RGPD | La gestion des violations de données en pharmacie

En vertu du RGPD, tout organisme traitant des données personnelles se doit d’adopter des mesures permettant de prévenir les violations de données et de gérer adéquatement tout incident.

Au-delà du respect des obligations légales, une gestion efficace des violations de données est primordiale tant l’impact d’une violation est susceptible de perturber le bon fonctionnement de l’officine. Une même violation peut en effet emporter des conséquences très variées pour un établissement, en particulier sur sa réputation, sa sécurité juridique ou encore sur ses finances.

En premier lieu, il est primordial de bien comprendre cette notion afin de détecter tout incident correspondant à une violation de données au sens de la réglementation.

Aux termes de l’article 4.12 du RGPD, une violation de données à caractère personnel correspond à une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Trois grands types de violations de données sont ainsi à dénombrer :

• Les violations liées à la confidentialité des données (par exemple en cas de divulgation ou d’accès non autorisé à l’un des registres de l’officine) ;
• Les violations liées à la disponibilité des données (par exemple en cas de perte d’accès au logiciel de gestion de l’officine) ;
• Les violations liées à l’intégrité des données (par exemple en cas d’altération de certaines données après une manipulation inadéquate).

Enfin, lorsque survient une violation de données, de nombreuses obligations légales s’imposent au responsable du traitement de sorte qu’un travail d’anticipation est nécessaire.

En pareille situation, l’officine pourra ainsi procéder comme suit :

1.   Faire remonter rapidement l’incident à l’ensemble des parties prenantes 

Toute personne au sein de la pharmacie qui soupçonne ou identifie une violation de données à caractère personnel doit immédiatement informer le titulaire, le délégué à la protection des données ou la personne en charge de ces questions en interne et le prestataire informatique lorsque la violation implique le système d’information de l’officine.

Le responsable de la protection des données occupera en effet un rôle central dans la gestion de l’incident. Il devra être informé tout au long du processus afin d’émettre ses recommandations.

2.   Déterminer la nature et l’étendue de la violation

Pour une gestion de crise efficace, il importe de compiler sans délai l’ensemble des informations permettant de caractériser précisément l’incident, et notamment l’ensemble des éléments techniques et matériels permettant d’évaluer l’ampleur et les conséquences de la violation.

Cette évaluation est déterminée par les personnes ayant la capacité d’identifier les failles de sécurité et les dysfonctionnements au sein du système d’information ou par le responsable de la pharmacie lorsqu’il s’agit de la perte, du vol, ou de l’accès non autorisé à des documents papier.

3.   Adopter toutes les mesures conservatoires utiles

Lorsqu’une violation de données est signalée, les parties prenantes devront déterminer immédiatement s’il est possible d’adopter des mesures de nature à limiter ou à arrêter la violation. Devront ainsi prises toutes les mesures conservatoires qui s’imposent.

4.   Évaluer le risque

Conformément au RGPD, il doit être systématiquement procédé à une évaluation du risque pour les droits et libertés des personnes physiques. Celle-ci est effectuée au regard du nombre de personnes concernées, de la gravité de l’incident et de la nature des données à caractère personnel ayant fait l’objet de la violation, en particulier s’agissant de leur caractère identifiant et de leur caractère préjudiciable.

Cette étudeest primordiale puisque de cette analyse découleront les démarches à entreprendre.

5.   Définir un plan d’action

Un plan d’action doit être adopté et validé par le titulaire de l’officine. Les actions correctives sont mises en œuvre selon un calendrier déterminé.

6.   Notifier la violation de données à la CNIL

Dès lors qu’un risque pour les droits et les libertés des personnes concernées est avéré, il doit être procédé à une notification auprès de la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation.

La notification devra notamment décrire la nature de la violation de données à caractère personnel, les conséquences probables de cette violation ainsi que les mesures adoptées. Elle est effectuée directement depuis le site internet de la CNIL.

7.   Inscrire la violation dans le registre des violations de la pharmacie

Indépendamment de l’étendue du risque constaté, l’inscription de la violation au sein du registre des violations doit être systématique. Le registre figure parmi la documentation attestant de la bonne conformité de l’organisation à la réglementation sur la protection des données et peut donc être examiné par la CNIL en cas de contrôle.

8.   Le cas échéant, communiquer auprès des personnes concernées

Enfin, lorsque l’évaluation de la violation laisse apparaître qu’il existe un risque élevé pour les droits et libertés des personnes, il est nécessaire de procéder à une communication auprès des personnes concernées dans les meilleurs délais.

Si la communication exige des efforts disproportionnés, il est possible d’effectuer une communication publique ou toute autre mesure similaire permettant aux personnes concernées d’être informées de manière efficace.