La CNIL adopte un référentiel sur la gestion des officines de pharmacie

18 juillet 2022

Pour accompagner les pharmaciens titulaires d'officine dans leurs démarches de conformité au RGPD (Règlement général sur la protection des données), la CNIL a adopté un référentiel qui décline les principes de ce texte aux traitements couramment mis en œuvre dans le cadre de la gestion sanitaire et administrative de la patientèle/clientèle.

Faciliter la mise en conformité

Ce référentiel est un cadre de référence qui permet aux pharmaciens de mettre en conformité les traitements de données personnelles utilisés pour la gestion des pharmacies d’officine. Il a été adopté à la suite d’une consultation publique, qui a permis aux principaux représentants du secteur d’émettre des remarques et propositions.

Il remplace l’ancienne norme simplifiée NS-52 destinée aux pharmaciens exerçant à titre libéral à des fins de gestion de leur officine, et qui n’a plus de valeur juridique depuis l’entrée en application du RGPD en mai 2018.

Ce référentiel n’est pas contraignant. Les responsables de traitement peuvent décider de s’écarter de certaines de ses préconisations (par exemple, en identifiant d’autres bases légales de traitement), à condition de pouvoir justifier leurs choix.

Qui est concerné par ce référentiel ?

Le référentiel concerne les traitements mis en œuvre dans le cadre de la prise en charge sanitaire et de la gestion administrative de la patientèle/clientèle des pharmacies. Il s’adresse donc aux pharmaciens titulaires, aux sociétés au travers desquelles ils exercent leur activité, et à leurs prestataires.

Les principales évolutions par rapport à la norme simplifiée NS-52

Certaines règles de fond ont été précisées : celles relatives à l’identification des bases légales susceptibles de fonder les traitements, ou encore en matière de sécurité des données.

Les nouvelles obligations liées au processus de conformité ont également été intégrées, concernant notamment la tenue d’un registre des activités de traitements ainsi que la désignation d’un délégué à la protection des données (DPO) ou l’élaboration d’une analyse d’impact relative à la protection des données (AIPD) dans certaines hypothèses.

Désignation d’un DPO et réalisation d’une AIPD


Document reference

Le référentiel