliser un recensement des traitements puis de les décrire. L’organisation se devra d’être en conformité avec ce qui aura été décrit. Si le métier de nos clients les oblige à collecter des données personnelles dans un logiciel, qu’ils sont amenés à les conserver et que ce sont des données sensibles, alors nous identifions le traitement en question à savoir la façon avec laquelle ces données vont être utilisées, dans quelle limite il est possible de les conserver, comment les conserver, comment les sécuriser et avec quel contrat de maintenance, la manière de colliger ces données par catégorie, la fréquence de sauvegarde... Cette opération nécessite du temps dont les responsables d’officine ne disposent pas toujours, c’est pourquoi nous avons développé un outil logiciel* pour digitaliser tous les aspects de la gouvernance de la data, conforme, intuitif, simple, ergonomique et non chronophage. Notre outil permet de rendre ce travail collaboratif, de le faire évoluer car ce travail d’identification ne doit pas rester figé, et de faire état de la mise en conformité au RGPD auprès des autorités. La désignation d’un délégué à la protection des données (DPO) n’est alors plus nécessaire d’où l’intérêt pour un groupement de pharmaciens, une fédération ou un syndicat.

Notre outil permet de rendre ce travail collaboratif, de le faire évoluer car ce travail d’identification ne doit pas rester figé, et de faire état de la mise en conformité au RGPD auprès des autorités. La désignation d’un délégué à la protection des données (DPO) n’est alors plus nécessaire d’où l’intérêt pour un groupement de pharmaciens, une fédération ou un syndicat.

Quel est le risque à ne pas se mettre en conformité ?

La sanction est la même pour tout le monde et est plafonnée à 4 % du chiffre d’affaires du groupement ou pour une pharmacie indépendante à 4 % de son chiffre d’affaires. Aujourd’hui les sanctions sont de plus en plus fréquentes et visent des sociétés de toute taille TPE, PME et taille intermédiaire quel que soit le domaine. Une centaine de sociétés ont été rappelées à l’ordre en Europe et une dizaine en France**. Les contrôles de la CNIL sont faits sporadiquement soit à la suite de plaintes soit lors d’un contrôle sectoriel (la santé est particulièrement visée car les données sont très sensibles). La CNIL choisit alors quelques pharmacies, grossistes ou intermédiaires, observe les flux de données et cherche à comprendre comment se déroule le processus. Ce sujet est très sensible pour les groupements de pharmaciens car il suffit qu’une seule pharmacie soit défaillante pour que le groupe lui-même se voie infliger une amende. L’absence de mise en conformité a coûté récemment à un hôpital 400 000 euros d’amende pour ne pas avoir sécurisé ses données en les laissant accessibles.

Pour conclure, dans une activité quelle qu’elle soit, j’ai une responsabilité car je manipule des données. Les questions que je dois me poser sont donc : pourquoi ai-je ces données ? Comment je les conserve, combien de temps, comment je les gère, à qui je les transmets ? Se mettre en conformité, c’est commencer à se poser ces questions et savoir y répondre.

Notes

* Staub & Associés est chaque année cité parmi les meilleurs cabinets français du droit de l’IT et de la data. Avec plus de 200 entreprises client, DATA LEGAL DRIVE s’impose comme la référence de la gouvernance RGPD en remportant en 2019 le trophée d'OR de la meilleure LegalTech puis la Victoire de l'innovation juridique.

** L’équipe DATA LEGAL DRIVE met à disposition en libre accès sur son site internet, l’unique carte Interactive des sanctions Pré et Post RGPD dans le monde. https://datalegaldrive.com/sanctions-rgpd/