Que faire dans une pharmacie d’officine pour être conforme au règlement européen RGPD, à la norme CNIL NS 052 PHARMACIE et au décret relatif au dossier pharmaceutique.
Pourquoi mettre en conformité? - Comment le faire de manière simple et rapide? - Que faire pour ne rien oublier d’essentiel?
Historiquement, à savoir jusqu'au 25 mai 2018 et l'entrée en application du Règlement RGPD, les Pharmaciens étaient tenus d'effectuer une déclaration simplifiée NS 052 auprès de la CNIL pour déclarer les traitements de données personnelles concernant la gestion de l'officine et les statistiques de ventes associées.
https://www.cnil.fr/fr/declaration/ns-052-pharmacies
Suite à l’entrée en application du RGPD, les normes simplifiées adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018.
Pour se conformer au RGPD, les Pharmaciens doivent maintenant :
•Recenser tous leurs fichiers contenant des données personnelles et tenir à jour un registre de ces traitements.
•Informer les personnes concernées du traitement de leurs données et leur permettre d’exercer facilement leurs droits.
•Garantir la sécurité des traitements.
en s'appuyant sur les anciennes exigences inclues dans la Norme Simplifiée NS052 de la CNIL pour orienter leurs premières actions de mise en conformité
Le registre de traitement RGPD Pharma de Guillard Publications répond à cette demande.
Il intègre les nouvelles obligations du Règlement RGPD et les anciennes exigences de la Norme Simplifiée NS052 de la CNIL.
Les webinaires animés par Bruno GUILLARD, ,spécialiste des processus de digitalisation et de dématérialisation, animateur de webinaire de formation RGPD (administrateurs juridiques, mandataires judicaires, entreprises de VPC, intercommunalités …) permet aux Pharmaciens d'Officine de mieux comprendre le RGPD et de déterminer les premiers plans d'actions à mettre en oeuvre pour respecter le RGPD et les nouveaux droits des patients.
https://www.guillard-publications.com/f/index.php?sp=liv&livre_id=501
1. Animation : Bruno Guillard
Toutes reproductions interdites.
Webinaire RGPD PHARMA
Mise en conformité des Officines.
Patients
Partenaires
Sous-Traitants
Ordre
bruno.guillard@fleepit.com
https://www.linkedin.com/in/brunoguillard/
2. AGENDA DU WEBINAIRE
Les grands principes du Règlement Général
sur la Protection des Données personnelles
Le Registre de Traitement des Officines.
• Obligations nouvelles du
Responsable du traitement.
• Mesures de sécurité renforcées.
• Gestion des Sous-Traitants.
• Documenter la conformité.
• -------------------------------------------
• Passer à l’action :
• Registre RGPD
PHARMA
• Définition RGPD.
• Objectifs du RGPD.
• Qui est concerné ?
• Une Logique de conformité.
• Sanctions.
• Transition NS 052.
• Principes Généraux.
• Fondements Juridiques des Traitements.
• Droits Étendus des Personnes.
• .
AGENDA
Animation : Bruno Guillard
Toutes reproductions interdites.
3. Application
immédiate:
25 mai, 2018
Quand ?
Application dans
toute l’Union
Européenne.
Où ?
DEFINITION RGPD
RGPD
Réglement
Général sur la
Protection des
Données
Personnelles.
Animation : Bruno Guillard
Toutes reproductions interdites.
4. + de Protection
Protection des données
des citoyens de l’UE.
+ de Contrôle
Renforcement des droits
des citoyens de l’UE
sur leurs données.
OBJECTIFS RGPD
Objectifs
Animation : Bruno Guillard
Toutes reproductions interdites.
5. Animation : Bruno Guillard
Toutes reproductions interdites.
QUI EST CONCERNE PAR LE RGPD ?
Toutes les
entreprises
collectant ou
détenant des
données sur les
citoyens de l’UE.
Peu importe où
elles sont situées.
6. UNE LOGIQUE DE CONFORMITE
Formalités limitées auprès de la CNIL
Mais nécessité de tenir un registre des activités de traitement.
Accountability : obligation de mettre en œuvre des mécanismes et
procédures internes permettant de démontrer le respect des règles relatives
à la protection des données
Privacy by default & by design : obligation de déployer des process
permettant de tenir compte de la protection des données dès la conception
et par défaut
Obligation de sécurité renforcée (pour les responsables de traitements et les
sous-traitants) et gestion des failles de sécurité.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Un allègement apparent des formalités :
Et des obligations renforcées :
7. Breaking GDPR Penalties & Fines
En cas de violation de données:
Sanctions
RGPD
Alerte CNIL
72
heures
OR
Amendes et Graduation
20M € or 4%
Chiffre d’Affaires.
