Référentiel de la CNIL, comment les pharmacies doivent-elles protéger leurs données de santé ?

Les pharmacies traitent une quantité importante de données sensibles relatives à l’état de santé de leurs clients. En juin 2022, pour aider les pharmacies à être en conformité avec le RGPD (règlement général sur la protection des données), la Commission nationale de l’informatique et des libertés (CNIL) a publié un référentiel. Ce référentiel recommande aux pharmacies des mesures pour optimiser le traitement de leurs données. En quoi consiste-t-il et comment les pharmacies peuvent-elles protéger leurs données de santé ?

A qui ce référentiel s’adresse-t-il ?

Il s’adresse aux pharmaciens titulaires, aux sociétés avec lesquelles ils exercent leurs activités, et à leurs prestataires. Ce référentiel propose des recommandations de la CNIL pour le traitement de données de santé des pharmacies. Il prend la place de l’ancienne norme simplifiée NS-52. Cette norme concernait la gestion informatisée de la pharmacie et l’analyse statistique de ses ventes. Le référentiel concerne les traitements mis en œuvre dans le cadre de la prise en charge sanitaire et de la gestion administrative de la clientèle des pharmacies. Il prévoit, notamment, que les traitements informatiques réalisés répondent à un objectif précis. Elles doivent être justifiés au vu des missions et des activités de la pharmacie.

Pourquoi ce référentiel sur le traitement de données a-t-il été introduit par la CNIL ?

L’importance du traitement des données des pharmacies a été mis en avant par l’affaire IQVIA révélée par Cash Investigation en 2021. Cette entreprise américaine utilisait des données de santé de la plupart des pharmacies françaises (14000 au total). Elle les récoltait pour réaliser des études afin de les vendre à des laboratoires pharmaceutiques. Les pharmacies recevaient en échange 6 euros par mois ainsi qu’une étude de marché sur leur officine pour les aider dans leurs pratiques commerciales. Ces bases de données, appelées LRX contenaient différentes informations du client comme le numéro de sécurité sociale, le prénom. La CNIL a informé par la suite de nombreux contrôles à venir pour suivre les pratiques des pharmacies.

Ce référentiel intervient aussi après de nombreux incidents de fuites de données. En mars 2022, 19 professionnels de santé, essentiellement des pharmaciens, ont été piratés. Ce piratage a permis aux hackers d’accéder aux données d’identité, de numéro de sécurité sociale et informations sur les droits d’au moins 510 000 assurés. En février 2021, c’était plus de 500000 dossiers médicaux français qui avaient été mis en vente après avoir été volés. De manière générale, les cyberattaques contre les établissements de santé ont doublé en 2021. On en a recensé 730 sur cette période.

Que stipule ce référentiel sur le traitement de données de santé ?

Le référentiel de la CNIL rappelle que les pharmacies ne doivent veiller au traitement des données de santé uniquement pertinentes et nécessaires. Cela concerne donc : l’identité et coordonnées du client, le numéro de sécurité sociales, les données relatives à la santé (poids, taille…), les habitudes de vie. De plus, ce référentiel prévoit l’encadrement des prestataires informatiques. L’accès aux données par un prestataire de service devront rester confidentielles et les données sécurisées. Pour cela, la CNIL recommande de mettre en place des « mesures physiques et logiques » comme le chiffrement.

La solution NeoBe Santé pour protéger les données de santé

Pour protéger les données de leurs clients, les pharmacies peuvent utiliser des logiciels qui sécurisent les données et permettent un traitement confidentiel des informations. NeoBe Santé est un logiciel de sauvegarde de documents médicaux, de bases de données, d’imagerie et comptabilité. Il protège vos données médicales contre toutes les formes de sinistres et de malveillance. La sauvegarde se fait en ligne certifiée HDS (Hébergeur de données de Santé agréé ASIP Santé) de façon automatique, les données y sont chiffrées. Les données sont hébergées en France afin de ne pas être contraint par le Cloud Act, une loi américaine qui autorise les pouvoirs publics à consulter les données hébergées dans les serveurs informatiques situés dans le pays. Le logiciel NeoBe Santé est aussi certifié ISO27001. Cette norme garantit la capacité de son système à protéger vos données.

Nos équipes sont à votre disposition pour en parler.