Comment démontrer sa conformité RGPD ?

Applicable depuis le 25 mai 2018 suite à son adoption par le parlement européen en 2016, le règlement général sur la protection des données (RGPD) harmonise les lois relatives à la confidentialité à travers l’Europe au sein d’un cadre unifié.

Avant son entrée en vigueur, la loi du 6 janvier 1978 relative à l’informatique et aux libertés imposait à chaque organisme traitant des données personnelles d’accomplir des formalités déclaratives auprès de la CNIL.

Désormais, le RGPD pose le principe d’une responsabilisation directe de chaque acteur puisque l’essentiel des déclarations et des demandes autorisations auprès de la CNIL ont été supprimées.

Si la réalisation de déclarations simplifiées pour les officines de pharmacie n’est donc plus nécessaire, ces dernières doivent en mesure de démontrer leur conformité à la réglementation à tout moment.

Cette démonstration s’opère auprès CNIL qui dispose de la faculté d’effectuer des contrôles et de prononcer des sanctions en cas de manquement au règlement.

Démontrer sa conformité au RGPD

Pour être en mesure de prouver votre conformité au RGPD, vous devez constituer une documentation démontrant l’ensemble des actions effectuées en matière de protection des données.

La rédaction d’un registre des traitements, obligatoire pour les officines de pharmacie, constitue le principal outil de pilotage vous permettant de mettre en œuvre cette conformité et d’en témoigner.

Pour ce faire, vous devrez d’abord réaliser un inventaire précis des traitements de données opérés au sein de l’officine ainsi que des différents types de données traitées.

La mise en œuvre de ce registre vous permettra par ailleurs de vous assurer de la licéité de chacun de vos traitements de données, d’identifier les différentes parties prenantes et d’arrêter des mesures de sécurité et des durées de conservations des données adéquates et pertinentes.

Dans le cadre de cette démarche, vous pourrez vous appuyer sur le modèle de registre simplifié proposé par la CNIL.

Afin de témoigner de votre conformité à la réglementation, vous devrez également documenter :

• les procédures mises en place pour l’exercice des droits des personnes ;
• les mentions d’information aux personnes concernées par des traitements de données ;
• les preuves que le consentement des personnes a été recueilli lorsque le traitement de leurs données repose sur cette base légale ;
• les éventuelles analyses d’impact relatives à la protection des données menées par l’officine ;
• les procédures internes applicables en cas de violation de données ;
• les mesures appliquées en cas de transfert de données hors de l’union européenne ;
• la politique de l’officine en matière de gestion et de confidentialité des données ;
• les situations de sous-traitance de données.

Pour vous accompagner, vous pourrez designer un délégué à la protection des données (DPO) externe à votre établissement ou interne si l’un de vos collaborateurs possède des connaissances étendues en matière de protection des données.

En tout état de cause, la CNIL estime que la désignation d’un DPO est obligatoire pour les pharmacies dont le système d’information recense les données d’au moins 10 000 patients/clients annuellement.

Se maintenir en conformité

La mise en conformité de votre officine devant impérativement s’inscrire dans la durée, vous devrez vous adapter aux évolutions techniques et fonctionnelles ainsi qu’à tout changement de situation.

La documentation et les différentes processus mis en œuvre dans le cadre de votre conformité à la réglementation devront ainsi être actualisés et réexaminés régulièrement pour assurer une protection des données en continu.

Toute modification apportée aux conditions de mise en œuvre des traitements de données opérés par l’officine devra être portée au registre et tout incident ou changement de situation documenté (par exemple en cas de survenance d’une violation de données ou encore lors de la modification d’un contrat de sous-traitance).

De manière générale, il vous sera nécessaire de compléter les travaux d’ores et déjà mis en œuvre sous peine de perdre rapidement votre niveau de conformité. Pour ce faire, vous veillerez à effectuer des audits réguliers de vos processus interne et à sensibiliser le personnel de l’officine à la réglementation relative à la protection des données.