Rgpd pharmacie 2018

Animation : Bruno Guillard
Toutes reproductions interdites.
Webinaire RGPD PHARMA
Mise en conformité des Officines.
Patients
Partenaires
Sous-Traitants
Ordre
bruno.guillard@fleepit.com
https://www.linkedin.com/in/brunoguillard/

AGENDA DU WEBINAIRE
Les grands principes du Règlement Général
sur la Protection des Données personnelles
Le Registre de Traitement des Officines.
• Obligations nouvelles du
Responsable du traitement.
• Mesures de sécurité renforcées.
• Gestion des Sous-Traitants.
• Documenter la conformité.
• -------------------------------------------
• Passer à l’action :
• Registre RGPD
PHARMA
• Définition RGPD.
• Objectifs du RGPD.
• Qui est concerné ?
• Une Logique de conformité.
• Sanctions.
• Transition NS 052.
• Principes Généraux.
• Fondements Juridiques des Traitements.
• Droits Étendus des Personnes.
• .
AGENDA

Application
immédiate:
25 mai, 2018
Quand ?
Application dans
toute l’Union
Européenne.
Où ?
DEFINITION RGPD
RGPD
Réglement
Général sur la
Protection des
Données
Personnelles.

+ de Protection
Protection des données
des citoyens de l’UE.
+ de Contrôle
Renforcement des droits
des citoyens de l’UE
sur leurs données.
OBJECTIFS RGPD
Objectifs

QUI EST CONCERNE PAR LE RGPD ?
Toutes les
entreprises
collectant ou
détenant des
données sur les
citoyens de l’UE.
Peu importe où
elles sont situées.

UNE LOGIQUE DE CONFORMITE
Formalités limitées auprès de la CNIL
Mais nécessité de tenir un registre des activités de traitement.
Accountability : obligation de mettre en œuvre des mécanismes et
procédures internes permettant de démontrer le respect des règles relatives
à la protection des données
Privacy by default & by design : obligation de déployer des process
permettant de tenir compte de la protection des données dès la conception
et par défaut
Obligation de sécurité renforcée (pour les responsables de traitements et les
sous-traitants) et gestion des failles de sécurité.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Un allègement apparent des formalités :
Et des obligations renforcées :

Breaking GDPR Penalties & Fines
En cas de violation de données:
Sanctions
RGPD
Alerte CNIL
72
heures
OR
Amendes et Graduation
20M € or 4%
Chiffre d’Affaires.
Les amendes :
. Elles doivent être effectives,
proportionnées et dissuasives.
. Elles sont imposées en complément
ou à la place de mesures correctives.
Pour fixer le montant de l’amende,
l’autorité doit tenir compte de :
. de la nature, la gravité et la durée de
la violation.
. du caractère intentionnel ou par
négligence.
.des mesures prises par le responsable
du traitement ou le sous-traitant pour
atténuer le dommage subi par les
personnes concernées.
RISQUE DE SANCTIONS PLUS ELEVEES.

Breaking GDPR Penalties & Fines
Le RGPD est entré en vigueur le 25 mai 2016, mais n’est
applicable que depuis le 25 mai 2018…et la transcription
dans la loi Française est effective depuis le 22 juin 2018.
Une phase de transition en 2018
La CNIL précise sur son site que « les dispenses, les normes simplifiées
et les autorisations uniques constitueront toujours des "bonnes
pratiques" », qui seront « transformées petit à petit et permettront
d'identifier si les fichiers sont "à risques" ou non au sens du règlement
européen. ».

RGPD : LES GRANDS PRINCIPES
Au-delà du respect de la réglementation, le registre RGPD
PHARMA permet de valoriser les bonnes pratiques des Officines.
Traitements, Finalités, données collectées,
bases légales, destinataires des données.
Transparence des usages.
Respect des droits des patients.
Maîtrise de la sécurité des données.
Habilitation des collaborateurs.

NOMMER LE RESPONSABLE ET/OU RESPONSABLE CONJOINT
La personne physique ou morale, l'autorité
publique, le service ou un autre organisme
qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du
traitement des données à caractère personnel.
Exemple :
Gestion de l’Officine :
Le Pharmacien est Responsable du Traitement.
Dossier Pharmaceutique :
Le Pharmacien est Responsable conjointement au
DPO de l’Ordre des Pharmaciens.
Responsable traitement et responsable conjoint

( DELEGUE A LA PROTECTION DES DONNEES )
Le Délégué à la Protection des Données
(Data Privacy Officer / DPO) :
est chargé de mettre en oeuvre le RGPD au
sein de l’Organisation qui l’a désigné.
peut être désigné en interne ou en externe et
être commun, sous conditions, à plusieurs
Organisations.
Pas d’obligation pour les Officines (<250 personnes)
Sauf si les traitements sont regroupés entre
Officines et sont « à grande échelle ».
DPO
Ordre
DPO
Maître Jeanne BOSSI-MALAFOSSE
Cabinet DELSOL Avocats
dpo@ordre.pharmacien.fr
01.81.69.47.43
Pas de nécessité
de nommer un DPO
au niveau de l’Officine.

