La CNIL adopte un référentiel sur la gestion des officines de pharmacie
Pour accompagner les pharmaciens titulaires d'officine dans leurs démarches de conformité au RGPD (Règlement général sur la protection des données), la CNIL a adopté un référentiel qui décline les principes de ce texte aux traitements couramment mis en œuvre dans le cadre de la gestion sanitaire et administrative de la patientèle/clientèle.
Faciliter la mise en conformité
Ce référentiel est un cadre de référence qui permet aux pharmaciens de mettre en conformité les traitements de données personnelles utilisés pour la gestion des pharmacies d’officine. Il a été adopté à la suite d’une consultation publique, qui a permis aux principaux représentants du secteur d’émettre des remarques et propositions.
Il remplace l’ancienne norme simplifiée NS-52 destinée aux pharmaciens exerçant à titre libéral à des fins de gestion de leur officine, et qui n’a plus de valeur juridique depuis l’entrée en application du RGPD en mai 2018.
Ce référentiel n’est pas contraignant. Les responsables de traitement peuvent décider de s’écarter de certaines de ses préconisations (par exemple, en identifiant d’autres bases légales de traitement), à condition de pouvoir justifier leurs choix.
Qui est concerné par ce référentiel ?
Le référentiel concerne les traitements mis en œuvre dans le cadre de la prise en charge sanitaire et de la gestion administrative de la patientèle/clientèle des pharmacies. Il s’adresse donc aux pharmaciens titulaires, aux sociétés au travers desquelles ils exercent leur activité, et à leurs prestataires.
Les principales évolutions par rapport à la norme simplifiée NS-52
Certaines règles de fond ont été précisées : celles relatives à l’identification des bases légales susceptibles de fonder les traitements, ou encore en matière de sécurité des données.
Les nouvelles obligations liées au processus de conformité ont également été intégrées, concernant notamment la tenue d’un registre des activités de traitements ainsi que la désignation d’un délégué à la protection des données (DPO) ou l’élaboration d’une analyse d’impact relative à la protection des données (AIPD) dans certaines hypothèses.
Désignation d’un DPO et réalisation d’une AIPD
Le référentiel
Les textes officiels
- Délibération n° 2022-067 du 2 juin 2022 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie
- Article L. 5125-15 du code de la santé publique - Légifrance
- Article R. 5125-37 du code de la santé publique - Légifrance
- Article R. 5125-37-1 du code de la santé publique - Légifrance
- Arrêté du 21 février 2022 fixant le nombre de pharmaciens adjoints dont les titulaires doivent se faire assister en raison de l'importance de l'activité de leur officine - Légifrance