Les amendes :
. Elles doivent être effectives,
proportionnées et dissuasives.
. Elles sont imposées en complément
ou à la place de mesures correctives.
Pour fixer le montant de l’amende,
l’autorité doit tenir compte de :
. de la nature, la gravité et la durée de
la violation.
. du caractère intentionnel ou par
négligence.
.des mesures prises par le responsable
du traitement ou le sous-traitant pour
atténuer le dommage subi par les
personnes concernées.
RISQUE DE SANCTIONS PLUS ELEVEES.
Animation : Bruno Guillard
Toutes reproductions interdites.
8. Breaking GDPR Penalties & Fines
Le RGPD est entré en vigueur le 25 mai 2016, mais n’est
applicable que depuis le 25 mai 2018…et la transcription
dans la loi Française est effective depuis le 22 juin 2018.
Une phase de transition en 2018
La CNIL précise sur son site que « les dispenses, les normes simplifiées
et les autorisations uniques constitueront toujours des "bonnes
pratiques" », qui seront « transformées petit à petit et permettront
d'identifier si les fichiers sont "à risques" ou non au sens du règlement
européen. ».
Animation : Bruno Guillard
Toutes reproductions interdites.
9. RGPD : LES GRANDS PRINCIPES
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Au-delà du respect de la réglementation, le registre RGPD
PHARMA permet de valoriser les bonnes pratiques des Officines.
Traitements, Finalités, données collectées,
bases légales, destinataires des données.
Transparence des usages.
Respect des droits des patients.
Maîtrise de la sécurité des données.
Habilitation des collaborateurs.
Animation : Bruno Guillard
Toutes reproductions interdites.
10. NOMMER LE RESPONSABLE ET/OU RESPONSABLE CONJOINT
La personne physique ou morale, l'autorité
publique, le service ou un autre organisme
qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du
traitement des données à caractère personnel.
Exemple :
Gestion de l’Officine :
Le Pharmacien est Responsable du Traitement.
Dossier Pharmaceutique :
Le Pharmacien est Responsable conjointement au
DPO de l’Ordre des Pharmaciens.
Responsable traitement et responsable conjoint
Animation : Bruno Guillard
Toutes reproductions interdites.
11. ( DELEGUE A LA PROTECTION DES DONNEES )
Le Délégué à la Protection des Données
(Data Privacy Officer / DPO) :
est chargé de mettre en oeuvre le RGPD au
sein de l’Organisation qui l’a désigné.
peut être désigné en interne ou en externe et
être commun, sous conditions, à plusieurs
Organisations.
Pas d’obligation pour les Officines (<250 personnes)
Sauf si les traitements sont regroupés entre
Officines et sont « à grande échelle ».
DPO
Ordre
DPO
Maître Jeanne BOSSI-MALAFOSSE
Cabinet DELSOL Avocats
dpo@ordre.pharmacien.fr
01.81.69.47.43
Pas de nécessité
de nommer un DPO
au niveau de l’Officine.
Animation : Bruno Guillard
Toutes reproductions interdites.
12. DEFINIR TRAITEMENTS ET FINALITES
Collecte
Saisie
Usage
Transfert
Rétention
Archive
Destruction
Traitement : Toutes opérations
traitant des données
personnelles.
Pour les officines, il y a :
La Gestion de l’Officine
et Le Dossier Pharmaceutique.
Il y a aussi :
La gestion des collaborateurs.
Finalité : C’est l’objectif principal
d’une application informatique
de données personnelles.
Traitement et Finalités
Le RGPD concerne
également
les traitements papiers.
Animation : Bruno Guillard
Toutes reproductions interdites.
13. Nom
Adresse
Téléphone
Carte de crédit
Email
Adresse IP
Cookies
Login
…
DonnéesPersonnelles
Données biométrique
Données génétique
Données de santé
… mais aussi :
Données révélant
l'appartenance syndicale.
Numéro d'identification
national unique (NIR pour
la France)
Données à caractère
personnel relatives à des
condamnations pénales
et à des infractions.
DonnéesSensibles
LISTER DONNEES PERSONNELLES / SENSIBLES
Animation : Bruno Guillard
Toutes reproductions interdites.
