Les officines de pharmacie ont-elles l'obligation de désigner un délégué à la protection des données ?

Vous souhaitez être informé⋅e des nouveaux articles ? Inscrivez-vous à la newsletter
M'inscire à la Newsletter

Newsletter

Acteur essentiel de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent.

Les missions d’un DPO sont les suivantes :

  • Informer, conseiller et accompagner l’organisme dans le respect du règlement européen et du droit national en matière de protection des données personnelles
  • Sensibiliser les employés et les dirigeants de l’organisation aux enjeux de la protection des données personnelles
  • Superviser des audits internes sur la protection des données personnelles
  • Conseiller sur l’opportunité de mener une analyse d’impact sur la protection des données et en vérifier l’exécution
  • Recevoir et répondre à toute question ou réclamation relative à la protection des données ;
  • Coopérer avec la CNIL et être son point de contact dans l’organisme.

En vertu de la réglementation, la désignation d’un DPO est obligatoire pour :

  • Les autorités et organismes publics (ex. ministères, collectivités territoriales, établissements publics).
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (ex. compagnies d’assurance ou banques pour leurs fichiers clients, opérateurs téléphoniques, fournisseurs d’accès internet).
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

Pour les officines, la CNILestime que ladésignation d’un délégué à la
protection des données (DPD/DPO) devraient en principe être nécessaires pour les
officines de pharmacie déclarant une activité globale annuelle de plus de 2600000 euros
hors taxes. L’évaluation du montant de l'activité s’effectue en application de l’article
L.5125-15 du CSP et selonles modalités de l’article R.5125-37-1 du même code.

En tout état de cause, comme l’estime la fédération des syndicats pharmaceutiques de France, la désignation d’un DPO peut être utile même lorsqu’elle est facultative.

Le RGPD prévoit que les missions de DPO peuvent être exercées sous deux formes :
  • DPO interne : le rôle de DPO est endossé par un collaborateur de l’officine. Le titulaire de la pharmacie ne peut en effet pas être désigné en tant que DPO mais un salarié peut l’être s’il possède des connaissances spécialisées en matière de protection des données.
  • DPO externe : un spécialiste extérieur à votre pharmacie est désigné auprès de la CNIL et exerce les missions du DPO pour votre pharmacie. L’action d’un DPO externe peut par ailleurs être mutualisée entre plusieurs officines.

Quel que soit votre choix, trois conditions doivent être réunies :

1. Le DPO détient les compétences requises

Il devra disposer d’une expertise juridique et technique en matière de protection des données personnelles et d’une bonne connaissance du secteur d’activité, de l’organisation interne, en particulier des opérations de traitements, des systèmes d’information et des besoins en matière de protection et de sécurité des données.

2. Le DPO dispose de moyens suffisants

Il doit disposer du temps suffisant pour exercer ses missions, bénéficier de moyens matériels et humains adéquats, pouvoir accéder aux informations utiles, être associé en amont des projets impliquant des données personnelles et enfin être facilement joignable par les personnes concernées, en particulier lorsqu’elles souhaitent exercer leurs droits.

3. Le DPO a la capacité d’agir en toute indépendance

Il ne doit pas être en situation de conflit d’intérêts en cas de cumul de sa fonction de DPO avec une autre fonction. Il devra également ne pas être sanctionné pour l’exercice de ses missions de DPO et ne pas recevoir d’instructions dans le cadre de l’exercice de ses missions de DPO.

La mission de mise en conformité RGPD d’une officine se révèlera bien souvent complexe. La formation est longue sur ces sujets et l’investissement en temps de travail peut être conséquent.

La mobilisation d’une expertise extérieure peut ainsi s’avérer être l’arbitrage pragmatique entre votre obligation de conformité au RGPD et la réalité de votre activité.

Comment démontrer sa conformité RGPD ?
Comment démontrer sa conformité RGPD ?

Applicable depuis le 25 mai 2018 suite à son adoption par le parlement européen en…

Prévoir une durée de conservation des données personnelles adéquate et pertinente
Prévoir une durée de conservation des données personnelles adéquate et pertinente

Le principe de limitation de la durée de conservation des données personnelles impose aux officines…

Comment déterminer la base légale des traitements réalisés au sein de l’officine ?
Comment déterminer la base légale des traitements réalisés au sein de l’officine ?

En vertu du RGPD, un traitement de données ne peut être légalement mis en œuvre…

En cas de besoin, nous sommes à votre disposition pour vous accompagner dans votre démarche de mise en conformité RGPD
Nous contacter

Contact