RGPD – Check list de mise en conformité
Attention aux nombreuses tentatives d’arnaques relatives à la mise en conformité avec la réglementation RGPD. Soyez vigilants lorsque vous communiquez vos coordonnées bancaires à un organisme se réclamant de la CNIL.
——
1. CHECK LIST RGPD
Le règlement européen relatif à la protection des données à caractère personnel (RGPD) entre en vigueur le 25 mai 2018 en France. Il s’applique à toutes les entreprises traitant des données à caractère personnel et par conséquent à la pharmacie d’officine.
L’USPO met à votre disposition une circulaire et une check list de mise en conformité avec le RGPD.
Pour être en conformité avec le RGPD, la pharmacie d’officine devra réaliser sept étapes.
- Désigner un responsable de traitement des données
Le responsable de traitement sera le pharmacien d’officine titulaire.
Ce registre permet de lister l’ensemble des traitements de données réalisés à l’officine. – en format word
Il sera nécessaire d’indiquer les catégories de données personnelles traités, les acteurs traitant les données ou encore la finalité du traitement de la donnée.
L’USPO met à votre disposition un modèle de registre pré-rempli sur la base des principaux traitements de données réalisés à l’officine. – En format word
La majorité des traitements de données réalisés à l’officine est justifiée par la législation en vigueur. Aussi, il est uniquement nécessaire d’informer vos patients de ces traitements de données.
Votre personnel devra également être informé des traitements de données réalisés dans le cadre de leur contrat de travail. – En format word
- Vérifier la sécurité informatique de votre entreprise
L’officine devra justifier de la mise en œuvre de mesures de sécurité informatique afin d’éviter tout piratage ou divulgation non désirée de données personnelles.
La plupart des officines disposent déjà d’un système informatique sécurisé. Vérifiez néanmoins que les postes de travail et les serveurs soient sécurisés, le réseau informatique protégé, les données sauvegardées régulièrement.
- S’assurer de la conformité au RGPD des sous-traitants
La pharmacie d’officine peut sous-traiter des données à son comptable ou à son concentrateur par exemple.
Ces sous-traitants doivent respecter le RGPD et doivent vous fournir un document opposable le justifiant.
Les violations de données, représentant un risque pour les droits et libertés des personnes concernées, doivent être signalées à la CNIL dans un délai de 72 heures. et que vous devrez conserver (tableau récapitulatif)
- Conserver ces documents
Afin de témoigner de votre conformité au RGPD, il est nécessaire de conserver dans un classeur ou de manière dématérialisée les documents suivants :
- le registre de traitements des données,
- le registre de traitement des données en format word
- les mentions d’informations des patients et de votre personnel,– en format word
- la liste des actions réalisées pour sécuriser votre système informatique,
- les documents des sociétés sous-traitantes justifiant de leur conformité au RGPD,
- la procédure en cas de violation des données personnelles.
_________________________________________________________________________________________________________________________
- Quelles sont les actions concernées par le RGPD ?
Les traitements de données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, effacement.
- Quelles données sont concernées par le RGPD ?
Les données personnelles : toutes informations se rapportant à une personne physique : nom, date de naissance, numéro de sécurité sociale, données de santé…
- Quels supports sont concernés ?
Tous les supports informatiques et papiers sont concernés.
L’USPO met à votre disposition une procédure en page 5 de la circulaire USPO que vous devrez conserver.
2018-32 L’impact du RGPD pour les pharmacies d’officine
/ Registre de traitements de données- format pdf
/ Registre de traitements de données – format word
Mention d’information traitements de données
Formulaire de notification – violation données
Tableau – notification – violation données
/ Modèle d’information – Salariés – format pdf
/ Modèle d’information – Salariés – format word
___________________________________________________________________________________________________________________________
2. RGPD : sur quoi la CNIL va porter son contrôle
Toutes les officines doivent être en conformité sous peine d’une sanction maximum de 4% du chiffre d’affaires.
L’éventail des moyens d’action de la CNIL est large :
- rappel à l’ordre ;
- injonction sous astreinte ;
- limitation d’un traitement ;
- ou encore sanction pécuniaire. Tout dépendra de la gravité des manquements et du comportement de l’entreprise contrôlée (bonne foi, coopération).
3 grandes thématiques de contrôle sont annoncées.
-Le respect des droits des personnes
La CNIL va vérifier que les droits des personnes sont bien respectés, qu’il s’agisse des droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD comme le droit à la portabilité des données. Elle s’assurera notamment qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes.
-Le traitement des données des mineurs
La CNIL souhaite apporter une attention particulière à ce public « vulnérable» au sujet duquel elle reçoit régulièrement des plaintes portant sur des problématiques diverses telles que la publication de contenus sur les réseaux sociaux.
-La répartition des responsabilités entre responsable de traitements et sous-traitants
Avec le RGPD, les sous-traitants aussi peuvent être mis en demeure et sanctionnés par la CNIL. La CNIL vérifiera notamment l’existence et le respect du contrat de sous-traitance.
Notez-le :Outre ces thématiques annoncées, la CNIL tiendra aussi compte pour ses investigations des réclamations et signalements qui lui sont adressés, des vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions et des missions réalisées en fonction des sujets d’actualité.
DPO et analyse d’impact : est-ce obligatoire ? NON.
Le délégué à la protection des données (DPO) n’est pas obligatoire à l’officine car cette dernière ne réalise pas des traitements de données de santé à grande échelle.
L’analyse d’impact n’est pas obligatoire en officine car cette dernière ne répond pas aux critères de la CNIL.
RAPPEL : secret professionnel – les pharmaciens concernés
Les pharmaciens sont soumis, dans l’exercice de leur fonction, au secret professionnel.
La prudence est donc de rigueur lorsque des données personnelles sont divulguées par écrit ou à l’oral.
Cette transmission d’information peut prendre différentes formes et notamment, fournir des données personnelles d’un patient à un interlocuteur par téléphone, fournir une copie du Ticket Vitale pour les mutuelles au patient avec le nom des médicaments…RG