14. Animation : Bruno Guillard
Toutes reproductions interdites.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
DEFINIR LA BASE LEGALE
1. Consentement
2. Nécessaire à l'exécution d'un contrat auquel
la personne concernée est partie, ou à
l'exécution des mesures précontractuelles
prises à la demande de celle-ci.
3. Nécessaire au respect d'une base légale
(NS 052, Décret …).
4. Nécessaire aux fins des intérêts légitimes*
poursuivis par le responsable du traitement ou par
un tiers, à moins que ne prévalent les intérêts ou les
libertés et droits fondamentaux de la personne
concernée
* l’intérêt légitime doit être réciproque.
Gestion de l’Officine.
Dossier
Pharmaceutique
15. Animation : Bruno Guillard
Toutes reproductions interdites.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
BASES LEGALES NS052 – DECRET DOSSIER PHARMACEUTIQUE
Le traitement est nécessaire au respect d'une base légale
à laquelle le responsable du traitement est soumis.
Problèmes des Données Sensibles
Interdiction de principe du traitement.
«La CNIL précise sur son site que « les dispenses, les normes simplifiées et les
autorisations uniques constitueront toujours des "bonnes pratiques" », qui seront «
transformées petit à petit et permettront d'identifier si les fichiers sont "à risques" ou
non au sens du règlement européen. ».
16. Auteur:BrunoGuillard-Toutesreproductionsinterdites.
CONSENTEMENT
Le consentement en tant que fondement juridique.
LIBRE ÉCLAIRÉ SPÉCIFIQUE UNIVOQUE
Très important de remplir et conserver la fiche d’ouverture du
Dossier Pharmaceutique indiquant la procédure d’information
et le consentement « oral* » du patient.
Recommandation : Faire contre signer la fiche de consentement
par le patient. (Pas obligatoire mais prudent dans le contexte RGPD)
Animation : Bruno Guillard
Toutes reproductions interdites.
19. Auteur:BrunoGuillard-Toutesreproductionsinterdites.
DEFINIR LA DUREE DE RETENTION
« Les données personnelles ne peuvent être conservées de façon
indéfinie dans les fichiers informatiques :
une durée de conservation doit donc être déterminée
en fonction de l’objectif ayant conduit à la collecte de
ces données.
Une fois cet objectif atteint, ces données devraient être
archivées, supprimées ou anonymisées (afin notamment de
produire des statistiques). »
Animation : Bruno Guillard
Toutes reproductions interdites.
20. Auteur:BrunoGuillard-Toutesreproductionsinterdites.
LISTER LES DESTINATAIRES DES DONNEES
Transfert au sein de l'EEE Transfert à l’extérieur de l'EEE
Permis
Liste « transparente »
Pour le propriétaires
des données et
Autorisée par NS052
Et/ou Décret DP.
Vérifier la catégorie
du pays sur la
Carte CNIL
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Secret professionnel et communication entre professionnels :
Même prise en charge & Consentement express du Patient
Animation : Bruno Guillard
Toutes reproductions interdites.
21. Animation : Bruno Guillard
Toutes reproductions interdites.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
REGISTRE RGPD PHARMA PAGES 4 ET 5
22. RGPD : PRINCIPES GENERAUX
Au-delà du respect de la réglementation, le registre RGPD
PHARMA permet de valoriser les bonnes pratiques des Officines.
Traitements, Finalités, données collectées,
bases légales, destinataires des données.
Transparence des usages.
Respect des droits des patients.
Maîtrise de la sécurité des données.
Habilitation des collaborateurs.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Animation : Bruno Guillard
Toutes reproductions interdites.
24. Auteur:BrunoGuillard-Toutesreproductionsinterdites.
DES DROITS ETENDUS POUR LES PERSONNES CONCERNEES.
Droit de suppressionDroit d’accès Droit de modification
Les droits à l’oubli numérique, à la suppression et le droit d’interdire ne pourront pas être exercés
lorsque le traitement des données est nécessaire :
• pour respecter une obligation légale à laquelle est soumis le Pharmacien ;
• pour des motifs d’intérêt public dans le domaine de la santé publique, conformément aux dispositions sur les
données sensibles – Exemple : Registre des Stupéfiants. ;
• à des fins d’archivage dans l’intérêt général ou à des fins scientifiques, statistiques et historiques ;
Droit d’interdireDroit de restreindre l’usage Droit de portabilité
25. Définir une procédure de droit d’accès.
• Organiser la permanence du droit
d’accès (responsable + secours).
