Comment déterminer la base légale des traitements réalisés au sein de l’officine ?

En vertu du RGPD, un traitement de données ne peut être légalement mis en œuvre que s’il est fondé sur l’une des 6 bases légales suivantes :

• Le consentement (la personne a directement consenti au traitement de ses données) ;
• L’obligation légale (le traitement est imposé par un texte légal) ;
• L’exécution d’un contrat (le traitement est nécessaire au titre de l’exécution d’un contrat avec la personne concernée) ;
• L’intérêt légitime (le traitement est nécessaire à la poursuite d’un intérêt légitime de l’organisme) ;
• L’intérêt vital (le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée) ;
• La mission d’intérêt public (le traitement est nécessaire à l’exécution d’une mission d’intérêt public.

En pratique, nombre des traitements de données réalisés au sein des officines relèvent de la nécessité de satisfaire à une obligation légale tant l’activité de pharmacien est réglementée.

Il en est notamment ainsi des traitements ayant pour finalité :

• La dispensation des médicaments, produits et dispositifs médicaux (article L. 1411-11 du code de la santé publique) ;
• la contribution aux actions de veille et de protection sanitaire organisées par les autorités (article L. 5125-1-1 A du CSP) ;
• la gestion des médicaments stupéfiants (article R. 5132-35 du CSP) ;
• la tenue de l’ordonnancier (article R. 5132-9 du CSP).

L’officine est également susceptible de fonder un nombre important de ses traitements sur la poursuite d’intérêts légitimes, par exemple dans le cadre de la gestion administrative des personnels, lors de la réalisation de statistiques de vente ou encore au titre de la mise en œuvre d’un dispositif de vidéo protection.

Dans une moindre mesure, certains des traitements opérés par la pharmacie pourront reposer sur les autres bases légales prévues par la réglementation, notamment :

• lors de l’exécution de certains contrats, par exemple avec des prestataires ou avec les complémentaires de santé ;
• en cas d’instauration d’un dispositif de fidélisation de la clientèle ou au titre de la gestion du site internet de l’officine (base juridique du consentement).

Déterminer la base légale de chaque traitement s’avère ainsi être une opération indispensable pour s’assurer de leur licéité et pour garantir la bonne conformité de l’officine dans le temps.

Chaque base légale obéit en effet à des conditions spécifiques et emporte des conséquences différentes sur les possibilités d’exercice des droits des personnes concernées.

Surtout, les bases légales devront figurer dans le registre des traitements de l’officine et au sein des mentions d’information délivrées aux personnes concernées.