DEFINIR TRAITEMENTS ET FINALITES
Collecte
Saisie
Usage
Transfert
Rétention
Archive
Destruction
Traitement : Toutes opérations
traitant des données
personnelles.
Pour les officines, il y a :
La Gestion de l’Officine
et Le Dossier Pharmaceutique.
Il y a aussi :
La gestion des collaborateurs.
Finalité : C’est l’objectif principal
d’une application informatique
de données personnelles.
Traitement et Finalités
Le RGPD concerne
également
les traitements papiers.

Nom
Adresse
Téléphone
Carte de crédit
Email
Adresse IP
Cookies
Login
…
DonnéesPersonnelles
Données biométrique
Données génétique
Données de santé
… mais aussi :
Données révélant
l'appartenance syndicale.
Numéro d'identification
national unique (NIR pour
la France)
Données à caractère
personnel relatives à des
condamnations pénales
et à des infractions.
DonnéesSensibles
LISTER DONNEES PERSONNELLES / SENSIBLES

DEFINIR LA BASE LEGALE
1. Consentement
2. Nécessaire à l'exécution d'un contrat auquel
la personne concernée est partie, ou à
l'exécution des mesures précontractuelles
prises à la demande de celle-ci.
3. Nécessaire au respect d'une base légale
(NS 052, Décret …).
4. Nécessaire aux fins des intérêts légitimes*
poursuivis par le responsable du traitement ou par
un tiers, à moins que ne prévalent les intérêts ou les
libertés et droits fondamentaux de la personne
concernée
* l’intérêt légitime doit être réciproque.
Gestion de l’Officine.
Dossier
Pharmaceutique

BASES LEGALES NS052 – DECRET DOSSIER PHARMACEUTIQUE
Le traitement est nécessaire au respect d'une base légale
à laquelle le responsable du traitement est soumis.
Problèmes des Données Sensibles
Interdiction de principe du traitement.
«La CNIL précise sur son site que « les dispenses, les normes simplifiées et les
autorisations uniques constitueront toujours des "bonnes pratiques" », qui seront «
transformées petit à petit et permettront d'identifier si les fichiers sont "à risques" ou
non au sens du règlement européen. ».

CONSENTEMENT
Le consentement en tant que fondement juridique.
LIBRE ÉCLAIRÉ SPÉCIFIQUE UNIVOQUE
Très important de remplir et conserver la fiche d’ouverture du
Dossier Pharmaceutique indiquant la procédure d’information
et le consentement « oral* » du patient.
Recommandation : Faire contre signer la fiche de consentement
par le patient. (Pas obligatoire mais prudent dans le contexte RGPD)

POUR L’OFFICINE EN 2018 : NORME NS 052 + DECRET DP
Gestion de l’Officine
Dossier Pharmaceutique

REGISTRE RGPD PHARMA PAGES 2 ET 3

DEFINIR LA DUREE DE RETENTION
« Les données personnelles ne peuvent être conservées de façon
indéfinie dans les fichiers informatiques :
une durée de conservation doit donc être déterminée
en fonction de l’objectif ayant conduit à la collecte de
ces données.
Une fois cet objectif atteint, ces données devraient être
archivées, supprimées ou anonymisées (afin notamment de
produire des statistiques). »

LISTER LES DESTINATAIRES DES DONNEES
Transfert au sein de l'EEE Transfert à l’extérieur de l'EEE
Permis
Liste « transparente »
Pour le propriétaires
des données et
Autorisée par NS052
Et/ou Décret DP.
Vérifier la catégorie
du pays sur la
Carte CNIL
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Secret professionnel et communication entre professionnels :
Même prise en charge & Consentement express du Patient

RGPD : PRINCIPES GENERAUX
Au-delà du respect de la réglementation, le registre RGPD
PHARMA permet de valoriser les bonnes pratiques des Officines.
Traitements, Finalités, données collectées,
bases légales, destinataires des données.
Transparence des usages.
Respect des droits des patients.
Maîtrise de la sécurité des données.
Habilitation des collaborateurs.

