RGPD. Quatre lettres sources d’inquiétudes pour les sociétés. Un acronyme pourtant rassurant puisque l’entrée en vigueur de la directive européenne dite RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018, sur le territoire de l’Union Européenne est perçue par nombre de personnes comme une source d’inquiétudes. « Il s’agit pourtant d’un évènement, somme toute, mineur » estime Frantz Lecarpentier expert en système d’information ; avant d’ajouter : « à condition d’avoir su anticiper ».
Une anticipation d’autant plus logique que ce texte prolonge la directive européenne de 1995, dont l’ambition était de généraliser au niveau européen la loi française de 1978, dite « loi informatique et liberté ». Destiné à protéger les citoyens, et en particulier ceux en ligne, ce texte de 99 articles vise à sécuriser et défendre les droits des citoyens européens et donc l’ensemble des consommateurs du vieux continent.
Rien d’étonnant dès lors à ce qu’« il porte sur l'application du principe de "privacy by design", sur l'établissement de relations responsabilisées entre les entreprises responsables de traitement et ses sous-traitants et sur l'instauration de nouvelles régulations », ajoute encore Frantz Lecarpentier.
Avec l’entrée en vigueur de la directive RGPD, sont en effet réaffirmés les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits (droit d’accès, droit de rectification, droit d’effacement, droit d’opposition…). En clair, toute personne qui viendrait à communiquer à une pharmacie une adresse géographique, des coordonnées téléphoniques ou courriels devra désormais pouvoir « à tout moment demander, par simple lettre ou mail, à être rayée de ses fichiers au nom du droit à l’oubli ».
Une règle qui concerne toute activité commerciale mais revêt une importance particulière dans le domaine de la santé. Dès lors, « toutes les données qui seraient recueillies sur des sites gérés par une pharmacie ou un groupement de pharmaciens ne pourront être stockées et archivées qu'avec le consentement exprès et éclairé du client/patient », précise Laëtitia Hible pharmacienne d’officine en Corrèze et présidente de Pharma Système Qualité, association en charge de la démarche qualité et de la certification des officines pharmaceutiques.
En outre les données recueillies pourront concerner des informations utiles à la dispensation médicamenteuse, à la livraison d’un produit ou encore à son paiement. Aucune donnée supplémentaire ne pourra être demandée sur les sites sans le consentement express du patient. Pas question donc de collecter à l’insu du client/patient des informations sur l’âge, le sexe, le numéro de Sécurité Sociale ou encore sur la Carte Vitale.
Et, bien évidemment, ces données ne pourront en aucun cas être croisées avec celles contenues dans le dossier pharmaceutique (DP) existant ou dans le futur dossier médical partagé (DMP) dont la mise en place devrait être généralisée à la fin de l’année 2018, selon le directeur de l’Assurance maladie, Nicolas Revel.
Il appartiendra enfin aux sociétés concernées de démontrer de manière documentée leur mise en conformité avec les exigences légales. Dans la même logique chaque adhérent d’un groupement de pharmaciens pourra aussi faire jouer son droit à la portabilité des données en possession de la société dont il est membre ou adhérent.
Les mails envoyés par les groupements de pharmaciens devront donc respecter les recommandations de la directive du 25 mai 2018 en matière de respect des données. Une obligation qui prend tout son sens en matière de cookies et notamment au regard de la durée d’existence légale de ces derniers.
A charge alors à chacune de ces structures d’instaurer un Data Professionnel Officer (DPO), auquel toute demande de retrait de données pourra être adressée. Créée par la directive, cette fonction n’est toutefois pas encore clairement définie. « La question qui se pose aujourd’hui est en effet de savoir si chaque officine pharmaceutique devra disposer d’un DPO, ou bien si ce rôle de DPO pourrait être assumé par une tierce personne au sein du groupement dont le pharmacien est membre ou bien au sein du conseil de l’Ordre », s’interroge Me Tangi Noël docteur en droit et avocat au barreau de Rennes. Seule certitude : le DPO ne pourra être le pharmacien titulaire.
Mis à part ce point de détail, les règles fixées par la directive RGPD n’ont rien d’extraordinaire pour les pharmaciens car le monde de la santé est de longue date sensibilisé à cette problématique. La directive de 1995 reconnaissait en effet le statut d’informations sensibles aux données de santé comme à celles portant sur les domaines religieux et politiques dès lors qu’elles sont personnelles.
Et pour cause ! Les données personnelles de santé pourraient faire l’objet de bien des convoitises, en particulier de la part de sociétés d’assurance et autres banques désireuses de mesurer les risques qu’elles pourraient être amenées à couvrir voire à garantir.
Pour autant les données de santé peuvent se révéler très utiles en particulier dans le domaine de la recherche. D’où l’intérêt de pouvoir les « anonymiser ». Un procédé qui vise à collecter des données personnelles et à faire disparaître l’identité des personnes qu’elles concernent via un tiers de confiance. « Un process dont la légalité a été reconnu par la directive européenne de 1995 », précise encore Me Tangi Noël.
La directive RGPD ne va donc pas révolutionner le secteur de la santé. Et en particulier les officines pharmaceutiques ; A fortiori lorsqu’elles sont engagées dans une certification, puisque « la démarche qualité implique de par sa nature même "une maitrise du risque informatique" et le respect des bonnes pratiques informatiques », explique encore la présidente de Pharma Système Qualité.
D'autant que « 80% des enjeux de sécurité dans les TPE/PME relèvent tantôt de process, tantôt d’une politique de communication interne ou encore du contrôle des pratiques. En clair, pour les petites entreprises, il s’agit moins de solutions techniques que de management ».
Afin de faciliter leur quotidien, les pharmaciens doivent s'employer à répondre aux exigences de la directive RGPD qui vise six objectifs : renforcer la confiance ; améliorer l’efficacité commerciale ; mieux gérer l’entreprise ; améliorer la sécurité des données de l’entreprise ; rassurer les clients et donneurs d’ordre ; créer de nouveaux services.
Registre de la Cnil
« D'où l'intérêt de sensibiliser les pharmaciens à la nécessité de respecter les bonnes pratiques informatiques et en particulier les conditions d’accès », ajoute encore Laëtitia Hible. Et donc de les informer de l’existence du kit TPE/PME mis au point par la banque public d’investissement (BPI) en attendant qu’à l’instar de l’Ordre des avocats le CNOP (Conseil national de l’Ordre des pharmaciens) ne diffusent d’éventuelles lignes directrices.
En attendant, il conviendra d’éclairer les pharmaciens sur la nécessité de recenser les fichiers en s’appuyant sur le modèle de registre de la Cnil (Commission nationale informatique et libertés), de faire le tri dans leurs données en ne conservant que celles réellement nécessaires et en écartant toutes données dites sensibles comme le poids ou la date de naissance, de respecter le droit des personnes en se conformant au formalisme imposé par la directive RGPD et enfin de sécuriser les données à partir d’antivirus et de logiciels mis à jour avec des mots de passe complexes et régulièrement changés. Rien de bien sorcier, somme toute…
Pour en savoir plus :
http://www.theragora.fr/pdfs/RGPD guide BPI-cnil.pdf