© Photo libre de droits

LE

B.A.BA

DU RGPD :

Afin d’être bien en phase avec les obligations

fixées par la directive RGPD, l'entreprise doit

systématiquement s’astreindre à :

»

Obtenir le consentement du client en cas de

collecte de données ;

»

Etre à même de documenter sa conformité en

tenant à jour, par exemple, un registre au sein

de l'entreprise ;

»

Désigner un DPO (Data Professionnel Officer)

qui ne pourra être le chef d'entreprise et ne

devra pas systématiquement être la personne

en charge de la qualité.

Q

uatre lettres sources d’inquiétudes pour les sociétés :

RGPD. Un acronyme pourtant rassurant puisque

l’entrée en vigueur de la directive européenne dite

RGPD (Règlement Général sur la Protection des Données), le 25

mai 2018, sur le territoire de l’Union Européenne est perçue par

nombre de personnes comme une source d’inquiétudes. « Il s’agit

pourtant d’un évènement, somme toute, mineur » estime Frantz

Lecarpentier

1

expert en système d’information ; avant d’ajouter :

« à condition d’avoir su anticiper ».

Une anticipation d’autant plus logique que ce texte prolonge

la directive européenne de 1995, dont l’ambition était de

généraliser au niveau européen la loi française de 1978, dite

« loi informatique et liberté ». Destiné à protéger les citoyens,

et en particulier ceux en ligne, ce texte de 99 articles vise à

sécuriser et à défendre les droits des citoyens européens et donc

l’ensemble des consommateurs du vieux continent.

Droit à l’oubli

Rien d’étonnant dès lors à ce qu’« il porte sur l'application

du principe de "privacy by design", sur l'établissement de

relations responsabilisées entre les entreprises responsables de

traitement et ses sous-traitants et sur l'instauration de nouvelles

régulations », ajoute encore Frantz Lecarpentier.

Avec l’entrée en vigueur de la directive RGPD, sont en effet

réaffirmés les droits pour les personnes concernées de maîtriser

leurs données en leur conférant des droits (droit d’accès, droit de

rectification, droit d’effacement, droit d’opposition…).

Consentement express

En outre les données recueillies pourront concerner des

informations utiles à la dispensation médicamenteuse, à la

livraison d’un produit ou encore à son paiement. Aucune donnée

supplémentaire ne pourra être demandée sur les sites sans le

consentement express du patient. Pas question donc de collecter

à l’insu du client/patient des informations sur l’âge, le sexe, le

numéro de Sécurité Sociale ou encore sur la Carte Vitale.

Et, bien évidemment, ces données ne pourront en aucun cas être

croisées avec celles contenues dans le dossier pharmaceutique

(DP) existant ou dans le futur dossier médical partagé (DMP)

dont la mise en place devrait être généralisée à la fin de l’année

2018, selon le directeur de l’Assurance maladie, Nicolas Revel.

Data Professionnel Officer

Il appartiendra enfin aux sociétés concernées de démontrer de

manière documentée leur mise en conformité avec les exigences

légales. A charge alors à chacune de ces structures d’instaurer

un Data Professionnel Officer (DPO), auquel toute demande de

retrait de données pourra être adressée. Créée par la directive,

cette fonction n’est toutefois pas encore clairement définie. « La

question qui se pose aujourd’hui est en effet de savoir si chaque

entreprise devra disposer d’un DPO, ou bien si ce rôle de DPO

pourrait être assumé par une tierce personne ».

1 Cofondateur du site

www.theragora.fr

Informations sensibles

Mis à part ce point de détail, les règles fixées par la directive

RGPD n’ont rien d’extraordinaire pour les pharmaciens

car, en France, le monde de la santé est de longue date

sensibilisé à cette problématique. La directive de 1995

reconnaissait en effet le statut d’informations sensibles aux

données de santé comme à celles portant sur les domaines

religieux et politiques dès lors qu’elles sont personnelles.

Et pour cause ! Les données personnelles de santé pourraient

faire l’objet de bien des convoitises, en particulier de la part de

sociétés d’assurance ou de banques désireuses de mesurer les

risques qu’elles pourraient être amenées à couvrir voire à garantir.

Pour autant, les données de santé peuvent se révéler très utiles

en particulier dans le domaine de la recherche. D’où l’intérêt

de pouvoir les « anonymiser ». Un procédé qui vise à collecter

des données personnelles et à faire disparaître l’identité des

personnes qu’elles concernent via un tiers de confiance. « Un

process dont la légalité a été reconnu par la directive européenne

de 1995 », précise Me Tangi Noël, Docteur en Droit, Avocat au

Barreau de Rennes.

Six objectifs

La directive RGPD ne va donc pas révolutionner le secteur de la

santé en France. D'autant que 80% des enjeux de sécurité dans

les TPE/PME relèvent tantôt de process, tantôt d’une politique

de communication interne ou encore du contrôle des pratiques.

En clair, pour les petites entreprises, il s’agit moins de solutions

techniques que de management.

Afin de faciliter leur quotidien, les entreprises doivent

s'employer à répondre aux exigences de la directive RGPD qui

vise six objectifs : renforcer la confiance ; améliorer l’efficacité

commerciale ; mieux gérer l’entreprise ; améliorer la sécurité des

données de l’entreprise ; rassurer les clients et donneurs d’ordre ;

créer de nouveaux services.

Pour plus d'informations :

http://www.theragora.fr/pdfs/RGPD

(guide BPI-cnil.pdf)

http://www.theragora.fr/pdfs/RGPD

(fiche-1 BPI-cnil-Que-faire-

quand-votre-entreprise-communique-vend-en-ligne.pdf)

|

page (11)



s a n t é

N°62 - Mai / Juin 2018