LES DROITS ETENDUS POUR LES
PERSONNES CONCERNEES
CHANGEMENTS MAJEURS

DES DROITS ETENDUS POUR LES PERSONNES CONCERNEES.
Droit de suppressionDroit d’accès Droit de modification
Les droits à l’oubli numérique, à la suppression et le droit d’interdire ne pourront pas être exercés
lorsque le traitement des données est nécessaire :
• pour respecter une obligation légale à laquelle est soumis le Pharmacien ;
• pour des motifs d’intérêt public dans le domaine de la santé publique, conformément aux dispositions sur les
données sensibles – Exemple : Registre des Stupéfiants. ;
• à des fins d’archivage dans l’intérêt général ou à des fins scientifiques, statistiques et historiques ;
Droit d’interdireDroit de restreindre l’usage Droit de portabilité

Définir une procédure de droit d’accès.
• Organiser la permanence du droit
d’accès (responsable + secours).
• Organiser le contrôle d’identité.
• Répondre sous 1 mois (2 mois si
demande complexe).
• Gratuit par principe SAUF SI
demande infondée ou déraisonnable.
• Possibilité d’informer, de rectifier, …,
ou de refuser avec motivation.
Droits d’Accès & de Rectification
Pour les « Patients » :
• Information sur le site Internet.
• Information dans les courriers.
• Affichage dans l’Officine.
Pour les « Collaborateurs » :
• Information des collaborateurs.
• Information des stagiaires.
• Information des prestataires.
Information & Transparence
OBLIGATIONS NOUVELLES POUR LE RESPONSABLE DE TRAITEMENT.
• en cas de violation des données personnelles, le responsable de traitement doit la notifier à l’autorité de
protection des données dans les 72 heures.
• en cas de violation des données personnelles le responsable de traitement doit la notifier aux personnes
concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés.
Alerte Violation de Données.

VERIFIER LE NIVEAU DE SECURITE DE VOTRE OFFICINE
Sécuriser l’Officine,
les PCs et l’accès aux
logiciels et bases de
données.
Organiser la Due-
Diligence des
Sous-traitants.
Habiliter et
Sensibiliser
les collaborateurs.
Sécuriser les
transferts
de données.

Bruno GuillardFleepit Consulting et Technologies
Poste collaborateur
Données
personnelles
Logs
2. Collaborateurs Sensibilisés et Habilités
Mot de passe :
8 à 12 caractères minimum + Carte Prof.
Logisticiens
1. Transfert de données
sécurisées
6. Journalisation
des accès.
7. Support
Logiciel métier
habilité
4. Durée de rétention limitée3. Hébergement « santé »
7. Support
technique Local
habilité
Patients
5. Informations
traitements
5. Droits d’accès
Et modifications.
1. Transfert de données
sécurisées
8. Procédure de violation
CNIL / Données.
Mutuelles
5. Consentements DP
Signés et Sauvegardés.
5. Responsable
Traitement
L’OFFICINE IDEALE AU SENS DU RGPD

La personne physique ou morale, l'autorité publique,
le service ou un autre organisme qui traite des
données à caractère personnel pour le compte du
responsable du traitement.
La société en charge du Logiciel Métier.
La société en charge du support informatique.
La société en charge du site Internet
La société en charge de l’hébergement.
La société en charge des « Backups ».
La société en charge des « Disaster Recovery »
…
OBLIGATION DE LISTER TOUS LES SOUS-TRAITANTS
Sous-traitants

…ET DE CONTRACTUALISER l’ENGAGEMENT RGPD
Exemple Avenant Contrat Sous-Traitant
https://www.fleepit.com/flipbook/itcreatorJS/641791

PASSER A L’ACTION
Nommer un Responsable, documenter le Registre RGPD
et maîtriser les Bonnes pratiques, Outils associés et les Sous-traitants.
La base juridique du traitement.
Le type de données collectées.
La durée de rétention des données.
Les destinataires des données.
Les modes sécurisés de transfert.
L’habilitation des collaborateurs.
La sécurité des accès associée.
Les procédures d’informations.
Le traitement des violations.
L’organisation informatique.
Mise en sécurité des données. Plan d’actions « Privacy by design ».
+ Les Obligations spécifiques des Logiciels Métiers et Sous-Traitants.

L’OFFRE GUILLARD PUBLICATIONS

PLUS D’INFORMATIONS
bruno.guillard@fleepit.com
https://www.linkedin.com/in/brunoguillard/

Rgpd pharmacie 2018

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Rgpd pharmacie 2018

Similaire à Rgpd pharmacie 2018 (20)

Rgpd pharmacie 2018