• Organiser le contrôle d’identité.
• Répondre sous 1 mois (2 mois si
demande complexe).
• Gratuit par principe SAUF SI
demande infondée ou déraisonnable.
• Possibilité d’informer, de rectifier, …,
ou de refuser avec motivation.
Droits d’Accès & de Rectification
Pour les « Patients » :
• Information sur le site Internet.
• Information dans les courriers.
• Affichage dans l’Officine.
Pour les « Collaborateurs » :
• Information des collaborateurs.
• Information des stagiaires.
• Information des prestataires.
Information & Transparence
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
OBLIGATIONS NOUVELLES POUR LE RESPONSABLE DE TRAITEMENT.
• en cas de violation des données personnelles, le responsable de traitement doit la notifier à l’autorité de
protection des données dans les 72 heures.
• en cas de violation des données personnelles le responsable de traitement doit la notifier aux personnes
concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés.
Alerte Violation de Données.
26. RGPD : PRINCIPES GENERAUX
Au-delà du respect de la réglementation, le registre RGPD
PHARMA permet de valoriser les bonnes pratiques des Officines.
Traitements, Finalités, données collectées,
bases légales, destinataires des données.
Transparence des usages.
Respect des droits des patients.
Maîtrise de la sécurité des données.
Habilitation des collaborateurs.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Animation : Bruno Guillard
Toutes reproductions interdites.
27. Auteur:BrunoGuillard-Toutesreproductionsinterdites.
VERIFIER LE NIVEAU DE SECURITE DE VOTRE OFFICINE
Sécuriser l’Officine,
les PCs et l’accès aux
logiciels et bases de
données.
Organiser la Due-
Diligence des
Sous-traitants.
Habiliter et
Sensibiliser
les collaborateurs.
Sécuriser les
transferts
de données.
28. Bruno GuillardFleepit Consulting et Technologies
Poste collaborateur
Données
personnelles
Logs
2. Collaborateurs Sensibilisés et Habilités
Mot de passe :
8 à 12 caractères minimum + Carte Prof.
Logisticiens
1. Transfert de données
sécurisées
6. Journalisation
des accès.
7. Support
Logiciel métier
habilité
4. Durée de rétention limitée3. Hébergement « santé »
7. Support
technique Local
habilité
Patients
5. Informations
traitements
5. Droits d’accès
Et modifications.
1. Transfert de données
sécurisées
8. Procédure de violation
CNIL / Données.
Mutuelles
5. Consentements DP
Signés et Sauvegardés.
5. Responsable
Traitement
L’OFFICINE IDEALE AU SENS DU RGPD
Animation : Bruno Guillard
Toutes reproductions interdites.
29. La personne physique ou morale, l'autorité publique,
le service ou un autre organisme qui traite des
données à caractère personnel pour le compte du
responsable du traitement.
La société en charge du Logiciel Métier.
La société en charge du support informatique.
La société en charge du site Internet
La société en charge de l’hébergement.
La société en charge des « Backups ».
La société en charge des « Disaster Recovery »
…
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
OBLIGATION DE LISTER TOUS LES SOUS-TRAITANTS
Sous-traitants
Animation : Bruno Guillard
Toutes reproductions interdites.
33. RGPD : PRINCIPES GENERAUX
Au-delà du respect de la réglementation, le registre RGPD
PHARMA permet de valoriser les bonnes pratiques des Officines.
Traitements, Finalités, données collectées,
bases légales, destinataires des données.
Transparence des usages.
Respect des droits des patients.
Maîtrise de la sécurité des données.
Habilitation des collaborateurs.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Animation : Bruno Guillard
Toutes reproductions interdites.
34. PASSER A L’ACTION
Nommer un Responsable, documenter le Registre RGPD
et maîtriser les Bonnes pratiques, Outils associés et les Sous-traitants.
La base juridique du traitement.
Le type de données collectées.
La durée de rétention des données.
Les destinataires des données.
Les modes sécurisés de transfert.
L’habilitation des collaborateurs.
La sécurité des accès associée.
Les procédures d’informations.
Le traitement des violations.
L’organisation informatique.
Mise en sécurité des données. Plan d’actions « Privacy by design ».
+ Les Obligations spécifiques des Logiciels Métiers et Sous-Traitants.
Auteur:BrunoGuillard-Toutesreproductionsinterdites.
Animation : Bruno Guillard
Toutes reproductions interdites.